Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (GDPR/DSGVO) sollen 2018 umgesetzt werden. Bei den von den Unternehmen geforderten technischen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit ihrer Netze und Informationssysteme zu verwalten, ist die Rede von »State of the Art«. Dies gilt es zu beachten, wenn entsprechende Maßnahmen umgesetzt werden. Die Maßnahmen müssen also dem »Stand der Technik« entsprechen. Dabei geht es um Datensicherheit (wie im Falle der DSGVO) und den Schutz von grundlegenden Diensten, die von Netz- und Informationssystemen abhängig sind (wie im Falle der NIS).
IDC-Studie im Auftrag von Palo Alto Networks ergründet, wie Unternehmen in Europa die anstehenden Compliance-Anforderungen wahrnehmen, insbesondere die Forderung nach Maßnahmen auf dem »Stand der Technik« (»State of the Art«) [1].
Sicherheitsarchitektur neu aufstellen
Insgesamt ist die Anforderung hinsichtlich »State of the Art« als positiv zu werten, da viele Unternehmen ihre Sicherheitsarchitektur neu aufstellen werden. Ziel ist es, Cyberrisiken besser abzuwehren und Datenmissbrauch zu verhindern. Offensichtlich arbeiten aber viele Unternehmen noch daran, herauszufinden, was dies für sie eigentlich genau bedeutet. Im Auftrag von Palo Alto Networks hat IDC kürzlich eine Studie durchgeführt, um zu ergründen, wie Unternehmen in Europa die anstehenden Anforderungen wahrnehmen. Befragt wurden IT-Entscheider in Deutschland, Frankreich, Italien, Spanien und Großbritannien. Die Ergebnisse finden sich im IDC-Whitepaper »The State of the Art Paradox« (August 2016). Die Studie fand heraus, dass viele Unternehmen kein klares Verständnis des Begriffs »Stand der Technik« haben. Ebenso verfügen sie nicht über Prozesse oder Metriken, um zu bestimmen, ob sie diese Anforderung erfüllen.
Die wichtigsten Ergebnisse der Studie:
- Vorbereitung: 58 Prozent der Unternehmen glauben, dass sie für die NIS-Richtlinie vorbereitet sind, wenn die Gesetzgebung im Jahr 2018 eingeführt wird. 34 Prozent gaben an, dass die Bemühungen im Gange sind und dass sie erwarten, rechtzeitig fertig zu werden. 6 Prozent sagen, dass sie begonnen haben, aber vielleicht nicht rechtzeitig bereit sein werden. Für die DSGVO sind 40 Prozent bereit, 45 Prozent glauben, bis zum Start 2018 bereit zu sein und nur 1 Prozent glaubt, es vielleicht nicht zu schaffen.
- Überprüfung: Bei der Frage nach einem Verfahren, um den Stand der Technik bei ihren Maßnahmen zu bestimmen, verweisen die meisten Befragten auf regelmäßige Audits oder externe Expertise. Kein Unternehmen gab an, dass es sein Sicherheitskonzept genau definiert hat, eine strukturierte Analyse von Daten nutzt oder einer Referenzarchitektur gegenüberstellt.
- Evaluierung: Auf die Frage, wie oft Unternehmen den Evaluierungsprozess wiederholen, gaben die meisten (52 Prozent) »jährlich« an. Hier stellt sich die Frage, ob dies angesichts der schnellen Weiterentwicklung der Technologie und der Zunahme der Zahl und Art von Angriffen ausreichend ist. 26 Prozent gaben »vierteljährlich oder halbjährlich« an und nur 2 Prozent überprüfen den Stand der Technik kontinuierlich oder mindestens einmal im Monat.
- Bedenken wegen DSGVO: Die Pflicht zur Meldung von Datensicherheitsverletzungen bereitet den europäischen Unternehmen offensichtlich Kopfschmerzen. 51 Prozent der Befragten haben diesbezüglich Sorgen, gefolgt von der Gefahr der Ablenkung von wichtigeren Sicherheitsthemen (48 Prozent) und dem Kostenfaktor (ebenfalls 48 Prozent). Andere Bedenken sind eine Übererfüllung der Compliance (38 Prozent), Strafen für die Nichteinhaltung (36 Prozent) und die Einhaltung der Compliance bei grenzüberschreitendem Datentransfer (auch 36 Prozent).
IDC hat einige grundlegende Fragen definiert, die sich CEOs und CISOs stellen sollten, um die offensichtliche Wissenslücke zu überwinden, die in ganz Europa besteht.
Fragen, die CEOs und Geschäftsführer betreffen:
- Gelten die DSGVO oder die NIS-Richtlinie, oder beide, für Ihr Unternehmen?
- Wer ist am besten in Ihrem Unternehmen geeignet, um Fragen zur Compliance zu beantworten?
- Auf welche externen Organisationen können Sie zurückgreifen, um Einblicke in die Anforderungen zu erhalten?
- Was ist der Zeitplan, um die Compliance zu erreichen und welche Maßnahmen müssen jetzt zur Einhaltung der Fristen ergriffen werden?
- Welches Budget wurde für die Compliance zugewiesen? Wie wurde diese Zahl festgelegt, was sind die wichtigsten Herausforderungen hinsichtlich Ressourcen und wie lässt sich die effektive Nutzung der getätigten Investitionen messen?
Fragen, die CISOs (IT-Sicherheitsverantwortliche) betreffen:
- Nimmt der Vorstand die Einhaltung der NIS-Richtlinie und/oder DSGVO ernst? Wie kann man dessen Aufmerksamkeit gewinnen, und was gilt es dem Vorstand über den aktuellen Ansatz des Unternehmens in Sache Compliance zu berichten?
- Wer im Unternehmen sollte Unterstützung oder Finanzmittel zur Verfügung stellen? Wer sind die Akteure bei der Erreichung und Aufrechterhaltung der Anforderungen und wer wird für das Geschäftsrisiko verantwortlich sein?
- Was ist aus der Perspektive des Unternehmens Sicherheit auf dem »Stand der Technik«? Wie wurde diese definiert und wer berät das Unternehmen hierzu?
- Wie sieht der Prozess aus, um den bestehenden Sicherheitsstatus dem definierten »Stand der Technik« gegenüberzustellen und wie oft sollte eine solche Überprüfung stattfinden?
- Welche Prozesse müssen nun umgesetzt werden und in welchem Zeitraum, so dass das Unternehmen eine realistische Chance hat, Sicherheitsfähigkeiten nach dem Stand der Technik umzusetzen?
[1] IDC führte die Studie im April und Mai 2016 bei Unternehmen mit mehr als 250 Mitarbeitern in Deutschland, Frankreich, Großbritannien, Italien und Spanien durch. Als Grundlage dienten 650 Interviews in einem breiten Bereich von vertikalen Branchen und im öffentlichen Sektor, mit Entscheidungsträgern in den Bereichern IT-Sicherheits-, Risiko-, Compliance- und IT-Management. IDC-White-Paper nach Regisitrierung hier: https://get.info.paloaltonetworks.com/webApp/the-state-of-the-art-en
»EU-Recht auf Vergessen«: Jedes zweite deutsche Unternehmen ist schlecht vorbereitet
Daten- und Informationssicherheit – Interne IT-Bedrohungen entdecken und aktiv abwehren
Datenschutz-Grundverordnung: Die vier häufigsten Missverständnisse unter Cloudnutzern
EU-Datenschutz-Grundverordnung: Rechtlicher und wirtschaftlicher Handlungsbedarf
Deutsche Cyber-Sicherheitsorganisation unterstützt Unternehmen bei Abwehr von Gefahren aus dem Netz