Rekord-Bußgelder zu erwarten durch DSGVO / GDPR

Rekord-Bußgelder zu erwarten durch DSGVO / GDPR
Anzeige

Beitrag teilen

Die EU-Kommission hat die Regeln für die Datenwirtschaft weiter modernisiert. Die Rekord-Bußgelder bei der DSGVO aus den vergangenen zehn Monaten legen offen, dass Firmen bereits überfordert sind, bestehende Regeln einzuhalten.

Die Aufgabe wird schwerer, da neue Vorgaben hinzukommen und die Menge der Daten wächst. Es ist Zeit, dass Firmen ihr Datenmanagement grundsätzlich überdenken, um endlich die Kontrolle zurückzugewinnen und Compliance-Risiken einzudämmen.

Anzeige

DSGVO: Bereits 1,6 Milliarden Euro Bußgeld

Etwa 1,6 Milliarden Euro, auf diese Zahl summieren sich alle Bußgelder, die seit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gegen Firmen verhängt wurden. Organisationen aus der ganzen Welt wurden für Verstoße geahndet. Allein in den vergangenen 12 Monaten haben europäische Datenschutzbehörden schwere Strafen gegen fünf prominente amerikanische Unternehmen aus dem Technologiebereich verhängt. Diese fünf Fälle stehen für Geldstrafen in Höhe von mehr als 1,2 Milliarden Euro.

Auch die Zahl der gemeldeten Verstöße gegen die DSGVO ist im gleichen Zeitraum von 639 auf 1037 schneller denn je gestiegen. Wenn die Verordnung am 25. Mai ihren vierten Jahrestag feiert, wird 2021 Rekorde bei den Bußgeldern aufstellen. Wer wegen der Pandemie eine laschere Auslegung der Richtlinien erhofft hatte, wird überrascht sein.

Anzeige

Über 1.000 gemeldete Verstöße

Während dieser Zeit haben sich andere starke Trends herausgebildet. Die rasante Digitalisierung, die Pandemie und Remote-Working als schnelle und kluge Antwort darauf haben mehr Daten an immer mehr Orten entstehen lassen. Firmen kommen offensichtlich nicht mehr hinterher, diese Explosion an Daten und Datensilos in den Griff zu kriegen, zumal sich die Rahmenbedingungen erneut stark ändern.

Im März haben Ursula von der Leyen, Präsidentin der EU-Kommission, sowie Joe Biden, US-Präsident, gemeinsam angekündigt, eine neue Regelung für den transatlantischen Datenverkehr zu verabschieden. Wann dieses Trans-Atlantische Data Privacy Framework, auch „Privacy Shield 2.0 Abkommen“ genannt, als neue Rechtsgrundlage in Kraft tritt, blieb noch offen. Aber auch diese Regel wird sich darauf auswirken, wie Firmen mit internationalem Geschäft mit ihren Daten handhaben, wie sie personenbezogene Daten verarbeiten, transferieren, speichern und archivieren. Und just einen Monat vorher hat die EU-Kommission mit dem „EU Data Act“ neue Ansätze vorgestellt, um den Datenmarkt in Europa zu regulieren.

Blick auf die Daten verzerrt

Viele Firmen haben ihre Daten auf viele Speicherorte verteilt. Und wie die Zahl der Verstöße zeigt, fällt es ihnen zunehmend schwer, dieses Archipel aus proprietären isolierten Dateninseln zu verwalten. IT-Teams müssen viel Zeit und Ressourcen einsetzen, um Fragen der Governance, Archivierung und Compliance zu regeln. Das Zerrbild verursacht dabei eine Reihe eklatanter Probleme, die mit der Datenmenge und der Zahl der Regularien mitwachsen. So ist kaum ersichtlich, ob Daten redundant vorhanden, kritische personenbezogene Daten an riskanten Speicherorten abgelegt oder im Backup-Plan übersehen worden sind.

Ein Unternehmen kann diese Inseln mit Prozessen und Einzeltools in den Griff zu bekommen, muss allerdings mit hohen Infrastruktur- und Betriebskosten, mangelnder Integration zwischen den Produkten und einer immer komplexen Architekturen rechnen. Und es ist fraglich, ob in solch einer fragmentierten Umgebung alle Daten vor Ransomware geschützt und wichtige Aufgaben wie eine schnelle Recovery in der nötigen Zeit und Qualität überhaupt umsetzbar sind, um den Betrieb am Laufen zu halten.

Wolfgang Huber, Regional Director DACH bei Cohesity, empfiehlt Unternehmen daher, sich vom Archipel zu lösen und nach einem Ansatz der nächsten Generation für das Datenmanagement zu suchen. Auf dieser Grundlage können Firmen die Datensilos aufbrechen und zusammenführen und komplexe Architekturen radikal vereinfachen. Alle darin gespeicherten Daten lassen sich viel strenger nach Compliance-Vorgaben verwalten und stärker vor Ransomware schützen.

Den Wert der Daten erkennen

Unternehmen müssen wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie Fragen der Governance und Compliance beantworten und beispielsweise steuern, dass bestimmte Datentypen gewisse Speicherorte nicht verlassen dürfen. Und sie müssen genau überblicken, wer auf diese Daten zugreifen kann, um beispielsweise überzogen privilegierte User zu entdecken. Und sie können KI/ML-Technologie nutzen, um ungewöhnliche Sicherungs- oder Zugriffsmuster oder anderes anormales Verhalten aufzuspüren. Diese Indizien helfen, mögliche interne und externe Angriffe wie Ransomware frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Einheitlichen Blick auf die Daten gewinnen

Idealerweise sind all diese Funktionen und der Überblick über die Datenlandschaft über eine Konsole zu erreichen, auf die nur autorisierte User dank Multifaktor-Authentifizierung und Access-Control-Lists zugreifen können – und zwar unabhängig davon, ob die Daten in einer hybriden Cloud oder in einem SaaS-Dienst abgelegt sind.

Widerstandsfähige Infrastruktur etablieren

Die Daten selbst sollten in einer zentralen Datenmanagement-Plattform, idealerweise auf Basis eines hyperconverged Filesystems, zusammengeführt werden, die hochskaliert und das Zero-Trust-Modell noch weiterführt. Neben den bereits erwähnten strengen Zugriffsregeln und der Multifaktor-Authentifizierung sollte die Plattform unveränderliche so genannte Immutable Snapshots erzeugen. Keine externe Anwendung und unbefugte User können diese Snapshots nicht verändern.

Unternehmen sollten die Daten sowohl beim Transport als auch beim Ablegen stark verschlüsseln, damit sie besser vor Manipulationsversuchen und Cyberattacken wie Ransomware geschützt sind.

Data Management as a Service

Einige Unternehmen wollen heute Aufgaben nicht mehr komplett selbst abwickeln, sei es weil sie die Investitionen scheuen, ihre IT-Teams sich auf andere wichtigere Aufgaben konzentrieren wollen oder sie schlicht Hilfe suchen. In diesen Fällen sollten sie auf einen Anbieter setzen, der so genannte Data Management as a Service (DMaaS) anbietet. Dieses Portfolio von „Software as a Service“ (SaaS)-Angeboten wurde entwickelt, damit Unternehmen und mittelständischen Kunden ihre Daten auf radikal einfache Weise sichern, verwalten und analysieren können.

Mehr bei Cohesity.com

 


Über Cohesity

Cohesity vereinfacht das Datenmanagement extrem. Die Lösung erleichtert es, Daten zu sichern, zu verwalten und aus ihnen Wert zu schöpfen - über Rechenzentrum, Edge und Cloud hinweg. Wir bieten eine vollständige Suite von Services, die auf einer Multi-Cloud-Datenplattform konsolidiert sind: Datensicherung und Wiederherstellung, Notfallwiederherstellung, Datei- und Objektdienste, Entwicklung/Test sowie Daten-Compliance, Sicherheit und Analysen. Das reduziert die Komplexität und vermeidet die Fragmentierung der Massendaten. Cohesity kann als Service, als selbst verwaltete Lösung sowie über Cohesity-Partner bereitgestellt werden.


 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen

Bitglass-Report: BYOD-Sicherheitsmaßnahmen sind oft unzureichend

Cloud-Sicherheitsanbieter Bitglass hat seinen BYOD Report 2020 veröffentlicht, in dem die Nutzung und Sicherheit persönlicher Geräte (Bring Your Own Device, ➡ Weiterlesen