Zu wenig Engagement der Unternehmen
Kern der der Datenschutz-Grundverordnung ist der Schutz personenbezogener Daten. Die Regelung war auch offensichtlich notwendig: Sowohl weil persönliche Daten von sozialen Medien und Suchmaschinenanbietern unkontrolliert zu Werbezwecken verkauft wurden, als auch weil personenbezogene Informationen durch Unachtsamkeit bei Cyberangriffen in die Hände Dritter gelangt sind, ohne dass die Betroffenen zeitnah informiert wurden.
Jedoch sind Unternehmen bei der Umsetzung nach wie vor zu wenig engagiert wie Klinger in seinem Beitrag auf it-business.de konstatiert und wie die Bilanz über ein Jahr später zeigt. Eine aktuelle Umfrage der deutschsprachigen SAP-Anwendergruppe (DSAG) zeigt, dass lediglich 12 Prozent der Befragten eine DSGVO-Konformität bestätigen konnten. Dagegen setzten 83 Prozent die neuen Richtlinien lediglich teilweise um.
Bußgelder anstelle Klagen
Bislang sind noch keine millionenschweren Bußgelder angefallen und die Abmahnwirtschaft scheint ebenfalls bisher stillzuhalten. Auch zeigen sich die meisten Behörden noch nachsichtig, falls betroffene Unternehmen und Organisationen zu der Beseitigung der Mängel bereit sind. Dennoch wurden in den letzten zwölf Monaten in Deutschland fast eine halbe Million an Strafzahlungen fällig.
Die Zeit der Milde dürfte bald vorbei sein. Daher sollten Unternehmen spätestens jetzt an der Konformität mit der DSGVO arbeiten, auch in Hinblick auf die Dokumentationspflicht der Verwendung und des Schutzes der personenbezogenen Daten.
Schwachstellenmanagement und Automatisierung schützt
Für die DSGVO-Compliance ist Transparenz ein zentrales Fundament. Bei der ordnungsgemäßen Dokumentation hilft die Verwendung eines automatisierten Schwachstellenmanagements. Zunächst überprüft ein solches System die IT-Infrastruktur und gibt Aufschluss über etwaige Risiken. Hier wird ersichtlich, ob bekannte Schwachstellen in den Betriebssystemen bestehen. Auch Sicherheitslücken in Anwendungen, wie z.B. zu schwache oder bekannte Passwörter, kann die Lösung beheben, oder mangelhafte Systemkonfiguration von Servern aufzeigen. Für die Bewertung von Schwachstellen nutzt das System Datenbanken anerkannter Sicherheitsorganisationen und arbeitet so stets auf Basis aktueller Daten.
Für eine möglichst schnelle und effiziente Vermittlung der Informationen nutzt das Schwachstellenmanagement ein Dashboard, das Administratoren immer über den aktuellen Stand informiert. Darüber hinaus werden erkannte Risiken durch die Automatisierung rasch behoben. Für die Unternehmens-IT ist dies aus verschiedenen Gründen wichtig. Durch die zeitnahe Reaktion verringert sich das Zeitfenster für mögliche Angriffe. Außerdem erfüllt das System damit auch die Anforderungen des Gesetzgebers an die Unmittelbarkeit der Gefahrenabwehr. Dies ist wichtig, denn dem betroffenen Unternehmen bleiben lediglich 72 Stunden, um auf einen Angriff auf personenbezogene Daten zu reagieren, und die entsprechenden Personen zu informieren. Denn das gehört ebenfalls zu den gesetzlichen Verpflichtungen, die sich aus dem DSGVO ergeben – ohne eine lückenlose Dokumentation ist dies kaum zu schaffen.
Datenschutz im eigenen Interesse
Der Zwang zum besseren eigenen Datenschutz hat allerdings auch etwas Positives: Datendiebstahl, Sabotage und Spionage können für Unternehmen empfindliche Umsatzeinbußen verursachen und im schlimmsten Fall einen Ruin nach sich ziehen.
Grundsätzlich hat Datenschutz mit Hilfe von Schwachstellenmanagement – ob nun zur Erfüllung der DSGVO oder nicht – seine guten Seiten. Neben lückenloser Dokumentation spart die Automatisierung des Schwachstellenmanagements auch kostbare Personalressourcen. Zudem ist ein gutes Schwachstellenmanagement Teil einer effizienten Endpoint-Management-Lösung, welche die zeitraubende manuelle Administration von IT-Ressourcen erspart.
So hat die Einführung der Datenschutz-Grundverordnung den Vorteil, dass viele Unternehmen ihr Sicherheitskonzept überdenken – und nebenbei etwas Gutes für ihr IT-Budget tun.
Weiterführende Links:
it-business.de: Wie geht es mit der DSGVO weiter?
