Datenschutz-Grundverordnung
Cybersicherheit in der Lieferkette
Fortsetzung des Artikels von Teil 1
Sicherheit erhöhen, Haftung begrenzen
Die DS-GVO soll im Wesentlichen dazu beitragen, dass Unternehmen die Mindestanforderungen im Hinblick auf eine Schadensbegrenzung erfüllen. Laut der Verordnung muss ein Unternehmen nicht unverwundbar sein, sondern lediglich seine Hausaufgaben machen: die erforderliche Planung und die nötigen Untersuchungen vornehmen, die Compliance-Anforderungen erfüllen, um das Schadenspotenzial im Angriffsfall zu minimieren, und bei einem erfolgten Angriff wirkungsvoll gegensteuern. Zwar bezieht sich die DS-GVO speziell auf Unternehmen, die personenbezogene Daten vorhalten und verlieren, doch deren Verantwortung erstreckt sich nicht zwangsläufig auch auf andere Unternehmen der Lieferkette, die unsichere Systeme beschafft haben.
Demnach haftet ein Zulieferer laut DS-GVO nicht unmittelbar für Sicherheitsverletzungen, doch die Kosten, die infolge von Geldstrafen gemäß DS-GVO anfallen, lassen sich auf dieser Grundlage vom Käufer auf den Zulieferer umlegen. Angenommen, ein Unternehmen fällt einem Angriff zum Opfer und wird daraufhin gemäß DS-GVO mit einem Bußgeld belegt. Wenn die Ursache des Vorfalls ans Licht kommt, muss dieses Unternehmen höchstwahrscheinlich nicht für den Schaden aufkommen, sofern es nachweislich mit der gebotenen Sorgfalt vorgegangen ist. Wird die Behauptung eines seiner Zulieferer, dass dessen Technologien sicher seien, widerlegt, so muss der Zulieferer damit rechnen, dass seine Kunden aufgrund dieser irreführenden Angaben gerichtlich gegen ihn vorgehen.
Im Vereinigten Königreich soll im Zuge der nationalen Strategie für Cybersicherheit 2016–2021 sichergestellt werden, dass Herstellern von vornherein Hardware und Software mit angemessenen Sicherheitsmechanismen und -einstellungen ausliefern. Solche Sicherheitsvorkehrungen sind heutzutage bei allen Systemen und Geräten unverzichtbar. Doch Cybersicherheit in modernen Unternehmen ist ein Prozess, kein Produkt. Wirkliche Sicherheit erfordert die Zusammenarbeit von Herstellern und Anwendern. Beispielsweise ist kein Gerät, dessen Standardpasswort nicht geändert wurde, auf Dauer sicher, selbst wenn es im Auslieferungszustand hinreichend geschützt war.
Die DS-GVO zielt darauf ab, innerhalb der EU und in Ländern, in denen Daten von EU-Bürgern gespeichert werden, ein grundlegendes Sicherheitsniveau zu gewährleisten. Zu den Compliance-Vorgaben, die zur Vermeidung von Geldstrafen erfüllt werden müssen, gehören umfassende Berichte, angemessene Datenspeicherungsverfahren und Zugriffsbeschränkungen. Indem alle Bestandteile der Lieferkette mit der gebotenen Sorgfalt überprüft werden, lässt sich die Einhaltung der Anforderungen leichter sicherstellen. Die Vorgaben der DS-GVO sind nicht allein von den Endanwendern zu erfüllen. Vielmehr ist die Kooperation von Anbietern, Herstellern und Endanwendern gefragt: Wenn jeder seiner Verantwortung für die Cybersicherheit gerecht wird, lässt sich das Risiko eines Sicherheitsvorfalls mit all seinen Folgeschäden minimieren.
Edwin Roobol ist Geschäftsführer Middle Europe von Axis Communications
- Cybersicherheit in der Lieferkette
- Sicherheit erhöhen, Haftung begrenzen
Lesen Sie mehr zum Thema
