Galerie: Und jährlich grüßt das mahnende Gewissen
Galerie: Ob die Geschehnisse rund um die Luca-App, der Umgang mit Google und Co. oder die neue Art des Arbeitens – Daten spielen eine wichtige Rolle in unserem (digitalen) Alltag. Der Data Privacy Day soll als Aktionstag daran erinnern und das Thema Datenschutz ins Bewusstsein rücken. Stimmen aus dem Markt.
DevSecOps zur Entfaltung bringen
Tobias Fischer, Advisory Sales Engineer bei AppDynamics:
„Der App Attention Index 2021 von AppDynamics hat gezeigt, dass die Sicherheit für Verbraucher die wichtigste Komponente bei der Anwendungserfahrung ist. Zudem geben 90 Prozent an, dass ihre Erwartungen an Marken, ihre Daten zu schützen, seit 2020 gestiegen sind. Marken müssen daher mehr unternehmen, um diese Erwartungshaltung der Nutzer in Bezug auf die Sicherheit zu erfüllen. Für eine starke Sicherheitsumgebung müssen Unternehmen heute über die notwendigen Prozesse verfügen, mit denen sie ihre Anwendungen und ihr Geschäft vor Schwachstellen und Bedrohungen schützen können. In einer Welt, in der sensible Daten ständig dem Risiko ausgesetzt sind, von Akteuren mit böswilligen Absichten kompromittiert zu werden, müssen Marken vorbereitet sein und ihre Sicherheitsmaßnahmen verstärken, um Bedrohungen vorherzusehen, zu verhindern und schnell auf sie zu reagieren.
DevSecOps, ein moderner Ansatz für die Softwareentwicklung, geht noch einen Schritt weiter und integriert Verbesserungen für die Sicherheit von Beginn der Entwicklung in den Lebenszyklus einer Anwendung, um so proaktiv das Risiko durch Bedrohungen für sensible Kundendaten zu verringern. Damit der DevSecOps-Ansatz jedoch seine volle Wirkung entfalten kann, benötigen die Teams eine Full-Stack-Observability-Lösung. Diese verschafft ihnen einen detaillierten Einblick in den gesamten IT-Stack, einschließlich traditioneller Legacy-System über neue, native Cloud-Umgebungen bis hin zu hybriden Bereitstellungen. Damit gehen sie einen wichtigen Schritt in die richtige Richtung.“
Systeme und Cloud-Datenspeicher proaktiv auf Malware und andere bösartige Inhalte scannen
Charles Smith, Consulting Solution Engineer, Data Protection, Barracuda, EMEA:
„Unternehmen müssen ihre eingesetzten Lösungen zur Datensicherung regelmäßig überprüfen. Nur so können sie sicherstellen, dass ihr Data-Recovery-Plan zuverlässig funktioniert. Eine gute Back-up-Lösung sollte in der Lage sein, die wichtigsten Datentypen wiederherzustellen, beispielsweise Office-365-Daten, Datenbanken, E-Mails und komplette Systeme wie virtuelle Server und physische Altsysteme, die noch genutzt werden. Bei Ransomware-Angriffen besteht oft die einzige Möglichkeit, Systeme sauber wiederherzustellen, also den gesamten bösartigen Code aus der Infrastruktur zu bekommen, darin, ein komplettes Recovery des Systems durchzuführen. Außerdem ist es wichtig, Systeme und Cloud-Datenspeicher proaktiv auf Malware und andere bösartige Inhalte zu scannen, um den Cyber-Kriminellen tunlichst einen Schritt voraus zu sein.“
Deutschland kann Vorreiter der neuen Datenökonomie in Europa werden
Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung:
„Die EU stellt nächsten Monat mit dem Data Act die Weichen für Europas technologische Zukunftsfähigkeit. Mit dem Data Act muss es gelingen, unser hohes Datenschutzniveau rechtlich so auszugestalten, dass die Potenziale der Datenwirtschaft freigesetzt, bestehende Hürden abgebaut und es europäischen Unternehmen ermöglicht wird, international erfolgreiche innovative Geschäftsmodelle zu entwickeln. Zuletzt haben drei Viertel der Unternehmen in Deutschland mit 20 oder mehr Beschäftigten beklagt, dass sie bereits Innovationsprojekte aufgrund von Datenschutzbestimmungen aufgeben mussten oder nicht umsetzen konnten. Die neue Bundesregierung hat jetzt die einmalige Chance, zu einem Vorreiter der neuen Datenökonomie in Europa zu werden – und damit auch bei den Richtungsentscheidungen der Regulierung entsprechend Gehör zu finden. Dazu genügt es nicht, regelmäßig zu betonen, dass wir in Datenschutz und Datenökonomie spitze sein wollen. Vielmehr bedarf es einer genauen Analyse und konkreter Vorschläge, ob und wie die Nutzung und der Austausch von Daten rechtssicher unter den geltenden Datenschutzbestimmungen verwirklicht werden können. Soweit nötig, müssen dafür auch neue rechtliche Grundlagen geschaffen werden.
Entscheidend wird dabei sein, dass alle Ministerien der Koalition mit einer Stimme sprechen und Vorhaben wie die Einrichtung eines Dateninstituts zügig umgesetzt werden. Europa wartet nicht auf uns. Zugleich gilt es Fehler der Vergangenheit zu vermeiden. Nationale Sonderregelungen wie das geplante Forschungsdatengesetz dürfen einen gemeinsamen europäischen Ansatz nicht aushöhlen. Die Weiterentwicklung und Umsetzung der nationalen Datenstrategie muss sich am internationalen Rahmen wie dem EU Data Governance Act und dem kommenden Data Act orientieren. Nationale Sonderwege und Kleinstaaterei gefährden nicht nur die Wettbewerbs- und Innovationsfähigkeit, sondern bringen Europas Datenökonomie auch international aufs Abstellgleis.“
Bedrohungslandschaft im ständigen Wandel
Lothar Geuenich, Regional Director Central Europe/DACH bei Check Point Software Technologies:
„Ende 2021 stellte Check Point Research fest, dass die Cyber-Angriffe auf Unternehmensnetzwerke im Vergleich zum Vorjahr um unglaubliche 50 Prozent zugenommen hatten. Der Bildungs- und Forschungssektor war mit durchschnittlich 1.605 Angriffen pro Woche am stärksten betroffen, dicht gefolgt von Behörden, Kommunikationsunternehmen und Internetdienstleistern. Sogar die Angriffe auf das Gesundheitswesen stiegen im Vergleich zur Zeit vor der Pandemie um 71 Prozent, was zeigt, dass nichts für Hacker tabu ist. In unserem Sicherheitsbericht 2022 stellten wir außerdem fest, dass E-Mails während der Pandemie zu einem immer beliebteren Verbreitungsweg für Malware geworden sind und nun 84 Prozent ausmachen. Über die Unternehmenswelt hinaus wurde auch deutlich, dass groß angelegte Angriffe auf kritische Infrastrukturen (KRITIS), wie der Vorfall bei der Colonial Pipeline in den USA, sehr reale Auswirkungen auf das tägliche Leben der Menschen hatten und sogar ihr physisches Sicherheitsgefühl bedrohten.
Der Tag der Datensicherheit ist der perfekte Zeitpunkt für Privatpersonen und Unternehmen, ihre Datenhygiene und Sicherheitsprotokolle zu prüfen, um sicherzustellen, dass ihre Daten so sicher wie möglich sind. Check Point beginnt das Jahr 2022 mit einer neuen strategischen Ausrichtung, die dem Motto folgt: Sie verdienen die beste Sicherheit.
Dennoch: Die vom Data Privacy Day geförderten Sicherheitspraktiken sind zwar von entscheidender Bedeutung, stellen aber nur eine Grundvoraussetzung dar. Wir wissen, dass Unternehmen es sich nicht leisten können, mit dem zweitbesten Konzept zufrieden zu sein, wenn es um die Verteidigung in einer sich ständig entwickelnden Bedrohungslandschaft geht.“
Im Wettrennen mit Cyberkriminellen
Wim Stoop, Customer and Product Director bei Cloudera:
„Unternehmen, die wirklich wirksame Regeln für die Datensicherheit aufstellen wollen, müssen in der Lage sein, sensible Daten zu identifizieren und aus den heterogenen Infrastrukturen innerhalb des Unternehmens zusammenzuführen. Nur dann können sie wirksame Regeln für die Datensicherheit erstellen. Bei dieser Tätigkeit befinden sie sich im dauernden Wettrennen mit Cyberkriminellen.“
Der sichere Umgang mit Daten bestimmt die Handlungsfähigkeit digitaler Organisationen
Harald Schütz, Corporate Product Manager, Conpal:
„Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr für Jahr deutlicher zu Tage. Die vergangenen zwei Jahre haben gezeigt, dass digitale Zusammenarbeit unter nahezu allen Bedingungen möglich ist, die Sicherheit der Daten dabei jedoch keine Selbstverständlichkeit ist. Angesichts flexibler Arbeitsmöglichkeiten kann allein die Absicherung von IT-Umgebungen die Datensicherheit nicht gewährleisten. Gesetzliche Datenschutzstandards wie die DSGVO, ISO27001 oder branchenspezifische Vorgaben wie KHZG und TISAX belegen die vielfältigen Facetten, die in den verschiedenen Ausprägungen automatisierter Datenverarbeitung relevant sind.
Für Unternehmen wird damit deutlich, welche Bedeutung ein sicherer Umgang mit Daten für ihre Handlungsfähigkeit als digitale Organisation hat. Der Verlust oder Diebstahl unternehmenseigener Daten sowie sensibler Kundendaten kann sowohl zu Wettbewerbsnachteilen als auch rechtlichen Konsequenzen führen. Daraus folgt, dass Unternehmen zunehmend den Datenschutz ins Zentrum ihrer Sicherheitsbemühungen stellen müssen. Sie haben erkannt, dass ihre Handlungsfähigkeit von ihrer Kontrolle über die Datenmengen abhängt, die sie verarbeiten. Dafür setzen immer mehr Organisationen auf IT-Sicherheitskonzepte, die sich entlang von Datenschutzrichtlinien entwickeln lassen und außerdem die Durchsetzung von Sicherheits- und Zugriffsrichtlinien bis hinunter auf Dateiebene erlauben. Datenschutz entwickelt sich damit künftig zu einem Dreh- und Angelpunkt im digitalen Geschäftswesen.“
Auch Software-Bots haben Probleme mit der Weitergabe von Daten
David Higgins, Technical Director EMEA bei CyberArk:
„Nicht nur bei Menschen besteht die Gefahr, dass sie auf den falschen Link klicken oder vielleicht etwas zu unbekümmert Informationen preisgeben. Auch Software-Bots sind davon betroffen. Software-Bots – kleine Code-Teile, die sich wiederholende Aufgaben erledigen – findet man weltweit in Unternehmen, im Bankwesen, in Behörden und in allen anderen wichtigen Branchen. Die Idee dahinter ist, dass sie menschliche Mitarbeiter für geschäftskritische, kognitive und kreative Aufgaben entlasten, aber auch zur Verbesserung von Effizienz, Genauigkeit, Flexibilität und Skalierbarkeit beitragen. Sie sind somit ein wichtiger Bestandteil des digitalen Geschäfts.
Datenschutzrechtlich wird es dann kritisch, wenn man sich überlegt, was diese Bots brauchen, damit sie ihre Aufgaben erledigen können. In den meisten Fällen geht es um den Zugriff: Um Ärzten zu helfen, fundierte, klinische Vorhersagen zu treffen, benötigen sie sensible und persönliche medizinische Daten. Um diese sammeln zu können, brauchen sie wiederum einen Zugang dazu. Wenn sie beispielsweise Kundendaten verarbeiten müssen, die auf einem öffentlichen Cloud-Server oder einem Webportal gespeichert sind, müssen sie ebenfalls darauf zugreifen können. Wir wissen um die möglichen Folgen, wenn menschliche Identitäten kompromittiert werden. Dasselbe kann aber auch Bots passieren – und zwar in großem Umfang. Wenn Bots schlecht konfiguriert und codiert sind, können sie womöglich auf mehr Daten zugreifen als nötig. Dadurch können diese Daten an Orte gelangen, wo sie nichts zu suchen haben.
Wir hören fast täglich von Insider-Angriffen, die auf sensible Daten abzielen. Nicht nur Personen, sondern auch Maschinen stellen ein Sicherheitsrisiko dar. Wenn sie auf vertrauliche Daten zugreifen können und nicht ordnungsgemäß gesichert sind, steht das Tor für Angreifer weit offen; damit wird auch die Privatsphäre des Einzelnen gefährdet. Angreifer haben es nicht vorrangig auf die menschlichen Nutzer abgesehen, sondern in erster Linie auf die Daten selbst. Wenn Maschinen, insbesondere solche, die für automatisierte Prozesse wie Banküberweisungen, Web Scraping und das Verschieben von Kundendateien zuständig sind, den besten Weg darstellen, um an diese Daten zu gelangen, dann werden Angreifer zukünftig diesen Weg wählen.“
Datenschutz in DNA von Unternehmen verankern
Peer Heinlein, Geschäftsführer Heinlein Support und von Mailbox.org:
„Obwohl IT-Experten und Datenschützer von vornherein warnten und mit der offiziellen Corona-Warn-App eine datenschutztaugliche Lösung ohne Zusatzkosten zur Verfügung stand, sollte die Luca-App in verschiedenen Bundesländern aus politischen Gründen unbedingt eingeführt werden. Zu groß war wohl das politische Interesse, hier Aktion und Aktivismus zeigen zu können und der Wunsch, sich in der Strahlkraft des Vorzeigerappers Smudo sonnen zu können. Ein Jahr später ist klar: Aus Warnungen ist Wirklichkeit geworden. Nicht nur, dass das Fazit zur Luca-App ‚Außer Spesen, nichts gewesen‘ lauten muss – es hat sich auch wieder einmal gezeigt, dass staatliche Stellen aus Eigeninteresse vor einer ganz offensichtlich rechtswidrigen Datenabfrage nicht zurückschrecken, wie es zum Beispiel die Mainzer Polizei getan hat. Die Hüter des Gesetzes auf illegalen Wegen – doch der Zweck heiligt auch hier nicht die Mittel. Wenn dann noch die Betreiberfirma der Luca-App diese Auskünfte erteilt, haben alle Sicherungsebenen zusammen versagt.
Und so ist stets darauf zu achten, dass, je sensibler die verarbeiteten Daten sind, umso mehr der Datenschutz als wesentliches Kern-Merkmal in IT-Konzepten und in der DNA der beteiligten Unternehmen verankert sein muss. Der scheinbar schnelle politische Erfolg auf der Medienbühne darf nicht dazu führen, dass dies außer Acht gelassen wird. Anders als häufig als Entschuldigung angeführt, steht ein wirksamer und effektiver Datenschutz weder Innovationen noch dem aktuell notwendigen Corona-Gesundheitsschutz im Weg, wie die Corona-Warn-App deutlich gezeigt hat.“
Komplexität ist der Feind der Compliance
Lecio De Paula, VP of Data Protection bei KnowBe4:
„Obwohl das Metaverse im Jahr 2021 die ganze Aufmerksamkeit auf sich zog, wurden einige scheinbar harmlose Errungenschaften im Bereich des Datenschutzes übersehen. Allein im vergangenen Jahr wurden Dutzende neuer Datenschutzgesetze entworfen und/oder erlassen, hochkarätige Unternehmen wurden mit massiven Strafen für Verstöße gegen Datenschutzgesetze belegt (weltweit über 350 Millionen Euro an Bußgeldern), und die Regulierungsbehörden wurden mit der Bereitstellung präziser Leitlinien beauftragt, um Unternehmen bei der Einhaltung der verschiedenen geltenden Datenschutzgesetze zu unterstützen. Diese verschiedenen Ereignisse im Jahr 2021 stehen für die datenschutzspezifischen Veränderungen, die von den globalen Aufsichtsbehörden und Organisationen vorgenommen werden. Dies führt zu Umwälzungen in der Technologie- und Werbebranche, die auf Big Data und große Mengen an Verbraucherdaten angewiesen sind, und wird dies auch in absehbarer Zukunft tun.
Darüber hinaus haben Länder auf der ganzen Welt das Datenschutzproblem erkannt und nutzen das DSGVO-Modell, um ihre eigenen Datenschutzgesetze zu entwerfen – was für Unternehmen sehr vorteilhaft ist, da es die Einhaltung dieser Gesetze skalierbar macht. Regierungen auf der ganzen Welt beginnen zu verstehen, dass Komplexität der Feind der Compliance ist (soweit es den Datenschutz betrifft), und die Länder müssen ähnliche Standards einführen, um ihre Daten zu schützen, damit die Wirtschaft weiterhin reibungslos funktioniert. Ich gehe davon aus, dass sich diese Trends bis 2022 und darüber hinaus fortsetzen werden, mit ein paar Überraschungen hier und da.“
Wahrung der Rechte und die Zurückgewinnung der Kontrolle über Daten
Bernd Hennicke, Vice President Product Marketing bei OpenText:
„Die Datenschutzreform hat unsere globale Gemeinschaft für immer verändert. Mit Beginn des Jahres 2022 müssen sich Unternehmen mit einer Gesellschaft auseinandersetzen, die von ihnen deutlich mehr Verantwortungsgefühl und Vertrauenswürdigkeit einfordert. Die jüngsten Schritte verschiedener Länder, um den Schutz persönlicher Daten und deren Verarbeitung zu stärken (etwa das chinesische Datenschutzgesetz), werden weltweit weitreichende Folgen für die persönlichen Rechte auf Privatsphäre und Datenschutz haben.
In der heutigen Gesellschaft sind Menschen mehr denn je in der Lage dazu, ihre Rechte wahrzunehmen und Data Subject Access Requests (DSAR) zu stellen – also Anträge auf Einsicht in die über ihn gespeicherten Daten eines Unternehmens. Mehr denn je sind sie auf die Wahrung ihrer Rechte und die Zurückgewinnung der Kontrolle über ihre Daten bedacht. Sie möchten einen Überblick darüber haben, was mit ihren Daten geschieht, und den Zugriff darauf anpassen oder sogar ganz verbieten. Um diesen datenintensiven Anforderungen gerecht zu werden und die Ressourcenknappheit zur Unterstützung wichtiger Geschäftsaktivitäten zu überwinden, müssen Unternehmen die Automatisierung von Prozessen zur Datenlöschung in Angriff nehmen und Case-Management-Tools einsetzen, mit denen sich Leistung und Wirksamkeit am besten verfolgen lassen.”
Datenschutz in der Cloud-Kommunikation bleibt das A und O
Marco Meier, Regional Vice President Sales für die DACH-Region bei RingCentral:
„Gerade im deutschen Markt ist Datenschutz in der Cloud das A und O. Ganz gleich, ob es um interne Kommunikation geht oder um das Teilen sensibler Kunden- und Unternehmensdaten an externe Parteien, Unternehmen müssen sich mit zuverlässiger, sicherer Software ausstatten – gerade in der Cloud-Kommunikation. In diesem Bereich gab es im vergangenen Jahr unter anderem eine bedeutende Änderung der Europäischen Kommission zu neuen Standardvertragsklauseln (SCC). Diese Klauseln regeln seit September 2021 alle Übermittlungen personenbezogener Daten aus dem Europäischen Wirtschaftsraum in ein Drittland – also in ein Land, das nach Auffassung der Europäischen Kommission kein angemessenes Datenschutzniveau bietet.“
Datenschutz in der Firmenphilosophie verankern
Arne Ohlsen, Senior Field Marketing Manager bei SailPoint:
„Der jährlich stattfindende Data Privacy Day – ursprünglich als Europäischer Datenschutztag ins Leben gerufen – ist für Firmen Grund genug, sich erneut mit grundsätzlichen Fragen rund um den Datenschutz zu befassen. Neben offensichtlichen Compliance-Aspekten ist eine wichtige Frage, welche Ansprüche Kunden und Partner haben und wie sich diese in den letzten Jahren verändert haben. Hier ist vor allem eins wichtig: Transparenz. Dies beinhaltet, dass Unternehmen klar kommunizieren, wie die gesammelten Informationen verwendet werden, um Kunden einen Mehrwert zu bieten und zu zeigen, wie ihre Daten und ihre Privatsphäre geschützt werden. Das kann bei Daten, die mit proprietärem Machine Learning verbunden sind, eine besondere Herausforderung darstellen.
Aber: Die Transparenz der Algorithmen zeigt genau, ob ein Betrieb sich dem Datenschutz wirklich verpflichtet fühlt oder das Thema vernachlässigt wird. Insgesamt sollten Unternehmen den Schutz ihrer Kundendaten als einen ihrer Grundwerte verankern und diesen Wert als Teil ihrer Kommunikation in die Welt tragen. Denn im Idealfall ist der Kunde nicht nur König, sondern seine Daten sind zu jeder Zeit bestens geschützt.
im Idealfall ist der Kunde ist nicht nur König, sondern auch immer bestens geschützt.“
Diensteanbieter können und dürfen sich nicht alles erlauben
Matthias Canisius, Regional Director CE & EE bei SentinelOne:
„So gut wie jeder interagiert heute mit dem Internet und nutzt dafür soziale Netzwerke, mobile Geräte und verschiedene Software und Kommunikationstools. Die meisten Nutzer verstehen und akzeptieren, dass sie, um diese kostenlosen Dienste und Technologien nutzen zu können, einige ihrer privaten Informationen preisgeben müssen. Soziale Netzwerke kennen unsere Vorlieben und wissen, wer unsere Freunde sind; Suchmaschinen scannen den Inhalt unserer E-Mails, um uns maßgeschneiderte Suchergebnisse anzubieten, und mobile Anwendungen sammeln Informationen über uns, um die Interaktion zu verbessern (und den Konsum zu steigern).
Die meisten Menschen nehmen diese Datenerfassung, -speicherung, -katalogisierung und -analyse gelassen hin. Schließlich haben sie dem ja ‚zugestimmt‘. Wenn Nutzer jedoch feststellen, dass jemand ohne vorherige Zustimmung Informationen über sie sammelt, entsteht zu Recht eine gewisse Aufregung. Aufschrei hin oder her, Google, Amazon und Facebook, aber auch Apple und Samsung und viele andere werden weiterhin so viele Informationen wie möglich über ihre Nutzer sammeln. All dies ist Teil ihres Geschäftsmodells. In einigen Fällen können die Unternehmen ihre Dienste nur dank dieser Datenerfassung zu dem Preis anbieten, den sie verlangen: oft zum Nulltarif.
Für die meisten von uns ist es entweder unpraktisch oder unmöglich, sich wirklich von diesen Unternehmen zu lösen; wir akzeptieren ihren verhältnismäßigen Eingriff in unsere Privatsphäre, weil die Bequemlichkeit oder der Nutzen ihres Dienstes uns einen Wert bietet. Das bedeutet aber nicht, dass diese Diensteanbieter tun und lassen können, was sie wollen. Es werden immer mehr Stimmen laut, die eine stärkere Aufsicht durch die Regulierungsbehörden und die Einführung und Durchsetzung strengerer Datenschutzgesetze fordern.“
Transparenz und Kontrolle über die Daten
Oliver Cronk, Chief IT Architect, EMEA bei Tanium:
„Wenn es zu Cyberangriffen kommt, erfahren wir oft von deren Auswirkungen auf die Kunden, wie der Menge an Kundendaten, auf die zugegriffen wurde oder der Art der gestohlenen Zugangsdaten. Jedoch wird der Schutz der Privatsphäre der Mitarbeiter oft übersehen, da das Ausmaß der Kundendaten für bessere Schlagzeilen sorgt. Die Auswirkungen von Cyberattacken können aber für Mitarbeiter weitaus gravierender sein, da es sich oftmals um persönliche Daten handelt, die auf internen Systemen gespeichert sind.
Natürlich haben Arbeitgeber schon immer sensible Mitarbeiterdaten gesammelt, aber als Folge der Pandemie sind nun auch medizinische Daten dazu gekommen. Es besteht nun also die Sorge, dass Gesundheitsdaten, wie der Impfstatus, in Unternehmenssystemen gespeichert werden und diese dann verletzt werden könnten. Beim Abwägen der DSGVO-Verpflichtungen kann es für Organisationen schwierig sein, diese Situation zu vermeiden und gleichzeitig die Vorschriften einzuhalten.
Angesichts der Speicherung derart sensibler Daten ist es für Unternehmen unabdingbar, eine größere Transparenz und Kontrolle über ihre Daten zu haben, um die Wahrscheinlichkeit von Verstößen zu minimieren. IT-Teams sollten über eine klare Strategie verfügen, wo Daten gespeichert und gesichert werden, unabhängig davon, ob sie eine Cloud- oder eine lokale Umgebung nutzen, damit Schwachstellen identifiziert und behoben werden können, bevor es zu einem Vorfall kommt. Mit diesem Maß an Transparenz und Kontrolle können ungewöhnliche Aktivitäten und unbefugte Zugriffe auf die Systeme frühzeitig erkannt werden, was von entscheidender Bedeutung ist.“
Datenschutz bedeutet in der Konsequenz auch Datensicherheit
Roger Scheer, Regional Vice President Central Europe bei Tenable:
„Datenschutz und Datensicherheit sind zwar zwei unterschiedliche Disziplinen, aber unwiderruflich miteinander verwoben – man kann keine Privatsphäre haben, ohne sie zu schützen. Dennoch war das Jahr 2021 laut einer Studie des Security Response Teams von Tenable ein weiteres Rekordjahr für Cybersicherheitsvorfälle und damit auch für Datenschutzverletzungen. Im Jahr 2021 wurden weltweit unglaubliche 40 417 167 937 Datensätze offengelegt. Diese Zahl ist jedoch nur ein winziger Prozentsatz der tatsächlichen Zahl. Laut der Analyse der Sicherheitsforscher enthielten nur 13 Prozent der enthüllten Sicherheitsverletzungen Informationen über die Anzahl der gefährdeten Datensätze.
Das Problem ist, dass Kriminelle wissen, dass sie mit ihren Verbrechen Geld verdienen können, indem sie es auf wertvolle Daten abgesehen haben. Die Daten müssen sie nicht immer tatsächlich ‚stehlen‘, da allein die Drohung, sie preiszugeben, viele Unternehmen dazu zwingt, auf Lösegeldforderungen einzugehen. Bei den Angriffswegen, die ein Eindringen ermöglichen, handelt es sich in den allermeisten Fällen nicht um fortgeschrittene Bedrohungen, sondern um bekannte, aber nicht gepatchte Schwachstellen. Unternehmen müssen sich daher darauf konzentrieren, diese Angriffswege, die Angreifer ausnutzen wollen, zu identifizieren und zu blockieren. Sie müssen herausfinden, was für das Unternehmen wichtig ist, wie es aufgestellt ist und ob es angreifbar ist. Dann gilt es gezielte Maßnahmen zu ergreifen, um den Schutz zu verbessern.
An diesem Tag des Datenschutzes sollten wir uns daran erinnern, dass Datenschutz auch Sicherheit bedeutet.“
Mangelnder Überblick über die Verarbeitung von sensiblen Daten
Helmut Semmelmayer, Senior Manager Channel Sales, Tenfold Software:
„Eine der größten Herausforderungen in Sachen Datenschutz ist mangelnder Überblick. Unternehmen und Behörden, die sensible Daten verarbeiten, wissen oft nicht einmal, welche Informationen wo gespeichert sind und wer darauf zugreifen kann. Die steigende Verbreitung von Cloud-Diensten wie Microsoft 365 erschwert die Lage hier zusätzlich. Innerhalb dieser Plattformen sind geschützte Daten meist auf viele unterschiedliche Dienste verstreut und werden unbeabsichtigt mit mehr Personen geteilt, als eigentlich vorgesehen war. Die Folge sind gravierende Sicherheitslücken, die oft lange Zeit unbemerkt bleiben.
Um sensible Daten sowohl innerhalb als auch außerhalb einer Organisation vor unberechtigten Zugriffen zu schützen, braucht es heute moderne Identity und Access Management Lösungen, die Unternehmen und Behörden bei der Verwaltung dieser komplexen digitalen Umgebungen unterstützen und somit für Ordnung und Sicherheit sorgen. Die automatische Anpassung von Benutzerkonten und Berechtigungen eliminiert etwaige Sicherheitslücken, die durch falsch konfigurierte Zugriffsrechte entstanden sind, und erlaubt es Datenschutzbeauftragten, jederzeit nachzuvollziehen, wer Informationen zu welchem Zeitpunkt einsehen konnte. Dadurch ist es ein Leichtes, den Zugang zu Daten DSGVO-konform einzuschränken und Datenschutzverstößen effektiv vorzubeugen.“
Risiken der neuen Art des Arbeitens
Chris Harris, EMEA Technical Director bei Thales UK:
„Der Europäische Datenschutztag ist eine wichtige Erinnerung für Unternehmen, ihre Sicherheitsstrategien zu analysieren und die Konsequenzen eines Rückstands zu verstehen. In einer Zeit, in der die Aufsichtsbehörden Datenschutzverstöße mit Geldstrafen ahnden, die genauso viel kosten können wie der Ruf eines Unternehmens, war die Stärkung der Sicherheitsmaßnahmen noch nie so wichtig wie heute. Da sich die Welt Pandemie-bedingt auf eine neue, hybride Arbeitsweise eingestellt hat, ist fast jede Branche gezwungen, ihre Strategien für die Digitale Transformation zu optimieren, um den neuen Anforderungen und Arbeitsweisen gerecht zu werden.
Da viele Unternehmen und deren Beschäftigte über ein Netzwerk an mehreren Standorten arbeiten, waren Daten noch nie so allgegenwärtig wie heute. Diese neue Art des Arbeitens birgt jedoch das Risiko, dass sensible Informationen von unsicheren Geräten außerhalb des Unternehmensnetzes abgerufen werden. Unternehmen müssen sich darüber im Klaren sein, dass es keine Zeit für eine Anpassungsphase gibt und dass es sich langfristig nachteilig auswirken könnte, wenn sie den Zugang zu ihren Daten nicht kontrollieren und sie nicht an der Quelle durch Verschlüsselung schützen.“
„Wasserstandsanalyse“ für den Datenschutz
Eric Waltert, Regional VP DACH bei Veritas Technologies:
„Der ‚Data Protection Day‘ oder Datenschutztag ist der ideale Zeitpunkt, um die eigene Sicherheitslage zu bewerten. Diese ‚Wasserstandsanalyse‘ zeigt sehr gut, an welcher Stelle die Firmen-Netz-Struktur robust gebaut und wo sie aufgeweicht und daher anfälliger ist. So sind bei nahezu jedem Unternehmen die Datenspeicher in den vergangenen zwölf Monaten mit mehr Daten als üblich vollgelaufen. Das lag vor allem an neuen Arbeitsformen und neuen digitalen Angeboten, die vielerorts aufgrund der Lockdowns aufgesetzt wurden.
Der Datenschutztag eignet sich perfekt, um eine Bestandsaufnahme vorzunehmen. Welche neuen SaaS-Anwendungen laufen, welche frischen Cloud-und Edge-Datenspeicher wurden eingerichtet, welche neuen Workloads wie containerbasierte Apps wurden eingeführt? Diese Inventur hilft dabei, mögliche Lücken im Abwehrschirm zu identifizieren und auf mögliche Compliance-Risiken angemessen zu reagieren.
Laut DLA Piper verhängten europäische Datenaufsichtsbehörden im vergangenen Jahr Bußgelder in Höhe von 1,1 Milliarden Euro. Einer Studie von Veritas zufolge fielen deutsche Unternehmen in den letzten 12 Monaten zudem im Durchschnitt knapp zwei Ransomware-Angriffen zum Opfer, die zu Störungen und Ausfallzeiten geführt haben. Sowohl die Risiken als auch die Datenmengen nehmen weiter zu. Die meisten Verantwortlichen kennen diese Herausforderungen und passen ihre Datenschutzstrategien kontinuierliche daran an. Allerdings können sie nur Daten schützen, die sie auch kennen. Mit Tools, die den Standort und Wert von Daten sowie das damit verbundene Risiko aufzeigen, erhalten IT-Leiter alle relevanten Informationen, um die richtigen Schutzmaßnahmen zu ergreifen. Allein die Implementierung einer einzigen Datenschutzplattform, die sich für den gesamten Datenbestand - sowohl im Rechenzentrum als auch in der öffentlichen Cloud – einsetzen lässt, vereinfacht den Prozess der Datensicherung deutlich.“
Selbst Verantwortung für den Schutz der persönlichen Daten übernehmen
Michael Haas, Regional Vice President Central Europe bei WatchGuard Technologies:
„Wenn die falschen Personen in den Besitz solch einschlägiger Informationen gelangen, kann es weitreichende Folgen haben, die das Opfer zum Teil über Jahre zu spüren bekommt. Insofern ist es wichtiger denn je, dem Schutz von persönlichen Daten die notwendige Aufmerksamkeit entgegenzubringen. Mit der Umsetzung des folgenden Gelöbnisses kann jeder einzelne seinen Teil dazu beitragen, Ärger, Kosten und Aufwand von vornherein aus dem Weg zu gehen. Datenschutz-Gelöbnis:
Ich gelobe …
… unerwarteten Nachrichten mit der nötigen Skepsis zu begegnen.
… der Versuchung zu widerstehen, auf Links zu klicken oder Dateien herunterzuladen.
… einen Passwort-Manager zu nutzen.
… wo immer möglich, Multifaktor-Authentifizierung einzusetzen.
… vor der Einrichtung neuer Online-Konten die Datenschutzrichtlinien lesen.
… die Antiviren- und Sicherheitssoftware auf meinen Endgeräten auf dem neuesten Stand zu halten.
… öffentliche WLAN-Verbindungen grundsätzlich mit Argwohn zu betrachten.
… in sozialen Medien vorsichtig zu agieren.
... die mir angebotenen Privatsphäre-Einstellungen zu nutzen, um beispielsweise sicherzustellen, dass nicht jeder beliebige Nutzer meine Profilinformationen und Beiträge einsehen kann.
... nur Personen, die ich kenne und von deren Identität ich überzeugt bin, zu meinem Netzwerk zuzulassen.
... keine persönlichen Informationen bei Gewinnspielen, Umfragen oder in sonstige Formulare einzugeben, die durch Werbung „aufploppen“.
Wer diese Vorsätze beherzigt, ist auf dem Weg zu mehr Datenschutz bereits ein ganzes Stück weit vorangekommen. Generell gilt: Bleiben Sie aufmerksam – und das nicht nur am Datenschutztag.“
Einfallstor digitale Identität
Alexander Koch, VP Sales EMEA bei Yubico:
„Der Europäische Datenschutztag soll uns die Tatsache ins Bewusstsein rufen, dass wir uns nicht leichtsinnig und ungeschützt im Internet bewegen sollen. Da jeden Tag mehr Wertschöpfung über das Internet stattfindet, ist ein gesundes Maß an Vorsicht mehr als angebracht. Denn neben offensichtlich wertvollen Zugängen wie dem Online-Banking-Account sind auch sensible Daten eine gewinnbringende Ware, derer sich die Cyberkriminellen nur allzu gerne ermächtigen würden. Eine digitale Identität, die durch Online-Accounts repräsentiert wird, eröffnet den kriminellen Hackern nämlich vielfältige Möglichkeiten, Profit zu generieren oder sie für unrechtmäßige Zwecke zu missbrauchen.
Eine der wirksamsten Methoden, um seine Zugänge vor Hackern zu schützen, ist die Absicherung aller Accounts durch multiple Faktoren. Um eine Übernahme von Nutzerkonten auch nach einem Passwortverlust zu gewährleisten, kann man zusätzliche Faktoren zur Identifizierung und Authentifizierung einrichten. Hat ein Krimineller erstmal das Passwort in seinen Besitz gebracht, benötigt er trotzdem noch mindestens einen weiteren Faktor, um den Zugang zum Nutzerkonto seines Opfers zu erlangen. Mithilfe eines physischen Hardwaretokens besitzt der Nutzer einen Zusatzfaktor, der unmöglich vom Hacker erbeutet werden kann. Nicht ohne Grund setzen immer mehr Firmen auf eine physische Authentifizierung, die ihnen größtmögliche Sicherheit bietet.
Wer auf Nummer sicher gehen will, prüft vor der Anschaffung, ob das jeweilige Portal die Möglichkeit zur Multifaktor-Authentifizierung ermöglicht. Branchengrößen wie Google, Microsoft oder Facebook sowie die meisten E-Mailportale sind bereits seit vielen Jahren MFA-kompatibel – und jeden Tag stoßen weitere Seiten hinzu.“
Der sorgsame Umgang mit dem Daten-Eldorado
Kevin Schwarz, Director, Transformation Strategy bei Zscaler:
„Daten sind im Zeitalter der Digitalisierung wie das Gold von Unternehmen und die allgegenwärtige Vernetzung von Maschinen und Menschen ließ neue Möglichkeiten entstehen, Daten zu generieren und wertsteigernd zu nutzen. Nun sollen diese schier unüberschaubaren Bestände bei Geschäftsentscheidungen die Erfahrungswerte ablösen. Doch der Weg zur sicheren Nutzung des Daten-Eldorados ist lang und steinig.
Es geht um beide Seiten der Medaille – woher stammen die Daten und was passiert im Anschluss? Die überwiegende Mehrheit der Anwender ist sich des Werts ihrer Daten bewusst und will entscheiden, welche Informationen über ihr Verhalten sie preisgeben. Datenschutz muss sich daher auf den internen Umgang mit sensiblen Kundendaten beziehen und externe Faktoren beachten, wie den IT-Schutz – und: Nicht nur personenbezogene Kundendaten, sondern ebenso sensible Firmeninterna müssen vor fremden Augen und unberechtigtem Zugriff geschützt werden. Hier entsteht, von der Digitalisierung getrieben, ein unerschöpfliches Reservoir täglich neuer Datenströme. Der Wunsch, diese Werte durch Analysen für Unternehmen arbeiten zu lassen, stößt auf Ängste bezüglich des sicheren Umgangs.
Adäquater Schutz lässt sich erzielen, wenn Datensicherheit bereits in der IT-Architektur verankert wird. Statt dem unbeschränkten Netzwerkzugriff muss der Zugang zu Anwendungen und Daten auf deren Ebene angesiedelt sein. Ein auf Zero Trust basierender Sicherheitsansatz macht den Vertrauensvorschuss, der bisher auf Netzwerkebene gewährt wurde, rückgängig. Nur erwünschte Kommunikation, gemäß der Zugangsberechtigungen, wird zwischen Anwender und Applikation oder Service oder Workload zugelassen – unabhängig vom Gerät, Standort oder Netzwerk. Einem Datenverlust wird gegengesteuert und lückenlose Nachvollziehbarkeit aller Datentransaktionen ist gewährleistet. Diese Art der Mikro-Segmentierung auf Ebene der Anwendungen, mit einem in der Cloud zwischengeschalteten Posten zur Einhaltung der Berechtigungen, verhindert gefährliche Lücken und das Abfließen von Daten.“