Schutz der Unternehmensdaten hat höchste Priorität

Der Schutz des Unternehmens-Netzwerks ist angesichts zunehmender Cyberangriffe notwendiger denn je. Auch die Art der Angriffe hat sich zuletzt verändert: Breit gefächerte, unkoordiniert eingesetzte Malware hat an Bedeutung verloren, stattdessen nehmen komplexe, zielgerichtete Attacken (so genannte Advanced Persistent Threats) auf Unternehmen und ihre Mitarbeiter, Systeme, Sicherheitslücken und Daten zu. Diese zielgerichteten Angriffe sind versteckter und raffinierter als je zuvor. Auch die Heartbleed-Sicherheitslücke in der Verschlüsselungstechnik OpenSSL zeigt: Es gibt keine hundertprozentige Sicherheit, ein Restrisiko bleibt. Unternehmen müssen dieses Restrisiko minimieren.

Darüber hinaus erhöhen gesetzliche Änderungen, wie die geplante neue EU-Datenschutzverordnung den Druck auf Unternehmen, die Sicherheit ihrer IT zu verbessern. Noch haben sie Zeit, ihre Sicherheits-Infrastruktur zu optimieren, denn die EU-Datenschutzverordnung verzögert sich und wird wohl erst 2017 rechtskräftig werden. Das ist aber kein Grund, sich zurückzulehnen. Unternehmen sollten IT-Sicherheit als stetigen strategischen Prozess betrachten.

EU-Datenschutzverordnung – die wichtigsten Inhalte

Die geplante EU-Datenschutzverordnung harrt derzeit noch der Genehmigung durch EU-Gremien. Die bisher gültige Richtlinie stammt aus dem Jahr 1995 und lässt den 28 Mitgliedstaaten viel Spielraum, wie sie die Vorgaben aus Brüssel umsetzen. Ergebnis ist ein europäischer Flickenteppich aus unterschiedlichen Regelwerken. Die neue Verordnung soll einheitliche und moderne Standards in der EU schaffen - auch um zu verhindern, dass Unternehmen für ihren Sitz den Mitgliedsstaat mit den lockersten Datenschutzbestimmungen wählen. Zur besseren Kontrolle soll ein neues EU-Aufsichtsgremium künftig die Einhaltung des Datenschutzrechts auf europäischer Ebene überwachen.

Unternehmen müssen dieser Behörde Datenverluste oder Sicherheitslücken nach deren Entdeckung innerhalb von 72 Stunden melden. Zudem werden die Sanktionen bei Verstößen gegen den Datenschutz drastisch erhöht. Brechen Unternehmen die Regeln der EU-Verordnung, so drohen ihnen Geldbußen von bis zu fünf Prozent ihres jährlichen weltweiten Umsatzes - ganz zu schweigen vom drohenden Imageschaden.

Unternehmen dürfen zudem persönliche Daten ohne Einwilligung des Nutzers nur noch beschränkt verarbeiten und weitergeben. Ansonsten müssen sie den Nutzer explizit fragen, ob er mit dieser Art von Datenverarbeitung einverstanden ist. Zudem sollen die Firmen keine User-Profile erstellen dürfen, wenn die Nutzer dies verbieten. In Zukunft muss jedes EU-Unternehmen zudem einen Datenschutzbeauftragten berufen, sobald es jährlich die Daten von mehr als 5.000 Menschen verarbeitet. Ziel all dieser Regelungen ist es, den Datenschutz für EU-Bürger zu verbessern.

Unternehmen sind schlecht vorbereitet

Eine aktuelle weltweite Studie des Ponemon Institut zeigt, dass viele Unternehmen bislang nur unzureichend auf die neue EU-Datenschutzverordnung vorbereitet sind. Vier Fünftel der befragten 5.000 IT-Sicherheitsexperten glauben, dass ihre Führungskräfte Datenmissbrauch nicht mit finanziellen Verlusten verknüpfen. Diese Position muss sich schnell verändern. Das Ponemon Institute schätzt, dass heute die durchschnittlichen Kosten eines verlorenen oder gestohlenen Datensatzes bei etwa 180 US-Dollar (rund 140 Euro) liegen; eine Datenlücke innerhalb der Organisation verursacht demnach im Durchschnitt einen finanziellen Schaden von 5,4 Millionen US-Dollar (etwa 4,3 Millionen Euro). Mit der Einführung der neuen EU-Regelungen werden diese Summen stark ansteigen.

Weniger als die Hälfte der befragten IT-Sicherheitsexperten glaubt, die Bedrohungslage ihres Unternehmens gut zu kennen. Und nur ein Drittel der Teilnehmer,  die bereits einen Datenverlust erlitten haben (35 Prozent), konnte genau ermitteln, welche Daten dem Unternehmen gestohlen wurden. Dies zeigt, dass viele Firmen in puncto Sicherheit noch großen Nachholbedarf haben. Sie sollten ihr Budget nicht nur in Maßnahmen zum Schutz der IT-Infrastruktur investieren, sondern auch eine risikobasierte, datenzentrierte Sicherheits-Strategie in Betracht ziehen. Und die Firmen dürfen die Schulung der eigenen Mitarbeiter nicht vergessen. Sie müssen diese für die potenziellen Gefahren sensibilisieren und zu einem verantwortungsbewussten Umgang mit Daten und Ressourcen auffordern. Hier sind Vorsicht und Aufklärung wichtige Faktoren.

 

Eine wichtige Rolle spielt dabei der Datenschutzbeauftragte, den in Zukunft jedes EU-Unternehmen berufen muss, sobald es jährlich die Daten von mehr als 5.000 Menschen verarbeitet. Er ist verantwortlich dafür, dass sein Unternehmen die Regeln der künftigen EU-Datenschutzverordnung einhält. Dabei sollte er nicht nur die rechtliche Seite im Blick haben, sondern muss eng mit der IT-Abteilung zusammenarbeiten, um die Sicherheits-Technologien zu kennen, mit denen diese das Unternehmen vor Angriffen schützt. Zudem ist es ratsam, für jede Geschäftseinheit einen eigenen Datenschutzbeauftragten zu ernennen, der den unternehmensweiten Datenschutzbeauftragten unterstützt.

Insgesamt gilt: Unternehmen sollten die Zeit bis zum Inkrafttreten der neuen EU-Datenschutzverordnung nutzen, um ihre Sicherheitsrichtlinien anzupassen und ihr Security-System zu optimieren. Nur dann gewährleisten sie den Schutz ihrer Daten und halten die Compliance-Vorschriften ein.

Autor: Neil Thacker ist Information Security & Strategy Officer bei Websense.

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags