Schlagwort-Archive: GDPR

Erpressung in neuer Dimension

von Richard Werner, Business Consultant

Die Diskussion über Datensicherheit im Zusammenhang mit der Datenschutz Grundverordnung wird in Deutschland und anderen Teilen der Welt gerade mit viel Verve geführt, da überrascht Bloomberg mit einer Nachricht: Offensichtlich hat die Firma Uber Technologies Hacker dafür bezahlt, die von ihnen gestohlenen Daten personenbezogener Art nicht zu veröffentlichen. Das Unternehmen selbst bestätigt, dass etwa 50 Millionen Uber-Nutzerkonten weltweit vom Diebstahl betroffen und dass es sich bei den „verlorenen“ Daten um solche wie Namen, Adressen und E-Mailadressen handelt. Ebenfalls immer noch typische Abwiegelung eines betroffenen Unternehmens: Keine Social Security-Nummern, Kreditkarteninformationen oder Standortdaten wurden gestohlen. Ist der Vorfall dann also harmlos?
Weiterlesen

Mehrere Schritte zur Compliance mit der Datenschutzgrundverordnung (DSGVO)

Originalbeitrag von Renaud Bidou


Der Countdown für das Inkrafttreten der DSGVO hat begonnen und Unternehmen müssen sich darauf vorbereiten. Denn die neue Verordnung zum Schutz personenbezogener Daten wird die Art und Weise revolutionieren, wie Unternehmen die persönlichen Daten ihrer Kunden und Mitarbeiter erfassen, speichern, verarbeiten und austauschen. Dieser neue Ansatz bei der Datenverarbeitung wird in den Unternehmen eine hierfür geeignete interne Organisation und Maßnahmen erforderlich machen, um den gesetzlich vorgeschriebenen Richtlinien gerecht zu werden.

Erfordert die DSGVO ein riesiges Projekt? Das hängt vom Unternehmen und dessen Nutzung der in seinem Besitz befindlichen personenbezogenen Daten ab, doch auf alle Fälle handelt es sich um einen obligatorischen Übergang, den die Organisationen in mehreren Etappen angehen müssen, um die persönlichen Daten zu sichern.

  1. Etappe: methodischer Ansatz oder Einleiten eines ersten Schritts

Zunächst muss ein Unternehmen Überlegungen anzustellen hinsichtlich schon vorhandener Strategien und deren Fähigkeit, den Leitlinien der DSGVO durch Einbeziehung aller Betroffenen des Unternehmens gerecht zu werden. Zu den Fragen gehören auch folgende: Welche Sicherheitslösungen werden „in situ“ entwickelt? Sind sie neu und werden sie regelmäßig aktualisiert? Entsprechen sie sie den Anforderungen für den Schutz vor neuen Bedrohungen gerecht? Eine vorgeschaltete Risikoanalyse macht es möglich, die potenziellen Schwachstellen des Unternehmens aufzuzeigen und die Auswirkungen auf Rechte und Freiheiten zu bestimmen, um dann die geeigneten Maßnahmen zu treffen. Da der Begriff der Verantwortung in der DSGVO sehr weit gefasst ist, ist es empfehlenswert, schon frühzeitig interne Fortbildungen der Mitarbeiter einzuleiten, um sie für die neuen Anforderungen und die aktuelle Bedrohungslandschaft zu sensibilisieren.

  1. Etappe: rechtlicher Ansatz bzw. Nachweis der „Untadeligkeit“ bei den Aufsichtsbehörden

Der Verantwortliche muss im Fall der meisten Datenschutzverletzungen diese innerhalb von 72 Stunden nach Kenntnisnahme den zuständigen Aufsichtsbehörden melden. Um dem Gesetz Genüge zu tun, müssen Unternehmen einen Plan für die Meldung von Datenschutzverletzungen bereitstellen, der alle Abteilungen umfasst, um einen Angriff sehr früh zu erkennen. Darüber hinaus besagt Artikel 32, dass der Verantwortliche und der Auftragsverarbeiter im Falle eines Sicherheitsvorfalls zusätzlich zu den zuständigen Behörden die Einzelpersonen informieren müssen, wenn „die Datenschutzverletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt“, es sei denn, sie haben geeignete technische und organisatorische Maßnahmen neuerer Generation umgesetzt, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich „Pseudonymisierung“ und Verschlüsselung. Um den verschiedenen Artikeln der Verordnung zu entsprechen, wird es von Bedeutung sein, eine gründliche Sicherheit zu implementieren, die die Prävention, Aufdeckung und Betreuung neuer Bedrohungen wie Ransomware beschleunigt und die Gesamtsteuerung der Sicherheitsinfrastruktur verbessert.

  1. Etappe: technologischer Ansatz oder die Entwicklung einer ganzheitlichen Verteidigungslinie

Während die Techniken zum Schutz personenbezogener Daten dem Wortlaut der Verordnung entsprechend standardmäßig implementiert sein müssen, weiß jeder, dass das „Wundermittel“ zur Abwehr jeglicher Bedrohung noch immer nicht existiert. Daher ist es wichtig, mehrere fortschrittliche Techniken zu kombinieren, um das höchste Schutzniveau zu erreichen – Anti-Malware, URL-Filterung, Verhaltensanalyse, Anwendungssteuerung, Sandbox, Signaturen usw. – und in koordinierter Weise zu arbeiten, um Prävention, Reaktion und Erkennung im Hinblick auf Bedrohungen zu optimieren. Die Umsetzung eines gründlichen Sicherheitsansatzes, der auf einem integrierten, datenzentrierten Schutz im gesamten Unternehmen, auf Verschlüsselung, virtuellem Patching und leistungsfähiger Überwachung basiert, um ständig den Sicherheitsstatus der IT-Infrastruktur zu kennen, wird dabei helfen, leistungsstarke Verteidigungsbarrieren aufzubauen und Bedrohungen schneller und genauer zu erkennen.

Die Einhaltung der DSGVO ist folglich die erste Etappe auf dem Wege zu einer besseren betrieblichen Sicherheit.

Die General Data Protection Regulation (GDPR) kommt, was nun?

Originalartikel von Raimund Genes, Chief Technology Officer

Nach all den Vorfällen im Jahr 2016 sollten Unternehmen das neue Jahr mit Umsicht beginnen. Der Anstieg der Business Email Compromise (BEC)-Angriffe sowie die Tatsache, dass Cyberkriminelle effizientere Wege einschlagen, um die Geräte im Internet of Things (IoT) zu missbrauchen, sollten Organisationen und dem Einzelnen als Warnung dienen, vorsichtiger zu sein. Eine der größten Herausforderungen für viele Unternehmen in diesem Jahr stellt die anstehende General Data Protection Regulation (GDPR) dar. Eine Reihe neuer Regeln dient dazu, den Datenschutz über alle EU-Mitgliedsstaaten hinweg zu vereinheitlichen. Die Datenschutzgrundverordnung bringt einige Schlüsselkomponenten, die Unternehmen direkt betreffen – auch solche außerhalb Europas.
Weiterlesen