Am 25. Mai ist die neue EU-Datenschutzgrundverordnung in Kraft getreten. Seither gibt es vereinzelt erste Nachrichten über Abmahnungen und andere Auswirkungen auf Unternehmen. So hat etwa der Bundesverband Digitale Wirtschaft (BVDW) die Zahl der in den vergangenen Wochen bereits auf Grundlage der neuen Verordnung abgemahnten Digitalunternehmen mit rund 5 Prozent beziffert – man rechnet hier jedoch mit etlichen weiteren. Eine Studie von Sophos aus Juli 2018 besagte derweil unter anderem, dass das subjektive Sicherheitsgefühl in Unternehmen sich im Gegensatz zu der Zeit vor Inkrafttreten der neuen EU-DSGVO nicht verändert habe und der Sinn der Verordnung sehr unterschiedlich bewertet wurde.
Michael Veit, Security Evangelist bei Sophos, gibt im Interview eine Einschätzung zur aktuellen Situation auf Grundlage der aktuellen Arbeit mit und für Unternehmen, die sich EU-DSGVO-konform schützen möchten und zeigt auf, wie ein solcher Schutz möglich gemacht werden kann.
Kurz und knapp – die EU-DSGVO ist seit gut 100 Tagen in Kraft. Wo stehen wir heute?
Die gute Nachricht vorweg – die Welt ist am 25. Mai weder untergegangen noch ist eine flächendeckende Abmahnwelle über die Unternehmen hereingebrochen. Allerdings haben viele Unternehmen bei weitem noch nicht alle Anforderungen der DSGVO erfüllt. Insbesondere kleine Unternehmen sind oft noch überfordert, weil sie mit deutlich weniger Ressourcen dieselben Anforderungen erfüllen müssen wie große Unternehmen. In manchen Teilbereichen der DSGVO sind sich noch nicht einmal die Aufsichtsbehörden über die Auslegung der Regeln einig. Deshalb wissen auch viele Unternehmen nicht genau, was sie alles an Prozessen ändern oder schaffen müssen. Für die Unternehmen bedeutet das eine Unsicherheit, ob die bisherigen Investitionen an Zeit und Geld in die Anpassung und Schaffung von Prozessen zur Datensicherheit auch ausreichend und sinnvoll waren. Wir werden in Zukunft – auch durch erste konkrete juristische Entscheidungen – eine Präzisierung der Vorgaben und damit eine Nachjustierung der notwendigen Maßnahmen sehen. Bis der überwiegende Teil der Unternehmen DSGVO-konform ist, wird wohl noch einige Zeit ins Land gehen.
Gibt es positive Effekte durch die Einführung der DSGVO und wenn ja, welche?
Die DSGVO führt auf jeden Fall dazu, dass das Thema Datenschutz einen höheren Stellenwert in Unternehmen bekommt, und das ist auch richtig so. Da in der Vergangenheit die drohenden Strafen bei Verstößen gegen Datenschutzvorgaben relativ niedrig waren, wurden in vielen Unternehmen keine modernen IT-Sicherheitstechnologien eingeführt, weil sich nach dem Risikomanagement diese Investition nicht lohnte. Das hat sich mit der neuen EU-DSGVO drastisch geändert. Durch die drohenden hohen Strafen im Rahmen der Verordnung kommen dieselben Risikomanagement-Analysen jetzt zu dem Schluss, dass diese oft lange aufgeschobenen Investitionen in moderne IT-Sicherheit notwendig sind. In Bezug auf die IT-Sicherheit hat die DSGVO also positive Effekte, da die Unternehmen ihre Daten sowie die Daten ihrer Kunden besser schützen.
Überfordern die neuen Anforderungen, insbesondere die technischen und organisatorischen Maßnahmen betreffend, nicht gerade kleine und mittlere Unternehmen?
Kleine und mittlere Unternehmen sind meist darauf angewiesen, sich externe Expertise einzukaufen, um schnell und effizient zum Ziel zu kommen und die Reibungsverluste bei der Einführung der notwendigen Prozesse zu minimieren. Das kann sogar Vorteile bringen, wenn Geschäftsprozesse im Zuge dessen durchleuchtet und ggf. verbessert werden.
Ein konkretes Beispiel in der IT-Sicherheit ist die Einführung eines zentralen Management- und Informationssystems für alle IT-Sicherheitslösungen, das den klassischen Ansatz ablöst, bei dem bisher oft Lösungen verschiedener Hersteller für die einzelnen Teilbereiche (wie Endpoint, Server, Mobile, Firewall, Verschlüsselung, Email etc.) eingesetzt wurden. Eine zentrale Lösung ist in der Lage, Ereignisse aller verwalteter Komponenten zu verarbeiten und zu korrelieren, wodurch moderne Hackerangriffe oft überhaupt erst erkannt werden. Im Zuge der Einführung dieser zentralisierten Lösung können dann auch sehr einfach aktuelle Schutztechnologien eingeführt werden. Zum Beispiel indem der Anti-Virus auf dem Endpoint ergänzt wird durch moderne „NextGen“-Technologien wie Machine Learning, Exploit-Schutz und Anti-Ransomware-Funktionen. Wenn die Sicherheitslösungen dann auch noch untereinander kommunizieren, dann können Bedrohungen ohne die Notwendigkeit menschlicher Interaktion automatisch eingedämmt werden. Wenn beispielsweise eine Workstation oder ein Server von Ransomware betroffen ist, dann kommuniziert sie diesen Zustand an die Firewall, die wiederum den Client automatisch im Netzwerk isoliert und verhindert, dass andere Systeme infiziert oder verschlüsselt werden oder dass Daten gestohlen und an den Angreifer im Internet gesendet werden.
Worauf legen Sie in den nächsten Monaten Ihren Handlungsschwerpunkt die neue EU-DSGVO betreffend?
Wir unterstützen unsere Kunden verstärkt darin, ihre IT-Sicherheitsinfrastruktur so zu modernisieren und zentralisieren, damit nicht nur die DSGVO-Vorgaben nach dem Stand der Technik erfüllt werden können, sondern dass gleichzeitig durch die Zentralisierung und Vereinfachung des Managements für den Kunden positive Effekte entstehen.