Veritas Studie: Deutsche Unternehmen schlecht auf DSGVO vorbereitet

/in /von

Vor allem kleine und mittelständische Betriebe haben noch erhebliche Defizite und scheitern schon bei der Beantwortung grundlegender Fragen der neuen Datenschutzverordnung.

48 Prozent der deutschen Unternehmen sehen sich schlecht auf die neue Datenschutzverordnung vorbereitet, die in knapp einem Jahr in Kraft tritt. Im Vergleich mit anderen europäischen Ländern liegt Deutschland damit auf dem letzten Platz, wie eine Studie des Information-Management-Spezialisten Veritas hervorgeht.

Die EU-Datenschutzgrundverordnung, kurz DSGVO oder englisch General Data Protection Regulation, GDPR, tritt am 25 2018 in Kraft. Damit sollen Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union harmonisiert werden. In der Praxis bedeutet das, vor allem dass bei personenbezogenen Daten Unternehmen nachweisen können müssen, wo diese gespeichert sind und wer sie auf welche Weise verarbeitet. Die Verordnung gilt jedoch auch für Organisationen, die Daten von EU-Bürgern Speichern, also auch für Google, Facebook, Amazon oder aber auch kleinere Anbieter, die innerhalb der EU Services oder Produkte anbieten.

Weltweit betrachtet bezweifeln 47 Prozent, die Deadline einhalten zu können. Unternehmen, die gegen die Vorgaben verstoßen drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes wobei die höhere Summe angesetzt wird. Für Unternehmen erwächst hier ein neues Risiko: 18 Prozent der Unternehmen befürchten im Fall einer Strafzahlung, gänzlich vom Markt zu verschwinden. 21 Prozent befürchten andere Folgen wie etwa Stellenabbau.

Auch die Außenwirkung bereitet Unternehmen Kopfzerbrechen. Das gilt vor allem für den Fall, wenn ein Compliance-Verstoß aufgrund der Verpflichtung, Datenlecks zu melden, an die Öffentlichkeit gelangt. 19 Prozent der Befragten gehen davon aus, dass negative Berichte in Medien oder sozialen Netzwerken Kunden veranlassen könnten, zur Konkurrenz zu wechseln. In Deutschland fürchten sich sogar 24 Prozent vor schlechter Presse – der globale Spitzenwert. Weitere zwölf Prozent erwarten den Wertverfall der Unternehmensmarke, in Deutschland sind es 15 Prozent.

Wo liegen die Daten?

Schon die erste Frage, die sich im Zuge der DSGVO stellt, können viele Unternehmen nicht mehr beantworten: Wo lagern Daten, was enthalten diese und inwieweit sind sie relevant? Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann.

Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen.

32 Prozent der Befragten gaben an, keine Technologie zu besitzen, mit der Daten verwaltet werden können. Was wiederum die effektive Suche nach den Daten erschwert.

Bei 42 Prozent der befragten Unternehmen weltweit sind keine Prozess definiert, nach denen Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Gemäß der DSGVO steht Unternehmen auch zu, Daten zu behalten. Das ist jedoch nur dann der Fall, wenn die betroffene Person über die Gründe informiert wurde. Sind diese jedoch erfüllt, müssen die fraglichen Informationen sofort gelöscht werden.

Noch gut ein Jahr haben Organisationen Zeit, sich auf die DSGVO vorzubereiten. Deutsche Unternehmen sehen sich zu 36 Prozent vorbereitet. Im Vereinigten Königreich, den USA und Frankreich seien etwa 60 Prozent der Befragten laut eigenen Angaben in der Lage, rechtzeitig alle Regelungen erfüllen zu können. Für alle anderen werden in den nächsten Monaten noch Investitionen zukommen. Im Schnitt gehen Unternehmen von 1,3 Millionen Euro Mehrkosten durch die DSGVO aus. Deutsche Unternehmen veranschlagen im Schnitt 820.000 Euro. Allerdings könnte diese Zahl noch steigen.

“Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen”, erklärt Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

Laut Kranig seien es vor allem größere Unternehmen, die bereits geeignete Prozesse etwa für das Löschen von nicht mehr erforderlichen Daten installiert haben.

“Viel problematischer ist die Situation bei kleinen und mittelständischen Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen”, warnt Kranig.

Jedoch mache es für einen Betroffenen es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Die Verbraucher werden durch die DSGVO gestärkt die Betroffenenrechte gegenüber allen Verantwortlichen geltend machen. “Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant”, warnt der Datenschutzexperte.

“Wenn geschäftliche Beziehungen zur Region existieren, gilt die DSGVO”, erklärt Andreas Bechter, Senior Product Manager bei Veritas. Ein Verdrängen der Anforderungen mache keinen Sinn. “Jetzt wäre es an der Zeit, einen Berater einzubeziehen, der den aktuellen Stand evaluiert und dem Unternehmen hilft eine Compliance-Strategie zu entwickeln. Den Kopf in den Sand zu stecken ist keine Alternative – es geht um Arbeitsplätze, Reputation und das Wohlergehen des Unternehmens.”

Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Unternehmen mit mindestens 1000 Mitarbeitern in Europa, Asien und den USA befragt .

BSI: Mindeststandards für Browser veröffentlicht

/in /von

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard zum Thema Sichere Web-Browser veröffentlicht. Bei einer Überprüfung fiel der Browser Microsoft Edge negativ auf.

Der Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Diese Anforderungen sind zum Erreichen eines Mindestmaßes an Informationssicherheit einzuhalten. Als nationale Cyber-Sicherheitsbehörde nimmt das BSI mit diesem Mindeststandard seine gesetzliche Aufgabe nach Paragraf 8 Abs. 1 BSIG wahr, die Informationssicherheit der Informationstechnik des Bundes präventiv weiter zu stärken. Der Mindeststandard richtet sich hauptsächlich an IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Fachkräfte in der Bundesverwaltung. Darüber hinaus können aber auch Wirtschaft und Gesellschaft, sowie Länder und Kommunen diese Empfehlungen heranziehen.

Web-Browser gehören heute zur Standardausstattung von Arbeitsplatzrechnern. Durch ihre Funktionsvielfalt erreichen sie oft die Mächtigkeit moderner Betriebssysteme. Diese Komplexität und das damit verbundene Potenzial für Schwachstellen sowie ihre weite Verbreitung macht Browser zu einem beliebten Ziel für Cyber-Angreifer.

Sind bereits bei der Entwicklung des Web Browsers entsprechende Sicherheitsmechanismen implementiert worden, kann vielen dieser Risiken in der Betriebsphase zuverlässig begegnet werden. Der Mindeststandard umfasst daher sowohl funktionale Mindestanforderungen, die Anwender bei der Produktauswahl unterstützen, als auch darauf aufbauende Sicherheitsanforderungen, die den sicheren Betrieb des Web-Browsers regeln.

Der Mindeststandard für sichere Web-Browser sowie ein Abgleich gängiger Web-Browser mit den Anforderungen des Mindeststandards sind auf der Webseite des BSI abrufbar. Überprüft wurden die Browser Firefox, Chrome, Internet Explorer und Microsoft Edge. Eine Tabelle zeigt das Resultat der Überprüfung der vom BSI festgelegten Sicherheitsaspekte bei den einzelnen Browsern. Viele Anforderungen werden von den aktuellen Browser-Versionen erfüllt. Allerdings fand das BSI bei jedem der untersuchten Programme kleinere Mängel, die sich aber über Plug-ins umgehen lassen. Einen besonderen Mangel stellte das BSI bei Microsoft Edge (Version 38.14393.0.0) fest: Dieser Browser zeigt nicht klar an, mit welchem Standard die Kommunikation zum Server verschlüsselt wird.

 

Verbraucherschützer warnen vor gefälschten USB-Sticks auf Online-Marktplätzen

/in /von

Kingston hatte im Januar USB-Sticks mit einer Kapazität von 2 TByte auf den Markt gebracht hat. Die kosten aktuell je nach Anbieter zwischen 1579 (Alternate) und 3620 Euro (Amazon). Für 20 bis 50 Euro sind Speicher-Sticks mit der Kapazität dagegen trotz anderslautender Angebote auf Onlinemarktplätzen nicht zu haben.

DEKRA: Fit für die europäische Datenschutz-Grundverordnung (EU-DSGVO)? Die Zeit läuft!

/in /von

Ab dem 25. Mai 2018 tritt die EU Datenschutz Grundverordnung (EU-DSGVO) in Kraft und ersetzt somit das Bundesdatenschutzgesetz. Folglich haben alle Unternehmen die personenbezogene Daten erheben, verarbeiten, nutzen und speichern bis Mai 2018 Zeit, ihre Datenverarbeitungsprozesse an die neuen gesetzlichen Rahmenbedingungen anzupassen. Aufgrund der vielen neuen Regelungen und Anforderungen sowie der stark erhöhten Bußgeldandrohungen (bis zu 20 Mill. €) müssen Unternehmen schnellstens beginnen, sich mit den kommenden Veränderungen im Umgang mit personenbezogenen Daten vertraut zu machen, um die Übergangszeit konstruktiv zu nutzen.

Außerdem ist Datenschutz nicht länger nur eine Option, sondern vielmehr ein Muss. Denn Versäumnisse in diesem Bereich können sich nicht nur in finanzieller Hinsicht negativ auf ein Unternehmen auswirken, sondern auch das Vertrauen von Kunden, Partnern und Dienstleistern nachhaltig erschüttern. Ein angemessenes und umgesetztes Datenschutzsystem ist somit ein sehr guter Schutz für das Unternehmen um folgende Risiken zu minimieren bzw. auszuschließen:

Lesen Sie hier weiter.