Von Tyler Reguly, Tripwire.
Heute findet der mittlerweile 14. Europäische Datenschutztag statt. Wie immer seit seiner Einführung im Jahr 2007 am 28. Januar. Man kommt also nicht umhin, einmal mehr über Sicherheit, oder genauer gesagt, über den Mangel daran, nachzudenken.
Sicherheit ist ein interessantes Thema, das uns von unserer Geburt bis zu unserem Tod begleitet. Unser ganzes Leben besteht aus Sicherheit, Unsicherheit und einem falschen Gefühl von Sicherheit. Einem Gefühl also, das Sicherheit und mangelnde Sicherheit verwechselt.
Meine Schwester ist beispielsweise hochschwanger und die Sicherheit meiner zukünftigen Nichte ist eines der wichtigsten Themen. Sind Lauflernhilfen eigentlich noch sicher, ist der Kindersitz für das Auto abgelaufen (ja… Kindersitze haben tatsächlich ein »Verfallsdatum«) und wie baut man ihn richtig ein, und so weiter und so weiter.
Ich erinnere mich: als ich ein kleines Kind war, hatte ich eine Lieblingsdecke, die ich praktisch überall dabei hatte. Als ich als Erwachsener (!) erfahren habe, dass meine Mutter die wenigen zerlumpten Teile, die davon noch übrig waren, weggeworfen hatte, war ich verärgert. Diese Decke hatte mich vor Monstern im Schrank und Schreckgespenstern unter dem Bett beschützt. Und das war vermutlich meine erste Erfahrung mit einem falschen Gefühl der Sicherheit, aber es war definitiv nicht die letzte.
Ich kann mich erinnern, dass die Tür vor dem Schlafengehen verriegelt und die Kette vorgelegt werden musste, aber die Fenster standen wegen der Hitze weit offen. Ich erinnere mich an einen Job während der Highschool-Zeit, bei dem ich in einem Theater für die Einstellung der Beleuchtung für die Laufstege verantwortlich war. Der Supervisor sagte: »Es gibt einen Sicherheitsgurt, allerdings passt er nur für meine Größe und wird für keinen von euch funktionieren.«
Wie viele Menschen haben schon die Geschichte gehört, dass die Scheiben der hinteren Autotüren aus Gründen der Kindersicherheit nur teilweise herunterzulassen sind? Tatsächlich ist es so, dass in der Tür einfach nicht genug Platz ist, um das Fenster weiter zu öffnen.
Ich wette, es gibt ausreichend viele Menschen, die sich bei der Vorstellung, dass die Autobauer an die Sicherheit ihrer Kinder gedacht haben, besser fühlen. Es ist dieses falsche Gefühl der Sicherheit, das so viel Einfluss auf unser Leben nimmt.
Neben meiner täglichen Arbeit, der IT-Sicherheitsforschung, verbringe ich meine Abende damit, mir Filme anzusehen und zu rezensieren. Haben Sie sich jemals gefragt, warum uns Horrorfilme Angst machen? Manchmal sind es die Momente, in denen wir vor Angst überrascht zusammenzucken – wir erwarten einfach nicht, in diesem Moment erschreckt zu werden. Aber oft liegt es an psychologischen Faktoren und übernatürlichem Horror, dass wir uns unsicher fühlen. Statt eines falschen Gefühls der Sicherheit haben wir hier ein falsches Gefühl der Unsicherheit. Darum klammern wir uns gerne an die Person, die gerade neben uns sitzt, darum überprüfen wir die Türschlösser doppelt und dreifach, und darum verstecken wir uns gerne auch noch im Erwachsenenalter nach einem Gruselfilm vorsichtshalber unter der Bettdecke.
Keine dieser Aktivitäten sorgt für mehr Sicherheit, aber sie wirken dem falschen Gefühl der Unsicherheit entgegen, das wir empfinden.
Was hat das nun alles mit dem Europäischen Datenschutztag oder Data Privacy Day 2020 zu tun? Es ist wichtig, dass man sich an die Zeiten in seinem Leben erinnert, in denen man sowohl sicher als auch unsicher war… um sich daran zu erinnern, dass und wann man ein falsches Gefühl von Sicherheit oder Unsicherheit empfunden hat.
Ob man nun sicher ist oder ein falsches Gefühl der Sicherheit hat – man fühlt sich besser, man fühlt sich sicherer. Ebenso, wie man sich durch reale Unsicherheit und Ungewissheit genauso schlecht fühlt wie durch dieses falsche Gefühl der Unsicherheit. Deshalb ist es wichtig, den Standpunkt anderer zu berücksichtigen, um zu verstehen, warum man bestimmte Gefühle hat. Was Sie als Sicherheit wahrnehmen, kann in Wirklichkeit ein falsches Gefühl von Sicherheit sein und was Sie als falsches Gefühl von Unsicherheit sehen, kann tatsächliche Unsicherheit sein. Es passiert überall um uns herum und betrifft jeden Aspekt des Lebens, aber befassen wir uns mit ein paar relevanteren Beispielen.
Wenn ein Unternehmen gehackt wird und es zu einem Ransomware-Angriff kommt, passiert das vielleicht Organisationen, die bisher davon ausgegangen sind sicher zu sein.
Vielleicht haben sie sämtliche Prüfpunkte eines Sicherheitsstandards erfüllt. Vielleicht haben sie sich auf eine Teilmenge von Risiken konzentriert, ohne das Gesamtbild zu berücksichtigen. Nicht selten fokussieren Unternehmen sich auf Probleme, die sie gar nicht beheben, Dinge, die sie nicht ändern können, und übersehen dabei Angriffsvektoren, gegen die sich sehr wohl etwas unternehmen lässt. Hier schließt sich der Kreis: Es fällt den Betroffenen schwer, tatsächliche Sicherheit und ein falsches Gefühl von Sicherheit zu unterscheiden.
Auf einer Games-Konferenz wurde ich gefragt, wie ich die Leute, mit denen ich spiele, überprüfe und wie ich sichergehen kann, dass sie mich im Spiel nicht betrügen. Die Frager sind jedes Mal schockiert, wenn ich ihnen sage, dass ich genau das nicht tue. Sie hingegen verfügen über komplexe Prüfmechanismen, welche die Kommunikation und die Vorgeschichte der Mitspieler analysieren, um festzustellen, ob man ihnen vertrauen kann.
Es hat sich inzwischen aber bewahrheitet, dass diese Kontrollen nur ein falsches Gefühl der Sicherheit erzeugen. Man hat also nicht viel davon, sie anzuwenden. Im Übrigen eine Schlussfolgerung, die sich gut auf die reale Welt übertragen lässt. Ein Freund erzählte mir vor kurzem, dass seine Frau beinahe auf eine Betrugsmasche mit Autowerbung hereingefallen wäre. Davon hatte ich noch nichts gehört, also habe ich nachgeforscht und herausgefunden, dass die Betrüger auf Jobsuche-Websites mit dem ultimativen »leicht verdientes Geld«-Schema werben. Man meldet sich an und wird dafür bezahlt, dass man sein Auto mit einer Werbefolie bekleben lässt. Man bekommt einen Scheck mit der Post, löst ihn ein und bezahlt die Werbefolie. Man zahlt für die Werbefolie, indem man eine Vorauszahlung an die Firma leistet, die diese anbringen soll (anstatt die Werbefolie zu bezahlen, wenn sie tatsächlich auf dem Auto klebt). Später findet man dann heraus, dass der Scheck eine Fälschung und ungültig ist. Aber dann hat man bereits die Firma bezahlt, die die Werbefolie angebracht hat, und man ist sein Geld los. Der Scheck ist auf den Namen eines großen Unternehmens ausgestellt, mit dem man bereits in Kontakt war. Das funktioniert bestens um ein falsches Gefühl von Sicherheit zu erzeugen.
Wir hören ständig solche Geschichten. Man hört von Leuten, die ihr Auto privat verkaufen. Jemand kommt vorbei, um es sich anzusehen und bittet darum, eine Probefahrt machen zu dürfen. Der Mensch kommt nur leider nicht zurück und man realisiert langsam, dass man seine Autoschlüssel offensichtlich einem Dieb in die Hand gedrückt hat. Viele mögen jetzt denken: »Ja gut, mir würde das nie passieren«. Stimmt das? Wie gut können Sie ein falsches Gefühl von Sicherheit als solches erkennen?
Fragen Sie sich anlässlich des diesjährigen Europäischen Datenschutztages einmal, ob Sie erkennen, wann Sie wirklich sicher sind. Denken Sie an die Aspekte in Ihrem Leben, bei denen Sie sich sicher oder unsicher, geborgen oder unbehaglich fühlen. Haben Sie geprüft, was davon real ist und was nicht? Es ist kein Denkprozess, den wir ständig durchlaufen, aber er ist eine kritische Denkübung, die uns Einfühlungsvermögen und Verständnis vermittelt.
Der erste Schritt, um zu verhindern, als Einzelperson betrogen oder als Unternehmen gehackt zu werden, ist es, Prozesse zu erkennen, die Ihnen ein falsches Gefühl der Sicherheit vermitteln. Sobald Sie diese identifiziert haben, können Sie auch etwas dagegen tun.
Dann kommt es vielleicht gar nicht erst soweit, dass Sie Hackern Lösegeld zahlen, um Ihr System von Ransomware freizukaufen.
Europäischer Datenschutztag: Softwareanwendungen erleichtern Umsetzung der Datenschutzgrundverordnung
Illustration: Geralt Absmeier
Jedes zweite Unternehmen hat Softwaretools für DSGVO im Einsatz. Am 28. Januar ist Europäischer Datenschutztag.
Für die Einhaltung der Datenschutzgrundverordnung setzen viele Unternehmen auf technische Unterstützung. Fast jedes zweite Unternehmen (48 Prozent) hat für die Umsetzung spezielle Softwaretools genutzt. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen aus Deutschland [1].
Der Großteil hat dafür auf am Markt verfügbare Software zurückgegriffen, die für das jeweilige Unternehmen angepasst wurden. Gut ein Drittel (36 Prozent) gibt dies an. Weitere 11 Prozent haben marktübliche Softwaretools ohne individuelle Anpassung eingesetzt und 3 Prozent der Unternehmen haben Softwarelösungen für sich entwickeln lassen. Nur 1 Prozent hat für diesen Zweck selbst neue Software entwickelt.
»Die umfangreichen Dokumentations- und Informationspflichten der DSGVO erzeugen hohe Aufwände in Unternehmen«, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. »Softwarelösungen helfen dabei, das gesamte Datenschutzmanagement effizient zu steuern und aktuell zu halten.«
Überprüfung der DSGVO in 2020
Im vergangenen September hatte erst jedes vierte Unternehmen (25 Prozent) die Umsetzung der DSGVO vollständig abgeschlossen. Für das laufende Jahr hatte die EU-Kommission eine grundsätzliche Überprüfung der neuen Datenschutzregeln geplant. Aus Bitkom-Sicht braucht es vor allem mehr Klarheit und Vereinheitlichung der Auslegung in Europa und eine risikoorientierte Abstufung der Pflichten.
»Die DSGVO hat einen grundsätzlichen Geburtsfehler: Sie unterscheidet nicht zwischen Vereinen, Startups oder Großkonzernen und nicht ausreichend zwischen den verschiedensten Datenverarbeitungsprozessen«, so Dehmel. Statt alle über einen regulatorischen Kamm zu scheren, sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Regelanwendung sein. Außerdem sollte die Datennutzung im Forschungsumfeld besser möglich sein.
»Schlüsseltechnologien wie künstliche Intelligenz dürfen nicht durch starre Gesetze ausgebremst werden. Gleichzeitig muss die Privatsphäre auch bei der Nutzung dieser Technologien sicher gewährleistet werden. Dafür müssen wir noch stärker technische Ansätze wie die Pseudonymisierung und Anonymisierung von Daten fördern. Für den Wirtschaftsstandort Deutschland wird künftig entscheidend sein, wie wir Daten nutzbar machen«, so Dehmel.
[1] Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden 503 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ.
Statements zum Datenschutztag am 28. Januar 2020
»Die DSGVO sickert durch zum Mittelstand«
Anlässlich des 14. Europäischen Datenschutztages am 28. Januar 2020 zieht Bitdefender eine gemischte Bilanz bei der Umsetzung der Datenschutzgrundverordnung. Thomas Krause, Regional Sales Director DACH bei Bitdefender, weist auf den Bedarf und die neuen Chancen in kleineren Unternehmen hin, die Vorschriften umzusetzen.
Thomas Krause: »Hat sich jetzt eigentlich etwas geändert? Knapp zwei Jahre nach Inkrafttreten der Datenschutzgrundverordnung zeigt sich ein gemischtes Bild, das sich vor allem aus drei Eindrücken zusammensetzt: Erstens ist die Verordnung nur minimal verändert worden und auch die Rechtsprechung hat die Radikalität des Wortlauts der Verordnung nicht verwässert. Das heißt: Die DSGVO bleibt. Zweitens haben die Aufsichtsbehörden viele große Unternehmen und besonders die Riesen des Online-Business durchleuchtet und daraufhin teilweise empfindliche und abschreckende Strafen ausgesprochen. Drittens halten sich mittelständische und kleine Unternehmen bei der konsequenten Umsetzung der Verordnung noch zurück. Sie fliegen unterhalb des Radars der Kontrollinstanzen und halten lieber bewusst still und warten ab.
Wir erwarten, dass genau dies sich ändert und dass die notwendigen Anpassungen von Prozessen und Systemen im Jahr 2020 auch zunehmend im Mittelstand zu tragen kommen. Einerseits werden langsam Ressourcen in den Aufsichtsbehörden frei, um unzulässigen Praktiken bei kleineren Organisationen nachzugehen und es dürfte auch hier medienwirksame Fälle und Strafen geben. Andererseits sind mittlerweile technische Lösungen weiterentwickelt: Aktuelle IT-Lösungen weisen eine weit bessere ›Privacy Awareness‹ auf als noch vor zwei Jahren. Und benutzerfreundliche Benutzeroberflächen geben dem Mittelstand und kleineren Unternehmen die Chance, höhere IT-Sicherheit und besseren Datenschutz zu erreichen, ohne dass Betriebs- oder Investitionskosten durch die Decke gehen. Die DSGVO sickert durch zum Mittelstand. Angesichts der hohen Bedeutung des Mittelstands in den deutschsprachigen Ländern ist dies eine gute Nachricht für Verbraucher und die Datenschutzkultur.«
Europäischer Datenschutztag: Die Privatsphäre ist tot, lang lebe die Privatsphäre?
Mit jeder neuen Datenschutzverletzung, jedem Hacker- oder Ransomware-Angriff haben wir erneut die Wahl: Entweder wir finden uns damit ab, dass unsere personenbezogenen Daten in den Händen von Personen sind, die darüber lieber nicht verfügen sollten, oder wir versuchen, die Situation unter Kontrolle zu bringen.
Anlässlich des Europäischen Datenschutztages, schlage ich vor, dass wir in die Offensive gehen. Das heißt, die Menschen, Unternehmen und Institutionen, die Daten über uns erheben, stärker in die Verantwortung zu nehmen. Wenn jeder von uns aktiv in die Verwaltung seiner Online-Daten einsteigt, muss und wird sich die alltägliche Handhabe der Datenverwaltung ändern.
Wenn Verbraucher die Datenschutzagenda bestimmen
Bestimmungen wie sie in der Europäischen Datenschutzgrundverordnung (EU-DSGVO) festgelegt sind, geben allen Betroffenen die Möglichkeit, darüber Auskunft zu erlangen, welche Daten ein Unternehmen bereits erhoben hat. Der Kampf um die Datenhoheit beginnt allerdings schon bei ihrer Erhebung und nicht erst bei der Überprüfung der Daten, die bereits in Umlauf sind.
Wenn mehr Menschen dazu übergehen, bei Herstellern oder Anbietern von Dienstleistungen nachzufragen, welche Daten sie genau erheben, wie diese gesichert und wie lange sie aufbewahrt werden, an wen genau diese Informationen weitergegeben werden, wer Zugang zu ihnen hat und unter welchen Bedingungen, und wie sie feststellen würden, wenn jemand ohne die entsprechende Berechtigung auf ihre Daten zugegriffen hat, dann, so wage ich wenigstens zu behaupten, sind wir soweit, dass Verbraucher die Datenschutzagenda bestimmen und nicht länger dazu verdammt sind, passive Empfänger von Meldungen über neue Datenschutzverletzungen zu bleiben.
Selbst wenn Sie vielleicht eine sehr technisch anmutende und nicht sofort verständliche Antwort bekommen, fungieren diese Anfragen als Signal: Ja, Verbraucher machen sich tatsächlich Gedanken, wie ihre Daten verwendet und verwaltet werden.
Lizenzvereinbarungen und Datenschutzrichtlinien
Wenn ein Verkäufer sich aus geschäftlicher Perspektive auf seine Lizenzvereinbarungen oder seine Datenschutzrichtlinie beruft, dann sagt er im Wesentlichen eines von zwei Dingen.
Entweder, und das ist bei weitem die häufigste Variante, wird er antworten, dass die Lizenzvereinbarungen und Datenschutzrichtlinien allgemein gehalten sind. In Zeiten, in denen sich Anwendungen und Dienstleistungen stetig weiterentwickeln, ist es für einen Anbieter vorteilhaft sich an die allgemeinen Begrifflichkeiten zu halten. Die sind nämlich so vage formuliert, dass die Entwickler Änderungen nicht rechtlich überprüfen lassen müssen.
Das zweite und zugleich ziemlich unwahrscheinliche Szenario ist, dass das Unternehmen eine konstruktive Partnerschaft zwischen seinen Entwicklungsteams und seinem Rechtsbeistand pflegt. In diesem Fall spiegeln die Richtlinien exakt den aktuellen Stand der Daten wider, die vom Anbieter erhoben, verarbeitet und aufbewahrt werden.
Wenn Sie als Antwort auf Ihre Fragen lediglich auf eine Lizenzvereinbarung oder Datenschutzrichtlinie verwiesen werden, gibt es für Sie als Nutzer nur eine Möglichkeit festzustellen, mit welchem Fall sie es zu tun haben. Sie müssen konkret nachfragen, wann das Dokument zuletzt aktualisiert wurde und welche Version der betreffenden Software sie abdeckt.
Wenn die Software aktueller ist als die letzte Überprüfung, sind die Richtlinien allgemein gehalten. Wichtig ist, dass Ihre Fragen die Kundenbetreuung veranlasst, Anfrage und Antwort zu protokollieren. Auch wenn die erste Antwort zugegebenermaßen für den Einzelnen nicht wirklich hilfreich ist, hat sie doch eine Wirkung auf das Unternehmen. Nämlich dann, wenn mehr Kunden und Interessenten klare und genaue Angaben dazu befürworten, welche Daten erhoben und wie diese verarbeitet werden. Und diese Kunden haben den Anspruch, genau zu verstehen, wie ihre Daten verwendet werden.
Datenschutz als Auswahlkriterium
Diese Art der Partnerschaft zwischen Verbraucher (Datenlieferant) und Anbieter/Verkäufer (Datenkonsument) wird sich nicht bei allen Unternehmen gleichermaßen durchsetzen. Einige werden in dieser Hinsicht Vorreiter sein, während andere sich eher mit der Kehrseite der Medaille einen Namen machen werden.
Wir leben und arbeiten in einer Datenökonomie. Verbraucher haben das Recht, die Art und Weise zu beeinflussen und zu kontrollieren, wie sie ihre Daten weitergeben und an wen diese Daten weitergegeben werden. Der einfachste Weg hier Klarheit zu schaffen, besteht darin, Fragen zu stellen. Wie ein Unternehmen in der Lage und willens ist, diese Fragen zu beantworten, wird nicht zuletzt die Entscheidung für oder gegen einen Anbieter beeinflussen, wenn nicht den Ausschlag geben. Verbraucher haben die Wahl, mit wem sie Geschäfte machen wollen, und der Datenschutz sollte eines der Auswahlkriterien sein.
Tim Mackey, Principal Security Strategist bei Synopsys
Datenschutz ist das ganze Jahr
»Der 28. Januar ist der Europäische Datenschutztag. Er ruft Unternehmen ins Gedächtnis, dass sie von Regulierungsbehörden und Kunden beim Thema Datenschutz immer mehr in die Pflicht genommen werden. Diesen Anlass können CIOs und Datenschutzbeauftragte nutzen und ihre Führungsetage darauf aufmerksam machen, wie wichtig Datensicherheit heutzutage ist. In diesem Zuge lassen sich beispielsweise interne Fortbildungen wie Phishing-Tests oder Mitarbeiterschulungen anstoßen. So erkennt die Belegschaft, was für eine wichtige Rolle sie selbst in diesem Kontext spielt.
IT-Führungskräfte sollten den Tag auch zum Anlass nehmen, ihre aktuellen Datenschutz-Strategien zu überprüfen. Hilfreich für Unternehmen ist Software, die Sichtbarkeit in die Datenlandschaft bringt und mögliche Risiken identifiziert. Außerdem sollten Firmen den Schutz und die Wiederherstellung von Daten überall in der Organisation automatisieren und zugleich die 24/7-Verfügbarkeit von geschäftskritischen Anwendungen gewährleisten. Nur wer also nicht allein am 28. Januar, sondern über das gesamte Jahr hinweg für die Sicherheit seiner Informationen sorgt, ist beim Thema Datenschutz gut aufgestellt.«
Sascha Oehl, Director Technical Sales bei Veritas Technologies
Die Bedeutung dieses Tages war noch nie so groß wie heute
Der 28. Januar ist auch in diesem Jahr wieder der Europäische Datenschutztag. Bei einem Eisberg zeigt sich die wahre Größe erst nach einem Blick unter die Wasseroberfläche. Ähnlich verhält es sich mit dem Datenschutz: Während 2020 Regelungen wie die DSGVO und der kalifornische Consumer Privacy Act (CCPA) bereits etabliert sind, kommen ständig neue regulatorische Entwicklungen rund um den Datenschutz »ans Licht«.
Auch wenn sich beispielsweise kalifornische und europäische Vorschriften im Detail unterscheiden: Generell geben sie Verbrauchern das Recht zu wissen, wie und welche personenbezogenen Daten gesammelt werden – und damit verbunden die Möglichkeit, rechtliche Schritte einzuleiten, falls sie durch Verstöße gegen die Datensicherheit Schaden nehmen sollten. Die EU hat europäischen Verbrauchern in ihrer DSGVO zudem das »Recht, vergessen zu werden« eingeräumt. Im Jahr 2019 gaben 53 Prozent der Verbraucher an, dass sie eine Transaktion stornieren würden, wenn ihnen die Datenschutzrichtlinien nicht zusagen. Diese Umstände zeigen, dass in diesem Jahr mehr getan werden muss, um sicherzustellen, dass Datenschutz und Datensicherheit höchste Priorität haben.
Unternehmen müssen vor allem in der Lage sein, zu verstehen, welche personenbezogenen Daten sich in Textdokumenten befinden. Ein besonders dringendes Anliegen sind archivierte Daten, denn solche Daten können zwar schon länger unangetastet gespeichert, dennoch aber von heutiger Regulierung betroffen sein. Um derart sensible Daten verlässlich auffinden und auch automatisch verwalten zu können, werden vor allem KI-gestützte Lösungen eine wichtige Rolle spielen. Darüber hinaus müssen Unternehmen auch interne Datenverwaltungspraktiken einführen, um zu bestimmen, wer für die Datensicherheit und unternehmensweiten Richtlinien verantwortlich ist. Das kann auch bedeuten, eigene Datensicherheit-Teams zu gründen, die technisches und regulatorisches Fachwissen kombinieren.
So bringt der große Fokus auf Datenschutz auch neue Karrierechancen: In den letzten vier Jahren gab es eine 75-prozentige Zunahme von Stellenbezeichnungen mit »Datenschutz« im Titel. Und auch bei Management-Initiativen und Technologieentscheidungen wird das Thema in diesem Jahr – und darüber hinaus – eine entscheidende Rolle spielen.
Jochen Adler, Strategic Partner Account Manager bei OpenText
Digitalisierung ohne Datenschutz ist sinnlos
Persönliche Informationen von drei Millionen Kunden des Autoverleihers Buchbinder stehen wochenlang ungeschützt im Netz, die Stadt Potsdam nimmt die Server ihrer Verwaltung vom Netz und der Automobilzulieferer Gedia wird offenbar Opfer einer Ransomware-Attacke. Alle diese Fälle trugen sich innerhalb kürzester Zeit zu, genauer gesagt in der Woche vor dem Europäischen Datenschutztag am 28. Januar. Plakativer geht es kaum. Allerdings scheint sich derzeit eine gewisse Resignation angesichts der regelmäßigen Datenpannen und dem immer noch vorhandenen Datensammeleifer in Hinblick auf die Privatsphäre auszubreiten: So glaubt jeder dritte Deutsche, die Kontrolle über seine Daten verloren zu haben. Gleichzeitig dominieren die Stimmen, die im Datenschutz eher einen Bremser als eine Chance sehen. Aber ist das wirklich so? Wie passt das zusammen mit dem neuen Datenschutzgesetz in Kalifornien (CCPA), das gerade in dieser innovationsgläubigen Region durchaus inspiriert von der DSGVO in Kraft getreten ist? Vielleicht hat sich hier die Erkenntnis durchgesetzt, dass Datenschutz eben kein Bremsklotz der Digitalisierung ist, sondern vielmehr ihre Voraussetzung. Datenschutz und damit verbunden die (auch digitale) Privatsphäre sind elementare Rechte. Oder anders ausgedrückt: Ohne Datenschutz ist die Digitalisierung sinnlos. Gleichzeitig kann die Digitalisierung auch von einem starken Datenschutz profitieren und diesen zum Teil des Geschäftsmodells machen. Nicht, indem Daten verkauft werden, sondern indem sie sinnvoll zum Wohle des Kunden genutzt werden.
Datenschutz ist dabei nicht ohne Datensicherheit möglich. Die eingangs erwähnten Beispiele zeigen, dass wir hier noch längst nicht am Ziel sind. Sie zeigen vor allem auch, dass es durchaus unterschiedliche Gründe und Auslöser für die Datenschutzverletzungen gibt – von falschen Konfigurierungen in der Cloud bis hin zu erfolgreichen Phishing-Angriffen. Eines haben sie aber gemeinsam: Im Zentrum stehen stets die Daten – die offen zugänglich sind, womöglich gestohlen werden sollten oder verschlüsselt wurden. Deshalb muss ihr Schutz auch im Zentrum jeder Cybersicherheitsstrategie stehen. Ebenso wie Datenschutz im Zentrum der Digitalisierung.
Klaus Nemelka, Technical Evangelist von Varonis
Verantwortungsbewusstes Handeln
Die Cloud ist allgegenwärtig. Wie selbstverständlich speichern wir Daten in der Cloud und arbeiten mit Daten aus der Cloud. Deswegen ist es richtig und wichtig, jetzt die Debatte über den ethischen Umgang mit Systemen und Daten intensiv und offen zu führen und die Leitlinien in diesem Bereich weiterzuentwickeln. Die Unternehmen der Branchen für physische Sicherheit und Cybersicherheit müssen in dieser Debatte proaktiv sein. Wir müssen zeigen, dass wir verantwortungsbewusst handeln, um personenbezogene Daten zu schützen. Der Europäische Datenschutztag ist eine sehr gute Gelegenheit, die Öffentlichkeit über ihre Rechte und Pflichten bei der Erhebung und Verarbeitung ihrer personenbezogenen Daten zu informieren und aufzuklären. Datenschutz- und Sicherheitsexperten haben zudem die Gelegenheit sich mit den neuesten Informationen und Best Practices zur Erfassung und Speicherung von Daten zu versorgen.
Rodrigue Zbinden, CEO von Morphean SA
Automatisierung der Dateninfrastruktur reduziert das Risiko für Datenschutzverletzungen
Datenschutz für genutzte Daten zu gewährleisten, stellt viele Organisationen nicht erst seit dem Inkrafttreten der DSGVO vor ernsthafte Probleme. Die DSGVO hat zumindest erreicht, dass Organisationen das Problem nicht einfach weiter auf die lange Bank schieben können – denn es drohen bei Nichteinhaltung der Richtlinien immense Strafen. Doch auch wenn man sich in Unternehmen bereits um die Umsetzung der notwendigen Maßnahmen kümmert, ist das kein Grund sich auf seinen Lorbeeren auszuruhen. Der Datenschutztag mahnt jährlich, dass man beim Schutz und der korrekten Verwaltung von persönlichen Daten proaktiv bleiben muss, um das Risiko für Datenschutzverletzungen kontinuierlich zu reduzieren.
Der Schwierigkeitsgrad, das Risiko für die Datenschutzverletzungen so gering wie möglich zu halten, steigt generell mit der Menge und der Größe der zu verwaltenden Datensätze. Um das Problem steigender Datenmengen in Bezug auf den Datenschutz auszugleichen, können Unternehmen auf die Automatisierung der Dateninfrastruktur setzen. Die manuelle Verarbeitung aller Informationen ist nicht nur aufwändig und fehleranfällig – mit steigender Datenmenge ist sie einfach nicht mehr von Menschen zu bewältigen. Automatisierung hilft dabei alle Daten zu kennzeichnen, zu identifizieren, zu prüfen und sie schnell wieder abrufbar zu machen. So nutzt die Automatisierung der Dateninfrastruktur nicht nur dabei den Workload der IT zu senken, sie hilft fortan dabei leichter alle Daten zu kennzeichnen, zu identifizieren, zu prüfen und sie schnell wieder abrufbar zu machen erbringen zu können, dass das Unternehmen den Datenschutz gegenüber Behörden und Kunden einhält.
Wer sich anlässlich des Datenschutztags Gedanken darüber macht, wie sich das Risiko für Datenschutzverletzungen minimieren lässt, sollte definitiv die Automatisierung des Data Warehouse auf die Liste möglicher Lösungen setzen.
Rob Mellor, Vice President und General Manager EMEA bei Wherescape
Datenschutz: wichtig und nützlich
Viele Unternehmer sehen in der Einhaltung der gesetzlichen Vorschriften zum Datenschutz ein lästiges Instrument, das ihnen die Betriebsführung erschwert. Doch ein funktionierender Datenschutz bietet eine ganze Reihe von Vorteilen. Der Europäische Datenschutztag, der seit 2007 jährlich am 28. Januar begangen wird und die Achtung der Rechte und Grundfreiheiten bei der automatisierten Datenverarbeitung in den Vordergrund rückt, bietet eine gute Gelegenheit, sich einmal näher damit zu beschäftigen. In Zeiten des zunehmenden Missbrauchs von Daten – mittlerweile berichten die Medien regelmäßig über Hackerangriffe, Datenspionage und -klau – nimmt der Datenschutz einen immer wichtigeren Stellenwert ein. Für Unternehmen steht er nicht nur im Zusammenhang mit Spionage- und Hackerabwehr sowie beständiger Wettbewerbsfähigkeit im Fokus, sondern sichert und bestärkt auch das langfristige Vertrauen von Kunden, Partnern und Mitarbeitern. Zudem wurde durch die Einführung der DSGVO in vielen Unternehmen eine Überarbeitung des Datenmanagements nötig, um den gesetzeskonformen Umgang mit sensiblen Informationen zu gewährleisten. Bei der Anpassung der Datenverarbeitung und -speicherung ließen und lassen sich immer noch zum Teil schon veraltete Prozesse, Verhaltensweisen, Abstimmungswege und Arbeitsschritte modernisieren, effektiver organisieren und vereinfachen. Gleichzeitig kann der Schutz von Betriebs- und Geschäftsgeheimnissen besser gewährleistet werden. Und auch im privaten Bereich regelt der Datenschutz die Verarbeitung und Speicherung von personenbezogenen Daten. Mit der EU-DSGVO wurde das Datenschutzrecht innerhalb der Europäischen Union vereinheitlicht, sodass für alle Bürger ein hoher und einheitlicher Standard festgelegt wurde. Zudem haben EU-Bürger über das One-Stop-Shop-Prinzip die Möglichkeit, sich bei Beschwerden an die Datenschutzbehörde ihres Mitgliedstaates zu wenden, egal in welchem Land der Datenmissbrauch passiert ist. Ebenfalls regelt die Verordnung das Recht auf Vergessenwerden sowie Löschanliegen, wodurch persönliche Daten von Verbrauchern auf Wunsch nicht länger gespeichert werden. Insgesamt führte die Einführung der DSGVO zu einem besseren Grundverständnis von personenbezogenen Daten und Datenschutz sowie zu einem sensibleren Umgang mit Informationen. Immer mehr Menschen achten beispielsweise verstärkt auf sichere Passwörter oder einen sensiblen Umgang mit Diensthandys oder -laptops.
Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG
Vertrauen im digitalen Zeitalter sicherstellen
Datenschutz ist im neuen Jahrzehnt eines der wichtigsten Themen auf den Agenden von Unternehmen, Behörden und natürlich auch Verbrauchern. Utimaco möchte zum Europäischen Datenschutztag 2020 auf die Bedeutung dieses wichtigen Aspektes aufmerksam machen.
Daten sind das neue Öl, wie der Mathematiker Clive Humby bereits 2006 feststellte, und spielen in der zunehmend digitalisierten Welt eine immer wichtigere Rolle. Neue Services und Technologien sind mittlerweile fest in den Alltag integriert, um das Leben von Unternehmen und Verbrauchern einfacher und personalisierter zu machen. Die Vorteile der vernetzten Angebote lassen sich jedoch nur vollumfänglich bereitstellen, indem Anbieter eine Vielzahl von Daten bereitstellen. Um die breite Öffentlichkeit für den Schutz ihrer persönlichen Daten und ihrer Privatsphäre in der Online-Welt zu sensibilisieren, hat der Europarat 2006 den Europäischen Datenschutztag ins Leben gerufen. Jedes Jahr organisieren daher staatliche Institutionen und Akteure aus der Wirtschaft Informationskampagnen zum Thema Datenschutz.
Der diesjährige Datenschutztag läutet das neue Jahrzehnt ein und bietet eine gute Gelegenheit, einen Aus- und vor allem Rückblick zu wagen. Die 2010er-Jahre waren geprägt von einer Aufbruchsstimmung durch die Entwicklung zahlreicher personalisierter Angebote, im Zuge derer die Themen Privatsphäre und Datenschutz eine immer wichtigere Rolle spielten. Diese Entwicklung gipfelte in der Einführung der DSGVO, die inzwischen als weltweites Vorbild für verantwortungsvollen Umgang mit Daten gilt und außerhalb von Europa viele prominente Fürsprecher bekommen hat.
Auch im kommenden Jahrzehnt wird der Schutz wichtiger persönlicher Informationen gegen Missbrauch und Cyberkriminalität ein bestimmendes Thema bleiben. Die prägende Währung des kommenden Jahrzehnts wird allerdings Vertrauen sein, wie jüngst der Bundesdatenschutzbeauftragte Ulrich Kelber beim Chaos Communication Congress warb. Ein verantwortungsbewusster Umgang mit Daten ist der Grundstein zukünftiger digitaler Geschäftsmodelle. Neben der Absicherung der gegenwärtigen Services muss der Fokus aber darauf liegen, zukünftige Entwicklungen mit einzubeziehen und die Risiken von morgen frühzeitig zu adressieren.
»Eine effektive Verschlüsselungsstrategie ist heute wichtiger denn je für jedes Unternehmen und jede Organisation. Nur der Einsatz von hochsicheren Verschlüsselungstechnologien bietet für Daten, Identitäten und Transaktionen aktiven Schutz vor der allgegenwärtigen Gefahr von Cyberangriffen.« sagt Stefan Auerbach, CEO bei Utimaco. »Der Grundstein für den Datenschutz von morgen wird dabei bereits heute gelegt. Vernetzte Geräte sind für viele Einsatzjahre konzipiert und müssen daher so gebaut werden, dass sie auch zukünftigen Bedrohungen widerstehen können, Auf lange Sicht bieten die aktuellen Verfahren nicht mehr das benötigte Schutzniveau, da Quantencomputer diese in kürzester Zeit entschlüsseln können. Eine krypto-agile Infrastruktur, die in der Lage ist, künftige Verschlüsselungsverfahren umzusetzen, ist daher unerlässlich, um langfristig Datensicherheit gewährleisten zu können und das Vertrauen von Kunden zu sichern.«
2369 Artikel zu „Datenschutz“
NEWS | TRENDS 2020
IT-Trends 2020: Daten-DNA, Datenschutz, Mikrorechenzentren, Backup-Strategien und Container
Fünf Trends drücken dem kommenden Jahr 2020 aus IT-Sicht einen Stempel auf. Sascha Oehl, Director Technical Sales bei Veritas Technologies, erläutert, inwiefern sich IT-Entscheider verstärkt mit maschinellem Lernen und künstlicher Intelligenz, der Daten-DNA sowie Edge-Computing und Containern auseinandersetzen müssen. Automatismen für die Daten-DNA Es ist fast schon so universell gültig wie ein physikalisches Gesetz…
NEWS | PRODUKTMELDUNG | TIPPS
Datenschutz an Schulen – So kann’s funktionieren
Ein neues Faltblatt »Datenschutz an Schulen« zeigt, worauf zu achten ist, wenn digitale Werkzeuge im Schulkontext genutzt werden. Mit diesem Leitfaden kann jede Lehrkraft zu einer Art Datenschutz-Expertin werden. An Schulen – dem Ort, den alle Kinder besuchen – ist Datenschutz noch immer ein leidiges Thema, denn es fehlen oft Fachkräfte, die sich mit…
NEWS | TRENDS 2020 | TRENDS WIRTSCHAFT | TRENDS SECURITY
Sicherheit und Datenschutz: IT-Prognosen für das Jahr 2020
Der Aufstieg der verwundbaren Maschinen Im Jahr 2020 wird die Robotik-Prozessautomatisierung (RPA) ihren umwälzenden Aufstieg weiter fortsetzen und sich noch stärker in unserem Alltag verankern. Bis Ende 2019 prognostiziert Gartner, dass der Umsatz mit der Robotik-Prozessautomatisierung die 1,3 Milliarden US-Dollar-Marke knacken wird. Für das neue Jahr wird sogar ein noch stärkeres Wachstum erwartet. Allerdings gibt…
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | SERVICES | SICHERHEIT MADE IN GERMANY | TIPPS
Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment
Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…
NEWS | IT-SECURITY | AUSGABE 9-10-2019 | SECURITY SPEZIAL 9-10-2019
Zusammenarbeit bei Sicherheit und Datenschutz – Sicherheit (managen) ist keine One-Man-Show
Das Thema Sicherheit muss ganzheitlich betrachtet und umgesetzt werden. Die Lösung ist ein kooperativer Ansatz, um Sicherheit und Datenschutz in Organisationen zu verwirklichen.
NEWS | FAVORITEN DER REDAKTION | GESCHÄFTSPROZESSE | SECURITY SPEZIAL 7-8-2019
DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe
Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.
NEWS | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY
Enorme Wissenslücken von Anwendern in puncto Phishing und Datenschutz
Die Ergebnisse einer Sicherheitsstudie [1] zum Kenntnisstand von Endanwendern hinsichtlich einer Vielzahl verschiedener Themen aus dem Cybersecurity-Umfeld verdeutlichen die Notwendigkeit kontinuierlicher Schulungen für Mitarbeiter, da über alle Branchen hinweg das Wissen um Cyberbedrohungen noch immer erhebliche Lücken aufweist. Beispielsweise offenbarten sich im Branchenvergleich, vor allen im Bildungs- und Transportwesen sowie im Gastgewerbe, teils massive Schwächen.…
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | TIPPS
Aufklärung in Sachen Datenschutz: Datensammler, ihre Quellen und Gründe
»Ich habe nichts zu verbergen« ist eine häufige Argumentation beim Thema Datenschutz. Doch wenn Reisende mehr für einen Flug bezahlen als andere, weil sie aufgrund gesammelter Daten wie dem Wohnort oder dem Beruf als kaufkräftiger eingeschätzt werden, empfinden das viele als ungerecht. Wie, von wem und warum Daten gesammelt werden, erläutert Stefan Wehrhahn, Cyber-Security-Experte bei…
NEWS | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY | TIPPS
Datenschutz und Verschlüsselung im Gesundheitswesen siechen vor sich hin
Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart: Sensible Daten von Patientinnen und Patienten nicht ausreichend geschützt. Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn…
NEWS | DIGITALISIERUNG | IT-SECURITY | SERVICES
Gesichtserkennung in San Francisco aus Datenschutzgründen verboten
Der San Francisco Board of Supervisors (Aufsichtsrat) hat die Verwendung von Gesichtserkennung durch städtische Regierungsbehörden verboten und ist damit die erste Stadt in den Vereinigten Staaten von Amerika, die dieses Tool blockiert, das von der Polizei oft verwendet wird, um nach Verdächtigen zu suchen und Kriminelle zu erkennen. An dieser Stelle können Sie vielleicht auf…
NEWS | TRENDS WIRTSCHAFT | TRENDS SECURITY | BUSINESS | FAVORITEN DER REDAKTION | GESCHÄFTSPROZESSE | TRENDS 2019 | IT-SECURITY | STRATEGIEN
DSGVO: Ein Jahr Datenschutzgrundverordnung
Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…
NEWS | EFFIZIENZ | IT-SECURITY | TIPPS
Per Passwortrichtlinie zu mehr Datenschutz
Es ist lange her, dass ausschließlich Großkonzerne Opfer von Cyberkriminellen wurden. Heute haben sie es auf alle und jeden abgesehen, denn nahezu jedes Unternehmen geht mit Daten um. »Daten sind das Gold unserer Zeit. Das macht eine Passwortrichtlinie umso wichtiger, in der festgehalten wird, wie ein sicheres Passwort überhaupt aussieht. Dazu gehört die Festlegung…