[datensicherheit.de, 20.05.2019] In einem aktuellen Kommentar blickt Rainer Rehm, „DPO EMEA und CISO DACH“ bei Zscaler, auf ein Jahr Datenschutzgrundverordnung (DSGVO) zurück – seiner Ansicht nach brachte dieses Jahr durchaus einen Zuwachs an „Datenhygiene“, aber eben auch an Bürokratie.

Datenbeständen oft über mehrere verschiedene Abteilungen verstreut

Rehm: „Im ersten Jahr der europäischen Datenschutzgrundverordnung (DSGVO) kehrte in die Unternehmen eine größere Datenhygiene ein. Sie waren gezwungen, einen besseren Schutz und eine verantwortungsbewusstere Verwaltung der Daten europäischer Bürger zu gewährleisten.“
Um dies zu erreichen, mussten die Unternehmen laut Rehm den Überblick über die Vorhaltung von Datenbeständen erhalten, die oft über mehrere verschiedene Abteilungen verstreut aufbewahrt wurden. Nur auf einer einheitlichen Datenbasis – oftmals als „data dictionary“ oder „data repository“ bezeichnet – habe festgestellt werden können, „ob die Erlaubnis zur Verwendung der personenbezogenen Daten tatsächlich vorliegt“.

Zuweilen überreagiert und große Datenbestände gelöscht

In vielen Fällen hätten Firmen „überreagiert und große Datenbestände gelöscht“, die nicht dem Anspruch der „Double Opt-In“-Zustimmung entsprochen hätten. „Allzu oft geschah dies aufgrund mangelnder Kenntnisse über den richtigen Umgang mit den Datensätzen“, so Rehm.
Zahlreiche Initiativen zur Einholung der Zustimmung seien zudem erst in letzter Minute gestartet worden. In den meisten Fällen habe das jedoch nicht die gewünschte Wirkung nach sich gezogen und in der Folge zu einer „erheblichen Verkleinerung der Datenbanken“ geführt.

Digitale Assets kontrollieren und schützen

„Darüber hinaus mussten Unternehmen neue Technologien einführen, um digitale Assets kontrollieren und schützen zu können, sowie die oftmals zusammenhanglosen Vorgehensweisen zwischen den Abteilungen in Einklang zu bringen. Daraus abteilungsübergreifend Erkenntnisse abzuleiten, ist für die Aktualisierung des Sicherheitsstatus einer Organisation zwingend notwendig“, unterstreicht Rehm.
Die eingeführten Prozesse zur effektiveren Verwaltung der Daten hätten im ersten Jahr der Grundverordnung zu einem besseren Verständnis in Unternehmen geführt, „wo personenbezogene Daten eigentlich vorgehalten werden und wer darauf Zugang hat“. Die Mitarbeiter seien durch die Erklärungen und Kampagnen besser über die mit der Datenverarbeitung notwendigen Schutzziele und Maßnahmen vertraut gemacht worden, so dass davon ausgegangen werden könne, das zukünftige Datenerhebungen bereits mit „Privacy by Default“ erfolgen würden. „Diese getroffenen Maßnahmen bilden nun die Voraussetzung, um im Falle eines Datenverlustes die gesetzlichen Meldepflichten erfüllen zu können, sorgte aber gleichzeitig für Ordnung“, betont Rehm.

Dokumentationspflicht: Weder Standardisierung der Arbeitsschritte noch einheitliche Vorlagen

Während die DSGVO somit zu einer höheren „Datenhygiene“ geführt habe, „steigerte sich damit einhergehend die Bürokratie“. Um Compliance nachweisen zu können, seien eine Vielzahl von Vorlagen und Formularen erforderlich, die den Verantwortlichen dabei helfen sollten, den Überblick über die implementierten Prozesse zu belegen. Rehm erinnert: „Dokumente für das Datenmanagement und die Datenverarbeitung der gesamten Lieferkette erforderten vor der Umsetzung der Verordnung unzählige Interaktionen zwischen allen beteiligten Parteien und zogen haufenweise Papierstapel nach sich.“
Bisher gebe es noch keine Standardisierung dieser Arbeitsschritte der Dokumentationspflicht oder gar einheitliche Vorlagen. Die möglichen Zertifizierungen auf der Grundlage des Artikels 42 der DSGVO aber würden in der Folge wohl einen freiwilligen Gang zur Vereinfachung des Nachweises auslösen.

Foto: Zscaler

Rainer Rehm: Mögliche Zertifizierungen auf Grundlage des Artikels 42 DSGVO werden wohl zur Vereinfachung des Compliance-Nachweises führen.

DSGVO: Noch zu viel Raum für Interpretationen

Trotz aller Bemühungen bleibe die Unsicherheit jedoch aufgrund der Komplexität bestehen, „ob Unternehmen sich nun konform zur Datenschutzrichtlinie verhalten oder nicht“. Die DSGVO in ihrer anfänglichen Fassung lasse „nämlich noch zu viel Raum für Interpretationen“.
Die ersten, verhängten Bußgelder durch die CNIL in Frankreich und das ICO im Vereinigten Königreich gegen Internet-Giganten wie Google und Facebook zeigten indes, dass der Datenschutz inzwischen aber von Kontrollgremien ernstgenommen werde – „besonders, wenn Unternehmen die Regeln zur geforderten Transparenz für den Anwender nicht einhalten“, so Rehm.

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

[datensicherheit.de, 07.04.2019] Sicherheitsforscher des „Zscaler-ThreatLabZ“ haben nach eigenen Angaben in den letzten Monaten mehrere hundert „WordPress“- und „Joomla“-Sites entdeckt, die „Shade/Troldesh“-Ransomware, „Backdoors“, sowie „Redirectors“ beherbergten und auf unterschiedliche Phishing-Seiten umleiteten. Die durch diese „Content Management Systeme“ (CMS) verbreiteten Bedrohungen basierten auf Schwachstellen, die durch Plugins, Themen und Erweiterungen eingeschleust würden.

Kompromittierte „WordPress“-Sites beruhen auf Versionen 4.8.9 bis 5.1.1.

Die von Zscaler-Forschern entdeckten, kompromittierten „WordPress“-Sites beruhten auf den Versionen 4.8.9 bis 5.1.1. Sie verwenden demnach SSL-Zertifikate, die von den „Automatic Certificate Management Environment“-gesteuerten Zertifizierungsstellen, wie „Let’s Encrypt“, „GlobalSign“, „cPanel“ und „DigiCert“, ausgestellt wurden.
Diese kompromittierten „WordPress“-Seiten könnten veraltete CMS-Plugins/Themen oder serverseitige Software beinhalten, die möglicherweise der Grund für die Kompromittierung sein könnten.

Malware- und Phishing-Seiten vor Administratoren versteckt

Die Angreifer bevorzugten ein bekanntes, aber verstecktes Verzeichnis auf der HTTPS-Website, um Shade-Ransomware- und Phishing-Seiten zu verbreiten. Das versteckte Verzeichnis „/.well-known/“ in einer Website sei ein URI-Präfix für bekannte Standorte, das von der IETF definiert worden sei und häufig verwendet werde, um den Besitz einer Domain nachzuweisen.
Die Administratoren von HTTPS-Websites, die ACME zur Verwaltung von SSL-Zertifikaten verwenden, platzierten ein eindeutiges Token in den Verzeichnissen „/.well-known/acme-challenge/“ oder „/.well-known/pki-validation/“, um der Zertifizierungsstelle (CA) zu zeigen, dass sie die Domain kontrollierten. Die CA sende ihnen einen spezifischen Code für eine HTML-Seite, die sich in diesem speziellen Verzeichnis befinden müsse. Die CA suche dann nach diesem Code, um die Domäne zu validieren. Die Angreifer nutzten diese Orte, um Malware- und Phishing-Seiten vor den Administratoren zu verstecken.

Erscheinungsbild von bekannten Websites nachgeahmt

Diese Taktik sei effektiv, da dieses bereits auf den meisten HTTPS-Sites vorhandene Verzeichnis gut versteckt sei, so dass die Lebensdauer des bösartigen Inhalts auf der infizierten Website verlängert werde. Beispiele für Phishing-Webseiten, die bisher nach Angaben von Zscaler entdeckt wurden, ahmten unter anderem das Erscheinungsbild von „Office 365“, „Microsoft OneDrive“, „Dropbox“, „Yahoo“ und „Gmail“ nach.
„Wie wir an den Beispielen sehen, wird es für den Anwender immer schwieriger zu erkennen, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Eine sichere Alternative zum Aufrufen einer wirklich gewünschten Webseite ist mit einem gewissen Aufwand verbunden, kann sich aber aus Sicht der Internet-Sicherheit auszahlen. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen, die auch Sandbox-Funktionalität enthalten, kann dieser eigene Schutz wirkungsvoll ergänzt werden“, erläutert Rainer Rehm, „CISO EMEA Central“ bei Zscaler.

Foto: Zscaler

Rainer Rehm: Schutzmechanismen mit Sandbox-Funktionalität!

Abbildung: Zscaler

Beispiel Phishing-Webseite im Yahoo-Stil

Weitere Informationen zum Thema:

zscaler, Mohd Sadique, 26.03.2019
Abuse of hidden “well-known” directory in HTTPS sites / Compromised CMS sites leading to ransomware and phishing pages

datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

[datensicherheit.de, 16.03.2019] Zscaler hat nach eigenen Angaben aktuelle Scamming-Kampagnen aufgedeckt. Rainer Rehm, „CISO EMEA Central“ bei Zscaler: „Betrugskampagnen mit billigen Domains und Endungen, wie .tk,.ga,.gq,.ml,.cf sind seit einigen Jahren auf dem Vormarsch“ – unter dem Begriff „Scamming“ bekannte Angriffe basierten auf der Massenregistrierung günstiger Domains und würden von Cyber-Kriminellen durchgeführt, um über gefälschte Webseiten Umsatz zu generieren.

Webseiten zunehmend anspruchsvoll gestaltet und den nachgeahmten täuschend ähnlich

„Während einige dieser nachgeahmten Webseiten schlecht gemacht sind und der Betrug leicht erkennbar ist, werden andere Seiten anspruchsvoll gestaltet und sehen der nachgeahmten Webseite täuschend ähnlich“, warnt Rehm.
Da die Sicherheitsforscher des „Zscaler ThreatLabZ“-Teams aktuell einen Anstieg von Scamming-Kampagnen hätten beobachten können, unter anderem mit gefälschten Online-Bezahlseiten, Fluggesellschaften, Online-Services aller Art und sogar Nachrichtenseiten, sei die Vorgehensweise der Hacker genauer unter die Lupe genommen worden.

2019 vor allem Einsatz vergleichbarer URL-Muster für Scams

2018 habe der Support-Betrug die Scamming-Szene dominiert: „Dabei erhielten Anwender eine Benachrichtigung über eine Malware-Infektion ihres Computersystems verbunden mit dem Hinweis, dass unter einer Support-Hotline Nummer für Abhilfe gesorgt werden könne. Die bei Anruf gegen eine Gebühr bereitgestellte Nummer war ihr Geld nicht wert“, berichtet Rehm.
Dieses Jahr kämen vergleichbare URL-Muster für die Scams zum Einsatz, wobei die angebotenen Services auf die gleiche Infrastruktur zurückgriffen. Unabhängig davon, ob die gefälschten Webseiten medizinischen Angebote enthalten, Reparaturservices, Steuer-Dienstleistungen oder Fluggesellschaften, würden das identische Webseiten-Template und die gleichen Kontakt-Nummern verwendet. Rehm: „Die Verwendung der nahezu identischen Templates weist darauf hin, dass ein Scam-Kit verwendet wird, der die Seiteninhalte automatisch generiert.“

Nutzer sollten sich URL einer Website sehr genau ansehen

„Für den Anwender wird immer schwieriger erkennbar, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Umso wichtiger ist es für Nutzer zu beachten, dass besonders wichtige und kritische Webseiten – also mit Verlust von Geld oder Reputation verbunden – besser nicht aufgrund von dringend klingenden E-Mails durch Klicken auf in den Mails eingebunden Links besucht werden sollten“, unterstreicht Rehm.
Die sichere Alternative zum Ansurfen einer wirklich gewünschten Webseite sei mit der Mühe der Direkteingabe oder der Auswahl aus den eigenen Favoriten verbunden, zahle sich aber aus. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen wie der von Zscaler angebotenen könne dieser eigene Schutz wirkungsvoll ergänzt werden. „Nutzer sollten sich die aufgerufene URL einer Website also ganz genau ansehen um sicherzustellen, dass es sich um eine echte Website handelt, bevor eine Verbindung aufgebaut oder irgendeine Art von Transaktion durchgeführt wird“, rät Rehm.

Weitere Informationen zum Thema:

zscaler, 06.03.2019
Scammers Use Cheap and Squatted Domains to Create Fake Sites

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

[datensicherheit.de, 11.03.2019] Mit Rainer Rehm hat sich der Cloud Security Anbieter Zscaler einen erfahrenen Chief Information Security Officer (CISO) an Bord geholt, der gleichzeitig die Rolle des Datenschutzbeauftragten für EMEA übernimmt. In dieser Funktion tritt er in der Vertriebsphase für den Kunden als Berater auf, um die Anliegen von Sicherheitsexperten mit den Aufgaben der Betriebsräte in Einklang zu bringen. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Rehm warum diese Aufgabe als Vermittler der digitalen Transformation zunehmend gefragter wird.

Foto: Zscaler

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

ds: Warum brauchen wir heute eine Funktion, die den Kunden das Zusammenwirken von Datenschutz und Informationssicherheit erklärt?

Rehm: Wenn es um Datenschutz und Datensicherheit geht prallen in einem Unternehmen zwei Lager aufeinander, die nicht die gleiche Sprache sprechen. Die Betriebsräte (BR) leiten ihre Aufgabe aus dem Betriebsverfassungsgesetz ab. Der Sinn dieses Gesetzes ist der Schutz der Mitarbeiter vor allmächtiger Überwachung und Ausnutzung der schwächeren Position der Mitarbeiter. Die BR befassen sich mit abstrakten Themen und deren juristischen Definitionen und mit dieser Begrifflichkeit tut sich die IT-Abteilung schwer. Darüber hinaus sind auch die tatsächlichen Bestimmungen im täglichen Miteinander von Belang im Sinne dessen, was durchgeführt werden darf und was nicht.

Die Sicherheitsverantwortlichen brauchen für die technische Umsetzung von Datensicherheit klare Anweisungen und entsprechende Prüfverfahren, wie Hardening-Guides, welche die Systemkonfigurationen und Services definieren oder Checklisten, die belegen, dass alle notwendigen Maßnahmen für das Sicherstellen der Datensicherheit ergriffen wurden. Mit ihren Checklisten liefern sie Nachweise, die den Datenschützern und Auditoren den Beleg für die Sicherheit bieten. Was in dieser Gleichung der Security-Compliance fehlt, ist der Bogen zum Geschäftsrisiko eines Unternehmens. Zieht man das Business Risk in die Überlegungen von Datenschutz und Datensicherheit mit ein, bekommt man es mit entgegengesetzten Polen der gleichen Diskussion zu tun.

ds: Wie kann man diese entgegengesetzten Lager vereinen? Denn letztlich geht die Sicherheit des Unternehmens ja alle Parteien etwas an.

Die Datenschützer müssen mit den Security-Verantwortlichen ins Gespräch kommen. Dazu ist oftmals eine vermittelnde Funktion erforderlich, welche die Sprachen beider Pole spricht – eine Art Übersetzer. Jedes Lager hat seine eigene Fachterminologie und oftmals fehlendes Verständnis für die Gegenseite. Die IT-Abteilung kommuniziert mit der Sprache der Techniker und deren spezifischen Komponenten, dagegen die BR und Juristen reden in Begrifflichkeiten, die der IT Security-Spezialist nicht versteht.

Ein Beispiel: Privacy by Design trifft im Unternehmensalltag auf AES 265 Verschlüsselung. Genau an dieser Stelle kommt ein externer Vermittler ins Spiel, der als CISO in Personalunion mit dem Datenschutzbeauftragten beide Lager versteht. Als Mittelsmann springt er in die Bresche und sorgt dafür, dass Technik-, Juristenterminologie und auch die darunter liegenden Ansätze in Einklang gebracht werden können. Er sorgt zudem dafür, dass die Nachweise vorhanden sind, sei es als Betriebsvereinbarung oder als technischer Nachweis.

ds: Ist es die Cloudifizierung oder die DSGVO, die beide Pole zur Kooperation zwingt?

Beide Strömungen geben hier die entscheidenden Impulse. Ursprünglich war die IT-Abteilung in der Pflicht, inhouse die geforderte Sicherheitsinfrastruktur bereitzustellen und durch die getroffenen Maßnahmen die Compliance mit den Datenschutzanforderungen zu gewährleisten. Durch die Verlagerung der Sicherheitsfunktion aus dem Rechenzentrum in die Cloud – also den Bezug von Security as a Service – muss die IT-Abteilung den Cloud-Anbieter mit den Fragenstellungen der Sicherheit konfrontieren. Auch hier spielt der Compliance-Beauftragte/Auditor eine wichtige Rolle, denn er muss wiederrum überprüfen, ob alle rechtlichen Anforderungen durch den Service-Provider abgedeckt werden. Die Verantwortung wird in einem solchen Szenario an den Service-Anbieter delegiert, wobei sichergestellt werden muss, dass die nötige Sicherheitsfunktion bereitgestellt wird.

ds: Oft will in Puncto Sicherheit auch der Betriebsrat mit in die Diskussion einbezogen werden, wobei dieser dann wiederum andere Interessen vertritt. Wie kann ein CISO hier vermitteln?

Im Gespräch mit dem Betriebsrat kommt tatsächlich das Abwägen zwischen den Interessen des Unternehmens hinsichtlich Cybersecurity-Maßnahmen und den Interessen der BR auf den Tisch. Eine der Kernaufgaben des Betriebsrats besteht im Schutz der Mitarbeiter vor Leistungsüberwachung. Abgeleitet aus dem Betriebsverfassungsgesetz fordert der Betriebsrat ein Mitspracherecht und thematisiert Ängste der Mitarbeiterüberwachung durch den Einsatz technischer Lösungsansätze. Ein solcher Lösungsansatz ist beispielsweise das Aufbrechen von SSL-verschlüsseltem Datenverkehr zur Untersuchung auf Malware. Das Unternehmen rechtfertigt diese Maßnahme durch die Zunahme von Schadcode, der hinter der Verschlüsselung verborgen in Unternehmensnetzwerke eingeschleust wird, wie der jüngste Cloud Security Insights Report von Zscaler belegt.

Das Aufbrechen der verschlüsselten Datenströme zum Malware-Scan ist aus Sicht der Unternehmer erforderlich, um langfristig einen sicheren Betrieb zu garantieren. Denn wird durch eingeschleuste Malware die Kernkompetenz des Unternehmens ausgespäht, Baupläne oder Prozessbeschreibungen abgezogen, kann der Fortbestand eines Unternehmens gefährdet sein. Eine solche Kompromittierung muss die Unternehmensführung aus wirtschaftlichen Gründen verhindern um Arbeitsplätze zu erhalten. Auch der Betriebsrat möchte die Sicherheit des Arbeitsplatzes für den Mitarbeiter gewährleisten. So gesehen verfolgen der Unternehmer und der Betriebsrat den gleichen Zweck. Um beide Pole zusammenzubringen ist wiederum ein (externer) Berater hilfreich, der die Anliegen beider Seiten kennt und vermitteln kann. Ein CISO und Datenschutzbeauftragter kann dem Betriebsrat verdeutlichen, welche Maßnahmen, wie beispielsweise ein Vier-Augen-Prinzip in Bezug auf das SSL-Scanning, getroffen wurden, um die Funktion der Datensicherheit zu gewährleisten und zeitgleich den gläsernen Mitarbeiter zu verhindern.

ds: Und durch die DSGVO wird die Aufgabe zusätzlich um weitere Komponenten angereichert?

Durch die Grundverordnung sind Unternehmen in der Pflicht, zusätzlich zu Datensicherheit und Datenschutz noch eine weitere Ebene der Compliance abzudecken. Sie betrifft die Datenerhebung und -verarbeitung. Privacy by Design trifft also auf Privacy by Default! Aufbauend auf dem Datenschutzgesetz gilt es bei ersterem zu überlegen, welche Maßnahmen ergriffen werden müssen, dass nichts Unerwünschtes mit den Daten passieren kann – also die Absicherung des Datenverkehrs und der Datenverarbeitung gegen unbeabsichtigte Zugriffe. Andererseits muss bei Privacy by Default ein Kontakt im ersten Schritt explizit einwilligen, dass seine Daten überhaupt erhoben werden dürfen. In der Praxis bereitet dieser Teil der Umsetzung den Unternehmen das größere Kopfzerbrechen. Um nur ein Beispiel zu nennen befinden sich Cookies in aller Regel bereits auf der ersten Webseite eines Unternehmens und werden dort abgegriffen, bevor die Anfrage eingeblendet wird zum Einholen der Erlaubnis. Es gibt also durch die DSGVO zusätzlichen Aufklärungsbedarf, der die Datenschützer und CISOs weiterhin beschäftigen wird.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

Von unserem Gastautor Rainer Rehm, Data Privacy Officer EMEA, Zscaler

[datensicherheit.de, 28.01.2019] Der Data Privacy Day feiert am 28. Januar 2019 seinen 12. Geburtstag. Fast ein Jahr nach dem Inkrafttreten der EU-DSGVO können wir eine erste Bilanz ziehen, wie sich das Bewusstsein für den Datenschutz innerhalb der EU verändert hat. Daten, vor allem personenbezogene Daten, müssen nun von Unternehmen besser geschützt werden. Lange Zeit wurde auf Seiten des Gesetzgebers das Thema Datenschutz vernachlässigt; der bislang bei Datenschutzverstößen und -skandalen eher zahnlose Papiertiger kann aufgrund der eingeführten, gemeinsamen Grundlage endlich beißen. Unternehmen werden dadurch gezwungen, sich intensiver mit dem Thema auseinanderzusetzen. Dies führt nun dazu, dass beispielsweise Google von der französischen Datenschutzbehörde CNIL zu einer Strafe von 50 Mio. Euro verklagt wurde. Zum einen wird Google von zwei NGOs vorgeworfen, nicht transparent genug zu sein, was die Verarbeitung von Daten bei der Anmeldung – beispielsweise zur Nutzung von Android – betrifft und zum anderen bei der Einblendung personalisierter Anzeigen.

Foto: Zscaler

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

Bisher erst 20 Prozent der Unternehmen auf die EU-DSGVO vollständig vorbereitet

Wir stehen in diesem Jahr an einem Scheidepunkt, weil der Datenschutz im Internet erwachsen zu werden scheint. Unternehmen müssen sich ihrer Verantwortung bewusst werden, da sie bei Verstößen nun auch zur Verantwortung gezogen werden können. Tatsächlich sind laut aktuellen Schätzungen lediglich etwa 20 Prozent der Firmen wirklich EU-DSGVO „ready“ und damit in der Lage die Anforderungen umfassend zu erfüllen. Vor allem die notwendigen technischen Voraussetzungen zur Durchsetzung des „Rechts auf Vergessen werden“ fehlen wegen der komplexen IT-Architekturen vielerorts und auch die Reporting-Pflicht bei Datenverlusten innerhalb von einem 72-Stunden Zeitfenstern stellt oftmals aufgrund fehlender Tools zur Aufdeckung und daraus resultierender mangelnder Dokumentation der Reportingprozesse noch eine Herausforderung dar. Wenn aber technisch unklar ist, wo überall die abgespeicherten Daten liegen, ist das vor allem aus Security-Sicht ein großes Problem.

DSGVO mehr als ein Gesetz

Die DSGVO ist mehr als ein Gesetz, es ist die Grundlage für die persönliche Freiheit im Internet und schafft zumindest europaweit eine Grundlage mit internationalen Auswirkungen für den Datenschutz. Wir stehen jedoch erst am Anfang der Umsetzung und Unternehmen sollten sich an diesem Tag einmal mehr daran erinnert werden, dass sie ihre IT-Infrastruktur an die Anforderungen des Datenschutzes anpassen müssen.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

[datensicherheit.de, 24.01.2014] An der gemeinsam von (ISC)² und dem (ISC)² Chapter Germany e.V. organisierten Veranstaltung SecureDüsseldorf am 21.01.2014 in den Räumen des Gastgebers Oracle, nahmen gut 100 Security Experten aus den unterschiedlichsten Branchen teil. Auf der Tagesordnung standen unter dem Motto der Veranstaltung „Securing the Enterprise“ aktuelle Themen und Herausforderungen der IT-Sicherheit

Lars Klumpes, Information Security Director EMEA von Oracle, eröffnete den Tag mit seiner Keynote „Security as a Business Enabler“. These des Vortrags: IT-Sicherheit soll Geschäftsprozesse unterstützen und ermöglichen, anstatt zu verhindern.

© (ISC)²

Motto der Veranstaltung: „Securing the Enterprise“

Nicht erst bedingt durch die Diskussion um die Enthüllungen des Whistleblowers Edward Snowden wurde deutlich, daß Sicherheit und insbesondere Datensicherheit an Bedeutung zunehmen. Sowohl für Privatpersonen als auch für KMU und international agierende Großunternehmen rückt das Thema branchenübergreifend auf die Agenda und stellt zugleich eine Chance für den gesamten Berufsstand der IT-Sicherheitsexperten dar.

Diese Erkenntnisse spiegelten sich gerade auch in der Panel Discussion am Ende des Tages wider, an der Rainer Rehm, Präsident des (ISC)2 Chapter Germany e.V., Lars Klumpes von Oracle, Daniel Hallen von Dahamoo, Florian Stahl von msg systems und Ingolf Mollat von Ernst & Young teilnahmen. Zuvor hatte eine sehr intensiv und mit großer Beteiligung des Plenums geführte Debatte stattgefunden wie sich Experten für Informations- und IT-Sicherheit in einer Zeit staatlich motivierter Cyberspionage aufstellen müssen. Eine der  wichtigsten Aufgaben der Experten muß es demnach sein Mitarbeitern und Geschäftsführung gleichermaßen Orientierung in den komplexen Zusammenhängen zu geben.

Weitere Infromationen zum Thema:

(ISC)² Chapter Germany e.V.
http://www.isc2chapter-germany.org/