Zum Inhalt springen Weiter zur Suche
Testversion
Blog

GDPR stellt Sicherheitsverstöße zu einem hohen Preis in Rechnung

A10 Blog / Cybersicherheit / GDPR wird Sicherheitsverletzungen einen hohen Preis auferlegen
Paul Nicholson
Paul Nicholson
|
März 13, 2018

Sicherheitsverletzungen sind bereits kostspielig - nicht nur finanziell, sondern auch in Bezug auf Markenschäden, Kundenunzufriedenheit und Ausfallzeiten. Für Unternehmen, die mit Einwohnern der Europäischen Union (EU) Geschäfte machen, werden die finanziellen Folgen eines Sicherheitsverstoßes noch viel teurer werden. Deshalb müssen sich Unternehmen unbedingt jetzt auf die DSGVO vorbereiten, damit sie nicht den Anschluss verlieren.

Was ist die Datenschutz-Grundverordnung?

Mit der Einführung der Allgemeinen Datenschutzverordnung (GDPR) erlässt die EU eine Reihe verbindlicher Vorschriften für Unternehmen, die bald, am 25. Mai 2018, in Kraft treten. Unternehmen, die die Vorschriften nicht einhalten, müssen mit saftigen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist.

Vereinfacht ausgedrückt wurde die DSGVO erlassen, um den Bürgern und Einwohnern mehr Kontrolle über ihre personenbezogenen Daten zu geben, und sie legt strenge Regeln für den Umgang mit Daten fest, und zwar für "für die Verarbeitung Verantwortliche", die Daten von in der EU ansässigen Personen erheben, und für "Auftragsverarbeiter", die die Daten im Auftrag der für die Verarbeitung Verantwortlichen verarbeiten, wie beispielsweise Cloud-Anbieter.

Die Datenschutz-Grundverordnung gilt nicht nur für Unternehmen in der EU, sondern für die Daten aller EU-Bürger, unabhängig davon, wo sie gespeichert sind. Das heißt, wenn ein EU-Bürger Daten bei einem Unternehmen in den USA gespeichert hat, dann gilt die DSGVO.

Nach der Datenschutz-Grundverordnung müssen für die Verarbeitung Verantwortliche eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Verletzung an die Aufsichtsbehörde melden. Von dort aus müssen Einzelpersonen benachrichtigt werden, wenn nachteilige Auswirkungen festgestellt werden, und der Datenverarbeiter muss einen für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen, nachdem er von einer Verletzung des Schutzes personenbezogener Daten erfahren hat.

Weder die Auftragsverarbeiter noch die für die Verarbeitung Verantwortlichen müssen jedoch die betroffenen Personen benachrichtigen, wenn eine Verletzung der Anonymität der Daten vorliegt, d. h. wenn der für die Verarbeitung Verantwortliche Verschlüsselungs- und andere Maßnahmen zum Schutz der Daten getroffen hat. Die Verordnung definiert eine Datenschutzverletzung jedoch weit gefasst als "eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt".

Die Datenschutz-Grundverordnung gibt Verbrauchern und Einzelpersonen auch mehr Macht. Artikel 17 der Datenschutz-Grundverordnung ist das "Recht auf Löschung", das allgemein als "Recht auf Vergessenwerden" bekannt ist. Artikel 17 gibt Einzelpersonen die Möglichkeit, von einem für die Verarbeitung Verantwortlichen zu verlangen, dass alle ihre personenbezogenen Daten unverzüglich und kostenlos gelöscht werden. Gemeint sind damit alle Daten, wie Dateien, Aufzeichnungen, Sicherungskopien und archivierte Kopien - alle Daten.

Die Datenschutz-Grundverordnung fordert Unternehmen auf, strengere Sicherheitsmaßnahmen zum Schutz ihrer Netze und Daten zu ergreifen und im Falle einer Datenschutzverletzung diese rasch zu melden. Sie macht es auch zu einer gesetzlichen Verpflichtung, Sicherheitssysteme so zu konfigurieren, dass Datenschutz und Verbraucherschutz an erster Stelle stehen.

Vorbereitungen für GDPR

Wie können Unternehmen also sicherstellen, dass ihre Systeme und die Daten ihrer Kunden geschützt sind, wenn die Datenschutz-Grundverordnung in Kraft tritt? Wie bei den meisten Sicherheitsempfehlungen geht es darum, schon lange vorher einen Schlachtplan aufzustellen.

Gartner empfiehlt als guten Ausgangspunkt für die Vorbereitung auf die GDPR die Schaffung von zwei neuen Funktionen für den Datenschutz: Eine, die als Kontaktstelle für die Datenschutzbehörde und die betroffenen Personen fungiert, und ein Datenschutzbeauftragter, der sicherstellt, dass die Verarbeitungsprozesse die Vorschriften einhalten.

Von dort aus sollten Unternehmen proaktiv handeln und transparent die Verantwortlichkeit für alle Verarbeitungstätigkeiten nachweisen, prüfen, wie Daten innerhalb und außerhalb der EU grenzüberschreitend fließen, und sicherstellen, dass sie über Systeme verfügen, um Personen und Behörden im Falle eines Verstoßes zu benachrichtigen und dem Recht auf Vergessenwerden nachzukommen, wenn eine Person die Löschung ihrer Daten verlangt.

Außerdem müssen die Unternehmen unbedingt Systeme einrichten, um Datenschutzverletzungen von vornherein zu verhindern. Unternehmen sollten jedoch ihre Verschlüsselungslösungen überprüfen, um sicherzustellen, dass ihre privaten Daten geschützt sind und bleiben.

Wie A10 helfen kann

Eine dedizierte SSL-Entschlüsselungslösung wie A10 Thunder SSLi kann sicherstellen, dass verschlüsselte Daten zur Sichtbarkeit und Überprüfung in einer sicheren Entschlüsselungszone entschlüsselt werden, und Unternehmen können sich dafür entscheiden, bestimmte Arten von Datenverkehr zu umgehen, die verschlüsselt und anonymisiert bleiben sollten, wie z. B. personenbezogene Daten, wie es die Richtlinien vorschreiben. Auf diese Weise können Unternehmen die Vorteile von Entschlüsselungsdiensten nutzen und gleichzeitig die GDPR einhalten.

Unternehmen können auch strengere Verfahren zur Identitätshygiene einführen, um sicherzustellen, dass Angreifer nicht versuchen, in Netzwerke einzudringen, um Daten zu stehlen. Einfache Maßnahmen wie die Multi-Faktor-Authentifizierung und die rasche Abschreibung abgelaufener Mitarbeiterkonten können dazu beitragen, dass nur autorisierten Personen Zugang gewährt wird.

Analyselösungen, wie die in A10 Harmony Controller verfügbare Pro-App-Analyse, können helfen, indem sie Unternehmen in die Lage versetzen, Sicherheitsanomalien schnell und genau zu erkennen. Wenn ein Unternehmen weiß, wie sich die Anwendungen in Echtzeit verhalten und wie es um ihre Sicherheit bestellt ist, kann es im Falle einer Sicherheitsverletzung oder eines versuchten Datendiebstahls alarmiert werden.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
Paul Nicholson
Paul Nicholson
|
März 13, 2018

Paul Nicholson verfügt über 24 Jahre Erfahrung in der Arbeit mit Internet- und Sicherheitsunternehmen in den USA und Großbritannien. In seiner jetzigen Position ist Nicholson verantwortlich für die globale... Mehr lesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Vereinfachen und sichern Sie Anwendungen über Clouds hinweg mit den neuesten, hochleistungsfähigen Thunder ADC Images
  2. 10 Datenverstöße, die CISOs Albträume bereiten
  3. Durchsetzung der DSGVO - Eine neue Ära der Rechenschaftspflicht und Geldbußen