Aktuelles, Branche - geschrieben von dp am Dienstag, Juni 13, 2017 16:26 - noch keine Kommentare
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung
Längst nicht alle Unternehmen auf Vorgaben adäquat vorbereitet
[datensicherheit.de, 13.06.2017] Hinsichtlich der neuen Datenschutz-Grundverordnung der EU müssen Unternehmen in weniger als einem Jahr ihre IT-Sicherheit auf Vordermann gebracht haben, um empfindliche Strafen zu vermeiden. Nach Ansicht vieler Experten sind längst nicht alle Unternehmen auf die Vorgaben adäquat vorbereitet.
Höchste Zeit, sich mit dem Thema intensiv zu beschäftigen!
Nach einer aktuellen Erhebung von CyberArk soll nahezu die Hälfte der europäischen Kunden dieses Sicherheitssoftware-Anbieters die konkreten Auswirkungen der EU-Datenschutz-Grundverordnung nicht kennen. Viele Unternehmen täten sich schon schwer mit der exakten Definition des elementaren Begriffs „personenbezogene Daten“.
„Ab Mai 2018 gilt in allen EU-Mitgliedsstaaten die neue Datenschutz-Grundverordnung. Es ist also höchste Zeit, sich mit dem Thema intensiv zu beschäftigen und – soweit noch nicht geschehen – entsprechende Sicherheitsprojekte zu starten“, betont Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. Nur die wenigsten Unternehmen seien ihrer Erfahrung nach bereits heute optimal aufgestellt, um alle Anforderungen abzudecken. Bei den drohenden hohen Strafen könne ein weiteres Ignorieren der Vorgaben schnell zu existenzgefährdenden Konsequenzen führen.
Umsetzung der Datenschutzgrundsätze durch geeignete technische und organisatorische Maßnahmen!
Die Datenschutz-Grundverordnung bringt zahlreiche Neuerungen mit sich, die auf den Schutz personenbezogener Daten abzielen. Darunter versteht die Verordnung „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen“.
Gefordert wird explizit, dass geeignete technische und organisatorische Maßnahmen getroffen werden, die eine Umsetzung der Datenschutzgrundsätze sicherstellen; genannt werden etwa Datenminimierung, Pseudonymisierung oder auch Begrenzung von Zugriffsberechtigungen. Konkret heißt es dazu in Artikel 25: „Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht (…) einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“
Bei Sicherheitsvorfällen, die auf eine Nichtbeachtung der Vorgaben zurückzuführen sind, drohen Strafen in Höhe von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Gesamtumsatzes. Sanktionen können unter Umständen verhängt werden bei einer Kompromittierung personenbezogener Daten, der Nichtbenennung eines Datenschutzbeauftragten oder einer nicht autorisierten Datenverarbeitung.
Remote-Zugriff und privilegierte Accounts als Schwachstellen
Eine generelle Analyse der aktuellen Bedrohungslandschaft und eine IT-Bestandsaufnahme zeigten Unternehmen laut CyberArk in der Regel schnell auf, in welchen Bereichen sofortige Maßnahmen zu ergreifen sind. Zwei Aspekte seien dabei von entscheidender Bedeutung:
Erstens erlaubten immer mehr Unternehmen externen Dienstleistern oder im aufkommenden Internet der Dinge auch externen Maschinen einen Remote-Zugriff auf das interne Netzwerk. Dieser Punkt sei vor allem deshalb relevant, weil nach Schätzungen 40 bis 60 Prozent der Cyber-Sicherheitsvorfälle auf Schwachstellen in der Verantwortung Dritter zurückzuführen seien.
Zweitens müsse vor allem immer die Sicherung der privilegierten Accounts im Blickfeld bleiben, über die ein Zugriff auf alle unternehmenskritischen Systeme, Applikationen und Daten erfolgen kann. Bei nahezu 100 Prozent aller aktuellen Attacken spiele schließlich die missbräuchliche Nutzung von privilegierten Accounts die entscheidende Rolle.
„Mit der ,Privileged Account Security Suite‘ bieten wir eine Lösung an, mit der privilegierte Benutzerkonten und Aktivitäten durchgängig verwaltet, gesichert und überwacht werden können“, so Kleist. Auch Remote-Zugriffe von externen Dienstleistern auf Applikationen und Daten ließen sich so steuern und detailliert nachweisen, und zwar ganz im Sinne der kommenden Datenschutz-Grundverordnung.
Weitere Informationen zum Thema:
datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft
datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück
Aktuelles, Experten - Feb. 4, 2025 0:50 - noch keine Kommentare
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
weitere Beiträge in Experten
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
- BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt
Aktuelles, Branche, Studien - Feb. 7, 2025 0:31 - noch keine Kommentare
Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
weitere Beiträge in Branche
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
- Phishing auch bei Smartphones Sicherheitsrisiko Nr. 1
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren