Schwachstellenmanagement
Kennen Sie Ihre Schwachstellen?
Die DSGVO ist für viele Unternehmen der entscheidende Anlass, sich über bestehende Schwachstellen in der Unternehmens-IT Gedanken zu machen. Nachholbedarf besteht durchaus: Gerade deutsche Unternehmen sind für die neue europäische Regulierung weitgehend unvorbereitet.
Eine Studie, die das Online-Marketing-Unternehmen Absolit in Zusammenarbeit mit dem Eco-Verband durchgeführt hat, kam zu dem Ergebnis, dass rund ein Viertel der befragten Unternehmen keine Vorbereitungen getroffen hat, um konform mit dem gesetzlichen Regelwerk zu gehen. Dies könnte weitreichende Konsequenzen für jedes Unternehmen haben. Dabei drohen jedem Unternehmen empfindliche Strafen, das sich nicht an die Datenschutzgrundverordnung hält, die seit dem 25. Mai gilt.
„Stand der Technik“ ist nun Gesetz
Aus dem neuen Gesetzeswerk entsteht die Verpflichtung, personenbezogene Daten sicher zu verwahren, sie verschlüsselt zu speichern – und sie ebenfalls verschlüsselt zu übermitteln. Letzteres gilt bereits bei unternehmensinternen Vorgängen. Außerdem müssen passende Schutzmaßnahmen unternommen werden, um unbefugten Zugriff auf personenbezogene Daten zu unterbinden. Was in der Diskussion um die Datenschutzgrundverordnung etwas zu kurz kommt, ist der Aspekt, dass Unternehmen und Organisationen sich stets des aktuellen Stands der Technik bedienen müssen. Damit erweitert die Verordnung ihren prozeduralen um einen strukturellen Charakter. Im Artikel 32 Absatz 1 steht, dass „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ sind. Damit muss auch die Stabilität der IT-Systeme gewährleistet sein. Jedes Unternehmen muss seine technischen und organisatorischen Maßnahmen hierzu definieren, dokumentieren und umsetzen. Diese Maßnahmen zur Evaluierung der IT-Qualität und der Sicherheitsmaßnahmen müssen stets durch ein geeignetes Verfahren überprüft werden. Diese Überprüfung stellt einen kontinuierlichen Prozess dar, der laut Gesetz auch dokumentiert werden muss.
Gefährdung durch ungepatchte Software
Ein Gefährdungsfaktor ergibt sich aus Sicherheitslücken in Anwendungssoftware und Betriebssystemen, die meist unentdeckt bleiben. Bei den Millionen Zeilen an Programmcode, etwa wie bei Microsoft Windows, ist mit einer Vielzahl an Schwachstellen zu rechnen . Um diese rechtzeitig zu entdecken, verlassen diese Hersteller sich nicht auf die Ergebnisse interner Softwaretests. Sie verpflichten sogenannte White Hat Hacker, um gezielte externe Einbruchs- und Missbrauchsversuche durch Dritte zu simulieren und die Vorgehensweise ihrer Gegenspieler, den kriminellen Black Hat Hackern, zuvorzukommen. Die Ergebnisse nutzen die Softwareentwickler, um einerseits den Code zu perfektionieren und andererseits bereits im Einsatz befindliche Software mit Updates zu versorgen. Diese Erkenntnisse fließen aber auch in Datenbanken ein, aus denen beispielsweise Managementsysteme ihre Mustererkennung für Systemchecks beziehen.
- Kennen Sie Ihre Schwachstellen?
- Was Unternehmen jetzt tun müssen
Lesen Sie mehr zum Thema
