Am 25. Mai ist die neue EU-Datenschutzgrundverordnung in Kraft getreten. Seither gibt es vereinzelt erste Nachrichten über Abmahnungen und andere Auswirkungen auf Unternehmen. So hat etwa der Bundesverband Digitale Wirtschaft (BVDW) die Zahl der in den vergangenen Wochen bereits auf Grundlage der neuen Verordnung abgemahnten Digitalunternehmen mit rund 5 Prozent beziffert – man rechnet hier jedoch mit etlichen weiteren. Eine Studie von Sophos aus Juli 2018 besagte derweil unter anderem, dass das subjektive Sicherheitsgefühl in Unternehmen sich im Gegensatz zu der Zeit vor Inkrafttreten der neuen EU-DSGVO nicht verändert habe und der Sinn der Verordnung sehr unterschiedlich bewertet wurde.
Status-Quo
Die gute Nachricht vorweg – die Welt ist am 25. Mai weder untergegangen noch ist eine flächendeckende Abmahnwelle über die Unternehmen hereingebrochen. Allerdings haben viele Unternehmen bei weitem noch nicht alle Anforderungen der DSGVO erfüllt. Insbesondere kleine Unternehmen sind oft noch überfordert, weil sie mit deutlich weniger Ressourcen dieselben Anforderungen erfüllen müssen wie große Unternehmen. In manchen Teilbereichen der DSGVO sind sich noch nicht einmal die Aufsichtsbehörden über die Auslegung der Regeln einig. Deshalb wissen auch viele Unternehmen nicht genau, was sie alles an Prozessen ändern oder schaffen müssen. Für die Unternehmen bedeutet das eine Unsicherheit, ob die bisherigen Investitionen an Zeit und Geld in die Anpassung und Schaffung von Prozessen zur Datensicherheit auch ausreichend und sinnvoll waren. Wir werden in Zukunft – auch durch erste konkrete juristische Entscheidungen – eine Präzisierung der Vorgaben und damit eine Nachjustierung der notwendigen Maßnahmen sehen. Bis der überwiegende Teil der Unternehmen DSGVO-konform ist, wird wohl noch einige Zeit ins Land gehen.
Positive Effekte
Die DSGVO führt auf jeden Fall dazu, dass das Thema Datenschutz einen höheren Stellenwert in Unternehmen bekommt, und das ist auch richtig so. Da in der Vergangenheit die drohenden Strafen bei Verstößen gegen Datenschutzvorgaben relativ niedrig waren, wurden in vielen Unternehmen keine modernen IT-Sicherheitstechnologien eingeführt, weil sich nach dem Risikomanagement diese Investition nicht lohnte. Das hat sich mit der neuen EU-DSGVO drastisch geändert. Durch die drohenden hohen Strafen im Rahmen der Verordnung kommen dieselben Risikomanagement-Analysen jetzt zu dem Schluss, dass diese oft lange aufgeschobenen Investitionen in moderne IT-Sicherheit notwendig sind.
In Bezug auf die IT-Sicherheit hat die DSGVO also positive Effekte, da die Unternehmen ihre Daten sowie die Daten ihrer Kunden besser schützen.
Überforderter Mittelstand
Kleine und mittlere Unternehmen sind meist darauf angewiesen, sich externe Expertise einzukaufen, um schnell und effizient zum Ziel zu kommen und die Reibungsverluste bei der Einführung der notwendigen Prozesse zu minimieren. Das kann sogar Vorteile bringen, wenn Geschäftsprozesse im Zuge dessen durchleuchtet und gegebenenfalls verbessert werden.
Ein konkretes Beispiel in der IT-Sicherheit ist die Einführung eines zentralen Management- und Informationssystems für alle IT-Sicherheitslösungen, das den klassischen Ansatz ablöst, bei dem bisher oft Lösungen verschiedener Hersteller für die einzelnen Teilbereiche (wie Endpoint, Server, Mobile, Firewall, Verschlüsselung, E-Mail etc.) eingesetzt wurden. Eine zentrale Lösung ist in der Lage, Ereignisse aller verwalteter Komponenten zu verarbeiten und zu korrelieren, wodurch moderne Hackerangriffe oft überhaupt erst erkannt werden. Im Zuge der Einführung dieser zentralisierten Lösung können dann auch sehr einfach aktuelle Schutztechnologien eingeführt werden. Zum Beispiel indem der Anti-Virus auf dem Endpoint ergänzt wird durch moderne „NextGen“-Technologien wie Machine-Learning, Exploit-Schutz und Anti-Ransomware-Funktionen. Wenn die Sicherheitslösungen dann auch noch untereinander kommunizieren, dann können Bedrohungen ohne die Notwendigkeit menschlicher Interaktion automatisch eingedämmt werden. Wenn beispielsweise eine Workstation oder ein Server von Ransomware betroffen ist, dann kommuniziert sie diesen Zustand an die Firewall, die wiederum den Client automatisch im Netzwerk isoliert und verhindert, dass andere Systeme infiziert oder verschlüsselt werden oder dass Daten gestohlen und an den Angreifer im Internet gesendet werden.
#Netzpalaver #Sophos
