Bereitschaft von Top Management ist hoch

Paragraphen sind nur die halbe Miete

Gerade in größeren Unternehmen kann es trotz des vorhandenen Verständnisses für die DSGVO zeitlich eng mit den nötigen Veränderungen werden, denn die Umsetzung von Maßnahmen und neuen Technologien braucht Zeit – und die ist knapp. Hier ist es hilfreich, in praktischen Dimensionen zu denken und genau dort anzusetzen.

Die wichtigste Quelle zur digitalen Datenverarbeitung von persönlichen Informationen sind E-Mails. Die bereits erwähnte Studie von BCI zeigt beispielsweise, dass nahezu alle Organisationen (97 Prozent) E-Mail-Adressen der Mitarbeiter als Hauptkommunikationsmittel in ihren Unternehmen angeben. Daher ist es auch nicht überraschend, dass hier viele Cyberattacken ansetzen.

Ransomware, Trojaner, CEO-Fraud, Spam, Phishing, Social Engineering, Malware und sogar Kryptominer nutzen E-Mail als Angriffsvektor. Nicht nur, weil hier sensible Informationen abrufbar sind, sondern weil sie dort auf den geringsten Widerstand stoßen und sie zudem den Faktor Mensch leicht ausnutzen können. Zusätzlich sind viele Organisationen nicht auf den Ausfall ihrer Kommunikation vorbereitet. Kommt es also nur zu einem teilweisen Ausfall, stocken gleich eine Vielzahl von Unternehmensprozessen.

Wenn man sich dieser Gefahren bewusst wird, sollten Führungskräfte überlegen, ob ihre Sicherheitsmechanismen dem geforderten „Stand der Technik“ entsprechen. Viele Unternehmen haben bereits Schutzmechanismen für E-Mail-Konten eingeführt, allerdings sind deren Mechanismen häufig eher einseitig. Nicht nur durch die DSGVO, sondern auch durch die geänderte Gefahrenlage sollte hier die erste Priorität zur Verbesserung des Datenschutzes gesehen werden.

Zu Vorbereitung auf Angriffe und Incidents gehört neben den Reportingtools auch das Thema Cyber-Resillence. Nicht allein zur Abwehr, sondern auch um eine Wiederherstellung im Falle einer Attacke zu ermöglichen. Während einer Attacke darf die Operationsfähigkeit nicht eingeschränkt werden, sodass beispielsweise trotz Ausfall von E-Mailservern die volle Kommunikationsfähigkeit gewährleistet wird. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.

Nach einer Attacke darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Zudem müssen archivierte Informationen eine flexible Verwaltung zulassen, sodass das Recht auf Vergessen-werden umgesetzt werden kann. Außerdem müssen Organisationen auf Anfrage Auskunft über gespeicherte Daten geben können. Fragmentierte Archive können hier zu Problem werden. Im Idealfall liefert eine Lösung diese Funktion aus einer Hand oder hat entsprechende Integrationen mit bestehenden Sicherheitstools.

Cyber-Resillence

Natürlich gibt es viele Kritikpunkte an der DSGVO, außerdem gibt es sicherlich Akteure, die früher mit deren Umsetzung und Kommunikation hätten beginnen können. Allerdings hat die EU-Verordnung es geschafft, die Aufmerksamkeit von Geschäftsführungen stärker als jemals zuvor auf das Thema Datenschutz zu lenken.

Es ist richtig, dass solche Themen supranational aufgehängt werden und für den gesamten europäischen Binnenmarkt gelten werden. Natürlich ist die Belastung für Organisationen groß, da es zahlreiche Stellschrauben gibt, die für derart viele Neuerungen angepasst werden müssen. Speziell etablierte Unternehmen stehen vor einer Mammutaufgabe.

Das BSI spricht schon seit Jahren vom „Assume the Breach-Paradigma“ und warnt vor der veränderten Gefahrenlage. Entscheider sollten nicht in Panik geraten, aber die Stunde nutzen, um ihre Sichtweise auf das Thema Cybersicherheit grundlegend zu überdenken. Die Abwehr von Attacken ist nicht mehr hinreichend. Das Schlüsselwort für zeitgemäße Sicherheitsstrategien heisst Cyber-Resillence, die es erlaubt, auch im Fall der Fälle vorbereitet zu sein – ohne dass es zu spürbaren Ausfällen kommt.

Michael Heuer ist VP Central Europe bei Mimecast

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Bereitschaft von Top Management ist hoch
2. Paragraphen sind nur die halbe Miete

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Ein Smartphone in Gold

„Trump Mobile“: Präsidentenfamilie will Handys verkaufen

Smarter als so manche Großstadt

Wie das kleine Dorf Etteln digitaler wurde als Hongkong

E-Autos für alle attraktiver machen

Lies fordert wirtschaftlichere Rahmenbedingungen für E-Mobilität

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Kaisers Kolumne

Wenn KI unsere Mails schreibt – was könnten wir verlieren?

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler