{"id":262046,"date":"2022-01-28T00:28:00","date_gmt":"2022-01-27T23:28:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262046"},"modified":"2022-01-28T08:12:29","modified_gmt":"2022-01-28T07:12:29","slug":"expertenkommentare-zum-datenschutztag-2022-unternehmen-vor-neuen-herausforderungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/28\/expertenkommentare-zum-datenschutztag-2022-unternehmen-vor-neuen-herausforderungen\/","title":{"rendered":"Expertenkommentare zum Datenschutztag 2022: Unternehmen vor neuen Herausforderungen"},"content":{"rendered":"

\"SicherheitAm 28. Januar 2022 ist wieder der Europ\u00e4ische Datenschutztag, an dem auf den sicheren Umgang mit sensiblen Daten hingewiesen werden soll. Damit Verbraucher zuverl\u00e4ssig \u00fcber ihre Daten bestimmen k\u00f6nnen, m\u00fcssen Unternehmen f\u00fcr deren sichere Verarbeitung und Speicherung sorgen.<\/p>\n

<\/p>\n

Gerade der durch die Coronavirus-Pandemie bef\u00f6rderte Trend zum virtuellen Arbeiten brachte in den vergangenen zwei Jahren jedoch neue Herausforderungen f\u00fcr Unternehmen mit: Das Arbeiten au\u00dferhalb des B\u00fcrogeb\u00e4udes (z.B. im HomeOffice) erfordert zus\u00e4tzliche IT-Sicherheitsvorkehrungen, um sicherzustellen, dass Unbefugte keinen Zugriff auf Unternehmensdaten erlangen. Demgegen\u00fcber stehen zahlreiche Malware-Kampagnen, mit denen Cyberkriminelle genau auf die Schw\u00e4chen der Remote-Arbeit abzielen, um Daten erbeuten zu k\u00f6nnen.<\/p>\n

Backups sicherstellen<\/h2>\n

Unternehmen m\u00fcssen also sicherstellen, dass die DSGVO auch im Homeoffice sichergestellt wird und dass die Daten auch vor fremden Zugriffen sicher sind. Im Falle eines Ransomware-Angriffs kommt noch hinzu, dass sich die Daten ggf. wiederherstellen lassen. Barracuda meint dazu, dass Unternehmen ihre eingesetzten L\u00f6sungen zur Datensicherung regelm\u00e4\u00dfig \u00fcberpr\u00fcfen m\u00fcssen. Nur so k\u00f6nnen sie sicherstellen, dass ihr Data-Recovery-Plan zuverl\u00e4ssig funktioniert.<\/p>\n

Eine gute Backup-L\u00f6sung sollte in der Lage sein, die wichtigsten Datentypen wiederherzustellen, beispielsweise Office-365-Daten, Datenbanken, E-Mails und komplette Systeme wie virtuelle Server und physische Altsysteme, die noch genutzt werden. Bei Ransomware-Angriffen besteht oft die einzige M\u00f6glichkeit, Systeme sauber wiederherzustellen, also den gesamten b\u00f6sartigen Code aus der Infrastruktur zu bekommen, darin, ein komplettes Recovery des Systems durchzuf\u00fchren. Au\u00dferdem ist es wichtig, Systeme und Cloud-Datenspeicher proaktiv auf Malware und andere b\u00f6sartige Inhalte zu scannen, um den Cyber-Kriminellen tunlichst einen Schritt voraus zu sein.<\/p>\n

Handlungsf\u00e4higkeit digitaler Organisationen<\/h2>\n

Laut Harald Sch\u00fctz, Corporate Product Manager, Conpal, bestimmt der sichere Umgang mit Daten bestimmt die Handlungsf\u00e4higkeit digitaler Organisationen. Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr f\u00fcr Jahr deutlicher zu Tage. Die vergangenen zwei Jahre h\u00e4tten gezeigt, dass digitale Zusammenarbeit unter nahezu allen Bedingungen m\u00f6glich ist, die Sicherheit der Daten dabei jedoch keine Selbstverst\u00e4ndlichkeit ist.<\/p>\n

Angesichts flexibler Arbeitsm\u00f6glichkeiten kann allein die Absicherung von IT-Umgebungen die Datensicherheit nicht gew\u00e4hrleisten. Gesetzliche Datenschutzstandards wie die DSGVO, ISO27001 oder branchenspezifische Vorgaben wie KHZG und TISAX belegen die vielf\u00e4ltigen Facetten, die in den verschiedenen Auspr\u00e4gungen automatisierter Datenverarbeitung relevant sind. F\u00fcr Unternehmen wird damit deutlich, welche Bedeutung ein sicherer Umgang mit Daten f\u00fcr ihre Handlungsf\u00e4higkeit als digitale Organisation hat.<\/p>\n

Der Verlust oder Diebstahl unternehmenseigener Daten sowie sensibler Kundendaten kann sowohl zu Wettbewerbsnachteilen als auch rechtlichen Konsequenzen f\u00fchren. Daraus folgt, dass Unternehmen zunehmend den Datenschutz ins Zentrum ihrer Sicherheitsbem\u00fchungen stellen m\u00fcssen. Sie haben erkannt, dass ihre Handlungsf\u00e4higkeit von ihrer Kontrolle \u00fcber die Datenmengen abh\u00e4ngt, die sie verarbeiten.<\/p>\n

Daf\u00fcr setzen immer mehr Organisationen auf IT-Sicherheitskonzepte, die sich entlang von Datenschutzrichtlinien entwickeln lassen und au\u00dferdem die Durchsetzung von Sicherheits- und Zugriffsrichtlinien bis hinunter auf Dateiebene erlauben. Datenschutz entwickelt sich damit k\u00fcnftig zu einem Dreh- und Angelpunkt im digitalen Gesch\u00e4ftswesen.<\/p>\n

Datenschutz wird f\u00fcr Unternehmen wichtiger<\/h2>\n

John Smith, EMEA CTO von Veracode meint: \"Der Datenschutz wird f\u00fcr Unternehmen in Europa immer wichtiger, denn mit dem Inkrafttreten von Vorschriften und Compliance-Ma\u00dfnahmen wie der Datenschutz-Grundverordnung (DSGVO) und Schrems II drohen den Unternehmen Kosten in Millionenh\u00f6he, wenn sie diese nicht einhalten. So haben die europ\u00e4ischen Datenaufsichtsbeh\u00f6rden im Jahr 2021 Geldbu\u00dfen in H\u00f6he von 1,1 Milliarden Euro in Bezug auf die DSGVO verh\u00e4ngt – ein enormer Anstieg von 585 % im Vergleich zu 2020.<\/p>\n

Immer mehr Unternehmen verlangen, dass ihre Daten in der EU verbleiben, wenn sie das Anwendungs-Scanning durchlaufen. Unsere europ\u00e4ische Instanz, \"European Region\", erm\u00f6glicht dies, da sie Kunden eine EU-Data Residency bietet. Letztendlich werden alle Anbieter von Cloud-basierten L\u00f6sungen Dateninstanzen einrichten m\u00fcssen, um die Kunden bei der Sicherung ihrer Daten zu unterst\u00fctzen.<\/p>\n

Es ist au\u00dferdem wichtig, dass Unternehmen ihre Software-Sicherheit verbessern, um sensible Daten vor Hackern zu sch\u00fctzen. Mit der zunehmenden Verbreitung von Open Source steigt auch das systemische Risiko in der Software-Supply-Chain. Da immer mehr Entwickler auf Open Source zur\u00fcckgreifen, haben wir einen Punkt erreicht, an dem ein gr\u00f6\u00dferes Risiko von Open Source ausgeht als von dem eigens erstellten Code eines Entwicklers. Daher ist es wichtiger denn je, dass Unternehmen die Sicherheit in der Softwareentwicklung nach links verlagern, Entwickler durch Schulungen zu Best Practices in der sicheren Kodierung bef\u00e4higen und ihnen Werkzeuge zur Verf\u00fcgung stellen, um Schwachstellen in ihrer Software zu finden und zu beheben.\"<\/p>\n

Ungepatchte Schwachstellen als Einfallstor<\/h2>\n

Sicherheitsanbieter Tenable erinnert in einem Kommentar dran, dass es sich bei erfolgreichen Angriffenin den allermeisten F\u00e4llen nicht um fortgeschrittene Bedrohungen handelt. Vielmehr werden bekannte, aber nicht gepatchte Schwachstellen ausgenutzt. Unternehmen m\u00fcssen sich daher darauf konzentrieren, diese Angriffswege, die Angreifer ausnutzen wollen, zu identifizieren und zu blockieren. Sie m\u00fcssen herausfinden, was f\u00fcr das Unternehmen wichtig ist, wie es aufgestellt ist und ob es angreifbar ist. Dann gilt es gezielte Ma\u00dfnahmen zu ergreifen, um den Schutz zu verbessern.<\/p>\n

Die Erkenntnis: Datenschutz und Datensicherheit sind zwar zwei unterschiedliche Disziplinen, aber unwiderruflich miteinander verwoben \u2013 man kann keine Privatsph\u00e4re haben, ohne sie zu sch\u00fctzen. Dennoch war 2021 laut einer Studie des Security Response Teams von Tenable ein weiteres Rekordjahr f\u00fcr Cybersicherheitsvorf\u00e4lle und damit auch f\u00fcr Datenschutzverletzungen. Im Jahr 2021 wurden weltweit unglaubliche 40 417 167 937 Datens\u00e4tze offengelegt. Diese Zahl ist jedoch nur ein winziger Prozentsatz der tats\u00e4chlichen Zahl. Laut der Analyse der Sicherheitsforscher enthielten nur 13 Prozent der enth\u00fcllten Sicherheitsverletzungen Informationen \u00fcber die Anzahl der gef\u00e4hrdeten Datens\u00e4tze.<\/p>\n

Das Problem ist, dass Kriminelle wissen, dass sie mit ihren Verbrechen Geld verdienen k\u00f6nnen, indem sie es auf wertvolle Daten abgesehen haben. Die Daten m\u00fcssen sie nicht immer tats\u00e4chlich \u201estehlen\", da allein die Drohung, sie preiszugeben, viele Unternehmen dazu zwingt, auf L\u00f6segeldforderungen einzugehen.<\/p>\n

Fortinet-Studie zu Zero-Trust-Implementierungen<\/h2>\n

Und eine Fortinet-Studie legt offen, dass mehr als die H\u00e4lfte der Unternehmen mit l\u00fcckenhafter Zero-Trust-Implementierung k\u00e4mpfen. Eine Analyse von Unternehmen offenbart Schw\u00e4chen in der konsistenten Authentifizierung von Benutzern und Ger\u00e4ten. Die Studie Global State of Zero Trust Report<\/a><\/u> zeigt, dass die meisten Unternehmen eine Vorstellung von Zero-Trust haben oder dabei sind, Zero-Trust-Initiativen zu implementieren. Mehr als die H\u00e4lfte der Unternehmen kann dieses Vorhaben jedoch nicht mit den eingesetzten L\u00f6sungen umsetzen, weil ihnen einige grundlegende Zero-Trust-Prinzipien fehlen. Hier die wichtigsten Erkenntnisse der Studie:<\/p>\n

Laut des FortiGuard Labs Threat Landscape Report<\/a><\/u> nimmt das Volumen von Angriffen auf Einzelpersonen, Unternehmen und verst\u00e4rkt auch auf kritische Infrastrukturen zu. Zudem sind diese Angriffe immer ausgefeilter. Unternehmen sind daher auf der Suche nach L\u00f6sungen, um sich vor dieser Bedrohungslage zu sch\u00fctzen. Zero-Trust steht dabei ganz oben auf der Liste, jedoch aus mehreren Gr\u00fcnden. Dar\u00fcber hinaus hat die Verlagerung zum ortsunabh\u00e4ngigen Arbeiten<\/a><\/u> insbesondere Zero Trust Network Access (ZTNA)<\/a><\/u> in den Fokus ger\u00fcckt. Unternehmen m\u00fcssen nun wichtige Daten von Mitarbeitern sichern, die sich von unzureichend gesch\u00fctzten Heimnetzwerken aus verbinden.<\/p>\n

Unklarheit bei der Definition von Zero-Trust-Strategien<\/h3>\n

Die Studie zeigt, dass eine gewisse Unklarheit dar\u00fcber herrscht, was eine vollst\u00e4ndige Zero-Trust-Strategie ausmacht. So gaben die Befragten an, die Konzepte Zero-Trust (77 Prozent) und ZTNA (75 Prozent) zu verstehen. Mehr als 80 Prozent der Befragten erkl\u00e4rten, bereits eine Zero-Trust- und\/oder ZTNA-Strategie zu verfolgen oder deren Einf\u00fchrung zu planen. Dennoch ist laut eigener Aussage die H\u00e4lfte der Befragten nicht in der Lage, zentrale Zero-Trust-Funktionen zu implementieren. Fast 60 Prozent meinten sogar, dass sie nicht \u00fcber die erforderlichen M\u00f6glichkeiten verf\u00fcgten, die Authentifizierung von Nutzern und Ger\u00e4ten kontinuierlich zu gew\u00e4hrleisten. Mehr als jeder zweite Befragte (54 Prozent) hat zudem Schwierigkeiten, das Monitoring der Nutzer nach der Authentifizierung abzudecken.<\/p>\n

Diese Diskrepanz gibt Anlass zur Besorgnis, da es sich bei diesen Funktionen um grundlegende Prinzipien des Zero-Trust-Konzepts handelt. Dies wirft sogar die Frage auf, wie die tats\u00e4chliche Implementierung in den verschiedenen Unternehmen aussieht. Zur Verwirrung tragen auch die Begriffe \"Zero Trust Access\" und \"Zero Trust Network Access\" bei, die manchmal synonym verwendet werden.<\/p>\n

Zero-Trust als oberste Priorit\u00e4t \u2013 aus unterschiedlichen Gr\u00fcnden<\/h3>\n

Wichtigster Grund f\u00fcr einen Einsatz von Zero-Trust ist die \u201eMinimierung der Auswirkungen von Sicherheitsverst\u00f6\u00dfen und Eindringlingen\", dicht gefolgt von \u201eSicherung des Fernzugriffs\" sowie der \u201eGew\u00e4hrleistung der Kontinuit\u00e4t des Gesch\u00e4ftsbetriebs oder der Unternehmensziele\". Weitere Angaben umfassen die \u201eVerbesserung des Benutzererlebnisses\" und die \u201eFlexibilit\u00e4t, Sicherheit an jedem Ort zu gew\u00e4hrleisten\".<\/p>\n

Als wichtigsten Vorteil von Zero-Trust wird von Befragten die \u201eSicherheit \u00fcber die gesamte digitale Angriffsfl\u00e4che\" gesehen, gefolgt von einer \u201ebesseren Benutzererfahrung beim Fernzugriff (VPN)\".<\/p>\n

Die \u00fcberwiegende Mehrheit der Befragten ist der Meinung, dass Zero-Trust-Sicherheitsl\u00f6sungen unbedingt in die bestehende Infrastruktur integriert werden sollten. Zudem m\u00fcssen sie sowohl in der Cloud als auch in On-Premises-Umgebungen funktionieren und auf der Anwendungsebene sicher sein. Allerdings gaben mehr als 80 Prozent der Befragten an, dass die Implementierung einer Zero-Trust-Strategie in einem umfangreichen Netzwerk eine Herausforderung sei. Zu den gr\u00f6\u00dften Hindernissen f\u00fcr Unternehmen, die noch keine Strategie haben oder planen, geh\u00f6rt der Mangel an qualifizierten Fachkr\u00e4ften, wobei 35 Prozent der befragten Unternehmen andere IT-Strategien nutzen, um Zero-Trust zu erreichen.<\/p>\n

\u201eAngesichts einer sich st\u00e4ndig weiter entwickelnden Bedrohungslandschaft, der Umstellung auf ortsunabh\u00e4ngiges Arbeiten und der Notwendigkeit, Anwendungen in der Cloud sicher zu verwalten, ist der \u00dcbergang von implizitem Vertrauen zu Zero-Trust f\u00fcr Unternehmen von gr\u00f6\u00dfter Bedeutung,\" erkl\u00e4rt John Maddison, EVP of Products and CMO bei Fortinet. \u201eUnsere Umfrage zeigt, dass die meisten Unternehmen zwar \u00fcber irgendeine Art von Zero-Trust-Strategie verf\u00fcgen, jedoch keine ganzheitliche Strategie verfolgen und Schwierigkeiten haben, einige grundlegende Zero-Trust-Sicherheitsma\u00dfnahmen zu implementieren. Eine effektive L\u00f6sung erfordert einen Ansatz mit einer Cybersecurity-Mesh-Plattform, um so alle grundlegen Zero-Trust-Prinzipien in der gesamten Infrastruktur zu ber\u00fccksichtigen, einschlie\u00dflich Endpunkt, Cloud und On-Premises. Andernfalls ist das Ergebnis nur eine partielle, jedoch nicht integrierte L\u00f6sung, der es an umfassender Transparenz mangelt.\"<\/p>\n

\u00dcber den Zero-Trust-Report<\/h3>\n

Die Studie basiert auf einer weltweiten Umfrage unter IT-Entscheidungstr\u00e4gern, die einen \u00dcberblick gibt, wie weit die Unternehmen auf ihrem Weg zu Zero-Trust sind. Die Umfrage soll ein besseres Verst\u00e4ndnis der folgenden Punkte geben:<\/p>\n