Was die IT 2018 bewegt
EU-DSGVO wirkt sich auf alle Bereiche der IT aus
Fortsetzung des Artikels von Teil 2
Cybersecurity
Ransomware war lange Zeit das IT-Thema schlechthin. Ende 2016 gaben 48 % der durch VansonBourne befragten IT-Verantwortlichen an, ihr Unternehmen sei Opfer mindestens einer Attacke mit Ransomware geworden. Um die Erpressungstrojaner ist es etwas ruhiger geworden. Wird das Thema IT-Sicherheit 2018 also eine weniger zentrale Rolle spielen? „Auf keinen Fall“, sagt Stephan Krischke, BISG-FBL für IT-Sicherheit. „Der anhaltende Trend zu Digitalisierung und Industrie 4.0 führt weiterhin zu neuen Schwachstellen. Ransomware, Datendiebstähle, Industriespionage und andere Cyberattacken werden aller Voraussicht nach auch weiterhin ein zentrales Thema für jede IT-Abteilung sein.“ Und auch das Thema DSGVO wird voraussichtlich zu Bewegung im Bereich IT-Sicherheit führen. Eine 2017 vom Digitalverband bitkom veröffentlichte Studie fand heraus, dass in den zwei vorangegangenen Jahren in jedem sechsten der befragten Unternehmen sensible digitale Daten gestohlen wurden. Darunter sind Kommunikationsdaten wie E-Mails mit 41 % der Spitzenreiter, dicht gefolgt von Finanzdaten mit 36 %. In 17 % der Fälle wurden Kundendaten entwendet. Bisher hat aus Sorge um das Image nur jedes dritte Unternehmen eine Attacke gemeldet. „Sofern die Datendiebstähle personenbezogene Daten betreffen, wird es in Zukunft mit einem höheren Risiko verbunden sein, die Attacke geheim zu halten. Dafür sorgen die neuen Meldepflichten und -fristen“, sagt Krischke. So sind Auftragsverarbeiter im Augenblick gemäß § 42a BDSG nur dann zur Meldung von Datenschutzverstößen an die Betroffenen und die zuständigen Aufsichtsbehörden verpflichtet, wenn der Verstoß „besondere Arten von personenbezogenen Daten“ betrifft. Dies sind laut § 3 Abs. 9 BDSG aber nur Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. „Hier hat mit dem neuen Artikel 33 EU-DSGVO eine deutliche Verschärfung stattgefunden“, sagt Krischke. „Die DSGVO kennt nur noch personenbezogene Daten, eine Sonderbehandlung bestimmter Daten fällt weg. Es muss jeder Verstoß innerhalb 72 Stunden gemeldet werden. Ich gehe davon aus, dass Unternehmen im Zuge der EU-DSGVO auch ihre generelle IT-Sicherheit verbessern werden. So wird unter anderem das Interesse an DSGVO-konformen Informationssicherheits-Managementsystemen (ISMS) und einer Zertifizierung nach ISO 27001 steigen. Außerdem wird die feste Integrierung von IoT in IT-Sicherheitskonzepten zunehmen. Dadurch werden auch das Angebot und die Akzeptanz von cloudbasierten IT-Sicherheitslösungen steigen.“
Fazit
Die EU-DSGVO wird 2018 nahezu alle Bereiche der IT in irgendeiner Weise betreffen. Die Neuerung kommt zu einer Zeit, in der viele IT-Abteilungen ihre Aufmerksamkeit auf andere Projekte richten: Industrie 4.0- und IoT-Projekte stehen derzeit in vielen Unternehmen im Vordergrund. Der zunehmende Wettbewerbsdruck bewegt auch immer mehr Late Adopter dazu, Digitalisierungsprojekte umzusetzen. Außerdem spielen nach den Ransomware-Wellen der letzten Jahre und zuletzt den Meldungen zu Meltdown und Spectre Sicherheitsfragen eine große Rolle. Zusätzlich zu diesen vielen Projekten haben Unternehmen 2018 mit der Umsetzung der EU-DSGVO zu tun. Daher sehen viele Verantwortliche die neuen Datenschutzgesetze eher negativ. Dennoch überwiegen bei genauerem Hinsehen die Chancen. Mit ihren konkreten, strukturellen Vorgaben ist die EU-DSGVO auch ein Leitfaden für die Entwicklung einer moderneren, sicheren IT-Landschaft. Dies gilt auch für die genannten Bereiche IoT und allgemeine IT-Sicherheit. Für nahezu alle Anforderungen bietet der Markt eine Lösung. Diese muss zwar zunächst angeschafft und implementiert werden, dafür bietet sich danach häufig die Chance, an anderer Stelle zu sparen. Wer die neuen Datenschutzanforderungen jetzt überlegt angeht, muss keine Angst vor der Gesetzesänderung haben.
Andreas Jung ist freier Journalist
Lesen Sie mehr zum Thema
