100 Tage DSGVO – wo stehen wir? Eine Einordnung aus dem Blickwinkel der IT-Security

Am 25. Mai ist die neue EU-Datenschutzgrundverordnung in Kraft getreten. Seither gibt es vereinzelt erste Nachrichten über Abmahnungen und andere Auswirkungen auf Unternehmen. So hat etwa der Bundesverband Digitale Wirtschaft (BVDW) die Zahl der in den vergangenen Wochen bereits auf Grundlage der neuen Verordnung abgemahnten Digitalunternehmen mit rund 5 Prozent beziffert – man rechnet hier jedoch mit etlichen weiteren. Eine Studie von Sophos aus Juli 2018 besagte derweil unter anderem, dass das subjektive Sicherheitsgefühl in Unternehmen sich im Gegensatz zu der Zeit vor Inkrafttreten der neuen EU-DSGVO nicht verändert habe und der Sinn der Verordnung sehr unterschiedlich bewertet wurde.

Michael Veit, Security Evangelist bei Sophos, gibt im Interview eine Einschätzung zur aktuellen Situation auf Grundlage der aktuellen Arbeit mit und für Unternehmen, die sich EU-DSGVO-konform schützen möchten und zeigt auf, wie ein solcher Schutz möglich gemacht werden kann.

Kurz und knapp – die EU-DSGVO ist seit gut 100 Tagen in Kraft. Wo stehen wir heute?

Die gute Nachricht vorweg – die Welt ist am 25. Mai weder untergegangen noch ist eine flächendeckende Abmahnwelle über die Unternehmen hereingebrochen. Allerdings haben viele Unternehmen bei weitem noch nicht alle Anforderungen der DSGVO erfüllt. Insbesondere kleine Unternehmen sind oft noch überfordert, weil sie mit deutlich weniger Ressourcen dieselben Anforderungen erfüllen müssen wie große Unternehmen. In manchen Teilbereichen der DSGVO sind sich noch nicht einmal die Aufsichtsbehörden über die Auslegung der Regeln einig. Deshalb wissen auch viele Unternehmen nicht genau, was sie alles an Prozessen ändern oder schaffen müssen. Für die Unternehmen bedeutet das eine Unsicherheit, ob die bisherigen Investitionen an Zeit und Geld in die Anpassung und Schaffung von Prozessen zur Datensicherheit auch ausreichend und sinnvoll waren. Wir werden in Zukunft – auch durch erste konkrete juristische Entscheidungen – eine Präzisierung der Vorgaben und damit eine Nachjustierung der notwendigen Maßnahmen sehen. Bis der überwiegende Teil der Unternehmen DSGVO-konform ist, wird wohl noch einige Zeit ins Land gehen.

Gibt es positive Effekte durch die Einführung der DSGVO und wenn ja, welche?

Die DSGVO führt auf jeden Fall dazu, dass das Thema Datenschutz einen höheren Stellenwert in Unternehmen bekommt, und das ist auch richtig so. Da in der Vergangenheit die drohenden Strafen bei Verstößen gegen Datenschutzvorgaben relativ niedrig waren, wurden in vielen Unternehmen keine modernen IT-Sicherheitstechnologien eingeführt, weil sich nach dem Risikomanagement diese Investition nicht lohnte. Das hat sich mit der neuen EU-DSGVO drastisch geändert. Durch die drohenden hohen Strafen im Rahmen der Verordnung kommen dieselben Risikomanagement-Analysen jetzt zu dem Schluss, dass diese oft lange aufgeschobenen Investitionen in moderne IT-Sicherheit notwendig sind.

In Bezug auf die IT-Sicherheit hat die DSGVO also positive Effekte, da die Unternehmen ihre Daten sowie die Daten ihrer Kunden besser schützen.

Überfordern die neuen Anforderungen, insbesondere die technischen und organisatorischen Maßnahmen betreffend, nicht gerade kleine und mittlere Unternehmen?

Kleine und mittlere Unternehmen sind meist darauf angewiesen, sich externe Expertise einzukaufen, um schnell und effizient zum Ziel zu kommen und die Reibungsverluste bei der Einführung der notwendigen Prozesse zu minimieren. Das kann sogar Vorteile bringen, wenn Geschäftsprozesse im Zuge dessen durchleuchtet und ggf. verbessert werden.

Ein konkretes Beispiel in der IT-Sicherheit ist die Einführung eines zentralen Management- und Informationssystems für alle IT-Sicherheitslösungen, das den klassischen Ansatz ablöst, bei dem bisher oft Lösungen verschiedener Hersteller für die einzelnen Teilbereiche (wie Endpoint, Server, Mobile, Firewall, Verschlüsselung, Email etc.) eingesetzt wurden. Eine zentrale Lösung ist in der Lage, Ereignisse aller verwalteter Komponenten zu verarbeiten und zu korrelieren, wodurch moderne Hackerangriffe oft überhaupt erst erkannt werden. Im Zuge der Einführung dieser zentralisierten Lösung können dann auch sehr einfach aktuelle Schutztechnologien eingeführt werden. Zum Beispiel indem der Anti-Virus auf dem Endpoint ergänzt wird durch moderne „NextGen“-Technologien wie Machine Learning, Exploit-Schutz und Anti-Ransomware-Funktionen. Wenn die Sicherheitslösungen dann auch noch untereinander kommunizieren, dann können Bedrohungen ohne die Notwendigkeit menschlicher Interaktion automatisch eingedämmt werden. Wenn beispielsweise eine Workstation oder ein Server von Ransomware betroffen ist, dann kommuniziert sie diesen Zustand an die Firewall, die wiederum den Client automatisch im Netzwerk isoliert und verhindert, dass andere Systeme infiziert oder verschlüsselt werden oder dass Daten gestohlen und an den Angreifer im Internet gesendet werden. 

Worauf legen Sie in den nächsten Monaten Ihren Handlungsschwerpunkt die neue EU-DSGVO betreffend?

Wir unterstützen unsere Kunden verstärkt darin, ihre IT-Sicherheitsinfrastruktur so zu modernisieren und zentralisieren, damit nicht nur die DSGVO-Vorgaben nach dem Stand der Technik erfüllt werden können, sondern dass gleichzeitig durch die Zentralisierung und Vereinfachung des Managements für den Kunden positive Effekte entstehen.

Über die Sophos Technology GmbH

Sophos ist führender Anbieter von Endpoint- und Network-Security-Lösungen der nächsten Generation. Als Pionier der Synchronized Security entwickelt Sophos sein innovatives Portfolio an Endpoint-, Netzwerk-, Verschlüsselungs-, Web-, E-Mail- und mobilen Security-Lösungen, die miteinander kommunizieren. Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Lösungen von Sophos mit hervorragendem Schutz vor anspruchsvollen Bedrohungen und Datenverlust. Sophos Produkte sind exklusiv über den weltweiten Channel mit mehr als 26.000 registrierten Partnern erhältlich. Sophos hat seinen Hauptsitz in Oxford, Großbritannien, und wird an der Londoner Börse unter dem Symbol "SOPH" öffentlich gehandelt. Weitere Informationen unter www.sophos.de

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.