Managament , Studien

Vorgaben der Datenschutz-Grundverordnung (GDPR) werden verfehlt

Vorgaben der Datenschutz-Grundverordnung (GDPR) werden verfehlt

Péter Gyöngyösi, Product Manager of Blindspotter, BalaBit

CSI-Report: 44 Prozent der Unternehmen sind nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden. Das ergab der aktuelle CSI-Report von Balabit, einem führenden Anbieter von Contextual-Security-Technologien. Diese Meldefrist tritt jedoch mit der neuen Datenschutz-Grundverordnung (General Data Protection Regulation) in Kraft und gilt für Mitgliedsstaaten der EU. Bei Verstoß riskieren sie Strafen in Höhe von bis zu vier Prozent ihres Jahresumsatzes.

Zwar haben derzeit 75 Prozent der Unternehmen einen Zeitrahmen fixiert, in dem IT-Sicherheitsvorfälle untersucht werden müssen. Doch fast die Hälfte der befragten IT- und Sicherheitsfachleute mussten einräumen, dass sie diese Fristen nicht einhalten können - trotz der strikten Vorgaben der General Data Protection Regulation (GDPR) und weiterer Compliance-Regelungen. Rund 7 Prozent der Unternehmen wurden aus diesem Grund bereits bestraft oder mussten wegen Verstößen gegen Compliance-Vorgaben Sanktionen hinnehmen.
 
"Der Hauptgrund für diese Versäumnisse liegt darin, dass Unternehmen vorliegende Daten nur in unzureichendem Maße auswerten und interpretieren können", erklärt Péter Gyöngyösi, Product Manager von Blindspotter bei Balabit. "Mit den eingesetzten Tools ist es schlichtweg nicht möglich, die relevanten Informationen in unstrukturierten oder umfangreichen Datenbeständen aufzuspüren. IT- und Sicherheitsfachleuten fehlen demnach kontextbezogene Daten, die aber notwendig sind, um tiefer reichende Analysen durchzuführen und aus Datenbergen verwertbare Informationen zu machen."

Zu viele Grauzonen vorhanden

Besonders drastische Datenlecks, etwa bei Yahoo oder dem Seitensprung-Portal Ashley-Madison, stoßen auf eine breite Resonanz in der Öffentlichkeit. Allerdings, wie die Ergebnisse der Balabit-Studie zeigen, gibt es noch zu viele Grauzonen bei der Meldung von Datenschutzverletzungen. Zum Beispiel Ransomware-Attacken werden meist nicht gemeldet, wenn Lösegeld gezahlt und keine Daten gestohlen wurden. Oder es geschieht teils mit Absicht, um den guten Ruf zu wahren und wirtschaftlichen Schaden abzuwenden, teils unwissentlich, teils aus purer Hilflosigkeit heraus.
Daran ändern auch klassische IT-Sicherheits-Tools nichts. Diese sind notwendig und tun das, wofür sie konzipiert wurden. Doch häufig sind solche Lösungen weder miteinander verknüpft, noch werden die gesammelten Informationen schnell genug, das heißt in Echtzeit analysiert. Dann taugen sie dafür, die formale Einhaltung von Compliance-Regeln zu überprüfen. Datenverluste durch Angriffe bleiben jedoch unbemerkt oder werden nicht gemeldet.

Schärfere Vorgaben durch die GDPR

Balabit zufolge waren bislang rund 30 Prozent der Organisationen nicht dazu verpflichtet, Vorfälle im Bereich IT-Sicherheit den zuständigen Behörden zu melden. Von den 70 Prozent meldepflichtigen Firmen existieren bei 25 Prozent keinerlei Vorgaben, bis wann sie solche Vorkommnisse zur Kenntnis bringen müssen. Doch das ändert sich mit der Datenschutz-Grundverordnung. Sie wird nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 für Unternehmen und Behörden anwendbar und betrifft alle Unternehmen, die in der EU personenbezogene Daten verarbeiten oder mit Firmen aus der EU Geschäfte machen. Die neuen Regelungen sehen vor, dass Unternehmen Datenpannen, bei denen personenbezogene Informationen involviert sind, innerhalb von 72 Stunden melden müssen. Sonst laufen sie Gefahr, eine Strafe in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bezahlen zu müssen.

<< Erste < Vorherige 1 2 3 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: mir

Waffen der Wahl für automatisierte IT-Angriffe in großem Stil

„Erfolgsgeschichte“ der Exploit-Kits Um die aktuelle Situation zu bewerten, ist es wichtig, die Geschichte der Exploit-Kits zu verstehen. Wie sind diese zu einer der häufigsten und effektivsten Methoden für Cyberangriffe auf Unternehmen avanciert? Die Popularität von Exploit-Kits geht zurück auf...

Apple lädt insgeheim iPhone-Anrufprotokolle in die iCloud

"Automatische Synchronisierung von Anrufprotokollen mit der Cloud ist großartig, wenn Sie darüber Bescheid wissen und eine Möglichkeit haben, sie abzuschalten", sagt Vladimir Katalov, CEO von ElcomSoft. "Während Apple daran arbeitet, die Sicherheit seiner Geräte zu verbessern, werden...

Umfrage: Deutsche fühlen sich von Cyber-Terror bedroht

Die Angst vor Terroranschlägen hat auch den Cyber-Raum erobert: Zwei Drittel der Bevölkerung halten die Gefahr für groß oder sehr groß, dass staatliche Stellen und kritische Infrastrukturen in Deutschland über das Internet  angegriffen werden. Das ist ein Ergebnis einer Umfrage, die das...

Proaktiver Schutz vor komplexen Cyberbedrohungen

Wie gehören Mandiant und FireEye zusammen?" In dieser Konstellation kommt mir eine Sache "spanisch" vor und ergibt keinen tieferen Sinn!"Welche Dienstleistungen bietet Mandiant an?Was können die Mandiant Consultants besonders gut?Müssen Sie erst an die Front wenn es „brennt“ –...

Top 10-Bedrohungen für Industriesteuerungsanlagen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet die Bedrohungslage für Industrial Control Systems deshalb kontinuierlich. Die schwerwiegendsten Gefahren sowie passende Gegenmaßnahmen fasst das BSI seit 2012 im Dokument "Industrial Control System Security – Top 10...

Risk-Management = Pflichtfach für Unternehmen

IT-Compliance und IT-Sicherheit Bei staatlichen Kontrollen müssen Unternehmen die mit der Digitalisierung von Geschäftsprozessen verbundenen Prozessketten nachweisen können. Beispiele für die Umsetzung dieser Beweispflicht sind die digitale Steuerprüfung nach den Grundsätzen zum Datenzugriff,...