EU-DSGVO Tipps
Foto: CC0 - pixabay.com
DSGVO: Die Zeit wird knapp.
Foto: CC0 - pixabay.com

Gastartikel - Thorsten Henning, Palo Alto Networks

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018 in Kraft treten. Was können Sicherheitsverantwortliche tun, um für Mai 2018 besser vorbereitet zu sein?

Die Datenschutz-Grundverordnung (DSGVO/GDPR) sowie die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) werden in den EU-Mitgliedsstaaten am 25. bzw. 10. Mai 2018 in Kraft treten. Für manche Unternehmen gilt jeweils nur eines dieser Gesetzespakete, andere können sowohl von der DSGVO als auch der NIS betroffen sein. Die nun verbleibenden Monate bis zur Erfüllung dieser neuen Gesetze sollten Unternehmen intensiv nutzen, um zeitlich nicht unter Druck zu geraten. So gilt es spätestens jetzt, Cybersicherheitssysteme technisch zu testen, anzupassen und intern einen entsprechenden Chance-Management-Prozess aufzusetzen, damit auch die Mitarbeiter in der Lage sind, diese Herausforderung anzunehmen.

Zunächst muss der anstehende Veränderungsprozess intern begleitet werden, um eine effiziente Umsetzung der Richtlinien sicherzustellen. Denn eine aktuelle Studie im Auftrag von Palo Alto Networks kommt zu dem Ergebnis, dass IT-Sicherheitsexperten in ganz Europa in der Regel grundsätzlich optimistisch sind, was die neue Gesetzgebung betrifft. Sie gehen davon aus, dass diese dazu beitragen wird, persönliche Daten besser zu schützen und Sicherheitsverletzungen zu vermeiden. Allerdings wird auch Skepsis deutlich, wenn es darum geht, wie einfach die Veränderung zu bewältigen sein wird. Nur ein Drittel der Befragten glaubt, dass sie die erforderliche Unterstützung erhalten werden, um die notwendigen Veränderungen umzusetzen. Die Mehrheit hat immer noch das Gefühl, dass es Hindernisse gibt, die überwunden werden müssen.

  • 43 Prozent der IT-Sicherheitsprofis sind besorgt darüber, dass die Änderungen der Gesetzgebung für eine Welle von meldepflichtigen Ereignissen sorgen werden, da möglicherweise bislang unerkannte Datenschutz- und Cybersicherheitsverletzungen ans Tageslicht kommen werden.
  • Die Hälfte aller IT-Fachleute gibt an, weitere Veränderungen oder Updates am Sicherheitssystem zu vermeiden, weil sie davon ausgehen, dass ihr aktuelles System bereits weitgehend sicher ist.
  • 56 Prozent der IT-Sicherheitsexperten denken, dass die DSGVO- und NIS-Umsetzung sowohl finanziell als auch operativ schmerzhaft sein wird.

Erfahrungsgemäß verläuft die Reaktion bei betroffenen Mitarbeitern nach einem fünfstufigen Schema:

  1. Ablehnung - In vielen Organisationen ist die erste Antwort Ablehnung. Es ist erstaunlich, wie viele glauben, dass sie nicht davon betroffen sein werden oder dass keine Strafzahlungen angewandt werden. Daher denken sie, brauchen sie das Thema nicht ernst zu nehmen. Die Realität ist: Sie ist nicht aufzuhalten. Es gilt nun die positive Entscheidung zu treffen, sich mit dem Thema auseinanderzusetzen.
  2. Verärgerung - Dies führt zur nächsten Stufe, der Verärgerung über das Unvermeidliche und zur störrischen Frage: "Sagt uns einfach, was wir tun müssen!" Im Gegensatz zu Standards wie PCI, die sehr gut beschrieben sind, enthält die DSGVO sehr wenige klare technische Definitionen. Zum Beispiel, was bedeutet "Stand der Technik" oder "Sicherheit durch Design und Standard", und ab wann findet ein Sicherheitsvorfall wirklich statt? Sicherheitsexperten sehen die Dinge gerne schwarz und weiß. Diese Regulierung ist aber von Graustufen gekennzeichnet. Jeder Geschäftsbereich im Unternehmen muss die Anforderungen genau interpretieren und definieren, was diese für sein Geschäft und für Dritte bedeuten, genau quantifiziert und qualifiziert.
  3. Feilschen - Allzu oft kommt es hinsichtlich Meldeplichten bei Sicherheitsvorfällen zum Feilschen, was auch bei der DSGVO so sein dürfte. Die Rechtsabteilung des Unternehmens versucht dann zu argumentieren, dass ein bestimmter Vorfall nicht meldepflichtig ist. Es ist daher zu erwarten, dass die Definitionen, wo nötig, verschärft werden, aber die zugrundeliegende Absicht der Regulierung ist klar: die persönlichen Daten der Bürger zu schützen und das Vertrauen in den Einsatz von Technologie in der heutigen Gesellschaft aufrechtzuerhalten.
  4. Resignation - Irgendwann kommt die Resignation, spätestens dann, wenn erkannt wird, dass kein Weg an der Umsetzung vorbeiführt. Nun geht es darum, die Anforderungen umzusetzen, dafür Budget einzufordern und die technischen Voraussetzungen zu schaffen. Aus dieser Resignation heraus hilft die Erkenntnis, dass die neue Regulierungsmaßnahme die Gelegenheit bietet, die bisherige Sicherheitsumgebung zu bewerten und etwas Besseres, Neues aufzubauen, auch im Hinblick auf die Zukunft.
  5. Akzeptanz - Die Realität ist, dass, ob wir es wollen oder nicht, wir am Ende bei der Akzeptanz landen: Es geschieht einfach. Die EU-DSGVO wird im Jahr 2018 in den Mitgliedsstaaten in Form von nationalem Recht in Kraft treten. Jedes einzelne Unternehmen in der EU könnte rechenschaftspflichtig werden, egal ob aufgrund eines internen Sicherheitsvorfalls oder, was vermutlich die wahrscheinlichste Ursache sein wird, ein Dritter der Lieferkette für eine Datenpanne verantwortlich ist. Hier wird es darum gehen, den Beweis für die eigene Compliance zu erbringen. 

An diesem Punkt stellt sich die Frage, was konkret Sicherheitsverantwortliche nun tun können, um für Mai 2018 besser vorbereitet zu sein:

  • Sich vergewissern, welche Daten und Anwendungen im Unternehmen genutzt werden. Ohne Überblick, wie Informationen verarbeitet werden, kann man nicht validieren, ob dies den Anforderungen entspricht und wie die Sicherheitsüberwachung aussehen muss.
  • Die neuen Regelungen als Gelegenheit nutzen, die Cybersicherheit auf einen zeitgemäßen Stand zu bringen. Die Cybersicherheit hat sich weiterentwickelt und bietet effektive Lösungen. Die größte Herausforderung ist es heute, qualifizierte Fachleute zu finden. Daher ist es umso wichtiger, die Sicherheitsumgebung zu automatisieren, um mit der gleichen Geschwindigkeit wie die Angreifer arbeiten zu können.
  • Sicherstellen, dass klare Messkriterien vorliegen, um die Wirksamkeit der Cybersicherheit zu bestätigen. Ist es möglich, unternehmensintern und gegenüber Behörden zu bestätigen, dass eigene Abläufe mit den aktuellen Best Practices für das Risikomanagement konform sind?
  • Eigene Fähigkeiten testen – und nicht nur die Technologie. Dies gilt für Prozesse und Personal, auf einer breiteren Ebene, bis in die Abteilungen hinein.
  • Sicherheitsverantwortliche werden gewährleisten müssen, dass ihre Sicherheitsfähigkeiten für die Risiken, mit denen sie sich konfrontiert sehen, relevant sind. Zudem werden sie mit klar dokumentierten Prozessen und Maßnahmen belegen müssen, dass sie aktuelle Best Practices auf dem Stand der Technik nutzen.

Die EU-DSGVO kommt. Und sie ist eine Chance, um die essentiellen Cybersicherheitsfähigkeiten zu verbessern und einen entscheidenden Wandel zu schaffen, um das Vertrauen in eine zunehmend digitale Gesellschaft zu untermauern.

Thorsten Henning ist ‎Senior Systems Engineering Manager Central Europe bei Palo Alto Networks.

Mehr Artikel zum Thema: EU-DSGVO Tipps

Verlässlicher Meeting-Profi

Selten erhält man die Gelegenheit, ein Testgerät so...

Weiterlesen

In sieben Schritten zum DSGVO-Erfolg

Austrian Standards hat eine praxisorientierte Publikation...

Weiterlesen

5 Mythen der Datenverschlüsselung

Unternehmen sehnen sich nach Lösungen interne Daten so...

Weiterlesen

EU-DSGVO: Mögliche rechtliche Konsequenzen für KMU

Die EU meint es mit der DSGVO und dem Datenschutz wirklich...

Weiterlesen

In 8 Schritten zum SAP-Monitoring

Wie überwache ich meine SAP-Systeme? SAP ist in vielen...

Weiterlesen

DSGVO-Software aus dem Burgenland

Im Rahmen des sechsmonatigen Projektes DAFAPO (Datenschutz |...

Weiterlesen

EU-DSGVO: Chancenreiches Damoklesschwert

Die Europäische Datenschutzgrundverordnung hängt wie ein...

Weiterlesen

Social Collaboration, moderne Form der Zusammenarbeit

Durch den Zuwachs an E-Mails ist die Produktivität vieler...

Weiterlesen

In 12 Stufen zur EU-DSGVO

Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung...

Weiterlesen

EU-Datenschutz-Grundverordnung als Chance sehen

Der Countdown für die Umsetzung der EU-DSGVO läuft. Knapp 60...

Weiterlesen

Werden Sie dem künftigen Datenschutz gerecht?

In weniger als einem Jahr wird das neue, europaweit geltende...

Weiterlesen

Security Basics: Aller Anfang ist leicht?!

IT-Sicherheit ist nichts, das man auf die leichte Schulter...

Weiterlesen

DSGVO wird zur Zerreißprobe

Weniger als die Hälfte der Unternehmen hat einen konkreten...

Weiterlesen

Post gibt Tipps zur DSGVO-Umsetzung

Die EU-Datenschutz-Grundverordnung kommt in Riesenschritten...

Weiterlesen

Die letzten Datenschutz-Einhörner gibt es noch

In einigen Branchen gibt es letzte Einhörner, die sich noch...

Weiterlesen

S&T und LGP laden zu DSGVO-Infoveranstaltung

S&T und LANSKY, GANZGER + partner laden am 24. Oktober 2017...

Weiterlesen

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht...

Weiterlesen

Digitalisierung der Kommunikation und Zusammenarbeit

Alle 11 Minuten lassen wir uns von E-Mails unterbrechen. Das...

Weiterlesen

Software-Lösung für DSGVO-Umsetzung

Die Software Intervalid 1.0 nimmt nicht nur bei der...

Weiterlesen