Podcast mit Dr. Christoph Bausewein, Assistant General Counsel, Data Protection & Policy bei CrowdStrike
Thema: Europäischer Datenschutztag
- Christoph, lass uns bitte unsere Zuseher bzgl. der angesprochenen EU-Gesetzgebung zur Stärkung der Cyber-Resilienz kurz abholen. Kannst du uns bitte einen kurzen Überblick geben und sagen, worauf wir uns vorbereiten müssen?
- Das klingt nach einer weiteren Mammutaufgabe für Unternehmen. Wie können sich Unternehmen optimal vorbereiten?
- Im Vorfeld zu unserem Gespräch hast du mir von einem Urteil des Europäischen Gerichtshof vom Dezember letzten Jahres berichtet, dass dem Thema Stärkung der Cyber-Resilienz und Datensicherheit noch größere Bedeutung zukommen lässt. Kannst du davon bitte berichten?
- Welche Auswirkungen hat die Rechtsprechung auf deutsche Unternehmen?
„Cybersicherheit und der Schutz unserer digitalen Infrastrukturen sowie unserer Daten sind in einer zunehmend vernetzten Welt von entscheidender Bedeutung. Insbesondere vor dem Hintergrund der immer komplexer werdenden Bedrohungslandschaft und der aktuellen, wegweisenden Datenschutzrechtsprechung bietet der diesjährige Europäische Datenschutztag einen wichtigen Anlass, sich intensiver mit den Themen Datenschutz und Datensicherheit auseinanderzusetzen.
Für Unternehmen ist es wichtiger denn je zu verstehen, dass Datenschutz und Datensicherheit einander bedingen und nicht isoliert voneinander betrachtet werden können und dürfen. Dies verdeutlicht auch das Urteil des Europäischen Gerichtshofs (EuGH), der erst im Dezember ein weitreichendes Urteil zum Schadensersatz nach Cyberangriffen unter der Datenschutzgrundverordnung (DSGVO) gefällt hat. Wenn personenbezogene Daten bei einem Cyberangriff gestohlen werden, können die Betroffenen Schadensersatz verlangen, es sei denn, die betroffene Organisation kann nachweisen, dass ihre Sicherheitsvorkehrungen angemessen waren und dem Stand der Technik entsprachen.
Mit dieser Entscheidung stärkt das oberste Gericht der EU die Datenschutzrechte der Bürgerinnen und Bürger – und nimmt gleichzeitig Behörden und Unternehmen in die Pflicht, verstärkt auf die Einhaltung von Datenschutzstandards zu achten. Das erfordert indirekt, dass Behörden und Unternehmen auch ihren Cyber-Reifegrad und die damit verbundene Cyber-Resilienz kontinuierlich überprüfen und verbessern.
Organisationen, die sich derzeit auf NIS2, DORA und die EU-Gesetzgebung zur Cyber-Resilienz vorbereiten, haben die Möglichkeit, nicht nur ihre Datensicherheit zu verbessern, sondern auch ihr finanzielles Risiko zu verringern, indem sie diese neue Verordnung und die Anforderungen, die sie an Organisationen stellt, berücksichtigen. Obwohl die NIS2-Richtlinie ein positiver Schritt für eine bessere Cyber-Resistenz und -Widerstandsfähigkeit von EU-Organisationen und der Gesellschaft ist, werden die Gesetzgebung und die anstehenden lokalen Umsetzungsgesetze für Unsicherheit auf Seiten der Rechtspraktiker sorgen, wenn unklar bleibt, wer in den Anwendungsbereich fällt, wie man sich vorbereiten kann und welche Maßnahmen ergriffen werden müssen. Letztlich geht es bei NIS2 nicht nur um Technologie, sondern auch um Verfahren und Prozesse.“ – Dr. Christoph Bausewein, Assistant General Counsel, Data Protection & Policy, CrowdStrike
Weitere Informationen:
Aufnahme von CrowdStrike’s Fal.Con 2023 ‚Addressing U.S. and EU Law Cybersecurity Requirements‘ von Christoph Bausewein und Haley Cook
Diskussionspapier des Bundesministeriums des Innern und für Heimat für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland
DORA-Informationsseite der BaFin
Urteil des Europäischen Gerichtshofs (EuGH) in der Sache C-340/21 mit wichtigen Klarstellungen im Bereich des Datenschutzrechts unter der Datenschutz-Grundverordnung (DSGVO). Im Mittelpunkt stehen die Haftungsfragen bei Datenschutzverletzungen
Besprechung des Urteils des EuGH v. 14.12.2023 – C-340/21 / Grosmann, Patrick / Bausewein, Christoph, Immaterieller Schaden durch Hackerangriff
TeleTrust/ENISA Handreichung zum Stand der Technik
CrowdStrike’s Angebote für Cybersicherheit-Angebote im öffentlichen Sektor
CrowdStrike’s Incident Response (IR), Strategic Advisory Services und Technical Advisory Services
CrowdStrike bietet eine Reihe strategischer und technischer Beratungsservices an, um Kunden dabei zu helfen, die Tiefe und den Entwicklungsstand ihrer bestehenden Cybersecurity-Verfahren besser zu verstehen und dazu beitragen können, EU Cybersecurity Regularien (NIS2, DORA, CRA) erfüllen.
Risks to Cybersecurity from Data Localization, Organized by Techniques, Tactics, and Procedures
Bisherige Podcasts mit CrowdStrike:
Im Gespräch mit Aris Koios, Technology Strategist bei CrowdStrike
Das Problem ist nicht die Malware, sondern die Angreifer. Um diese Angreifer zu stoppen, müssen Sicherheitsteams verstehen, wie sie vorgehen. Im Threat Hunting Report 2023 zeigt das Counter Adversary Operations-Team von CrowdStrike die neuesten Methoden der Angreifer auf und liefert Wissen und Erkenntnisse, die helfen, Sicherheitsverletzungen zu verhindern.
Der aktuelle CrowdStrike Threat Hunting Report bietet wieder einen umfassenden Einblick in die aktuelle Bedrohungslandschaft und beleuchtet Trends wie eine 583-prozentige Zunahme von Kerberoasting-Angriffen, 40 Prozent mehr interaktive Angriffsversuche und ein Rekordtief der durchschnittlichen Breakout-Time.
Der anhaltende Identitätsmissbrauch, die wachsende Cloud-Expertise und die zunehmende Kompetenz bei plattformübergreifenden Angriffen zeigen, dass die böswilligen Angreifer immer gewiefter und hartnäckiger werden und eine große Gefahr für Unternehmen verschiedener Branchen darstellen.
- Ich habe im Report gelesen, dass die kürzeste Breakout-Time, die ihr im Zeitraum von Juni 2022 bis Juni 2023 beobachten konntet, eine Rekordzeit von sieben Minuten betrug. Das klingt natürlich eher beunruhigend für Unternehmen. Wie brenzlig ist die aktuelle Situation?
- Das heißt also, die Situation hat sich noch einmal verschärft. Würdest Du mir da zustimmen? Welche Ergebnisse aus dem Threat Hunting Report unterstützen diese Annahme?
- Eine interessante Entwicklung, die auch aufzeigt, wie schnell die Akteure ihre Taktiken weiterentwickeln können. Welche Angriffstaktiken waren denn noch beliebt und welche Einfallstore werden von böswilligen Angreifern besonders gerne genutzt?
- Neben dem Technologiesektor, der ja im sechsten Jahr in Folge der am häufigsten angegriffene Sektor war, ist der Finanzsektor ebenfalls stark betroffen. Warum ist diese Branche besonders gefährdet?
- Die Zahlen aus Eurem Report zeigen aber auch deutlich auf, dass es noch viel Nachholbedarf in Sachen Cybersicherheit gibt. Wo fehlt es in den Unternehmen in der Umsetzung von Security-Strategien?
Zum aktuellen Report von CrowdStrike
Music by BlueSwine
