Datenschutz: Höhere Anforderungen für mehr Sicherheit
Das Thema Datenschutz wird auf Unternehmensseite noch viel zu häufig unterschätzt und stiefmütterlich behandelt. Dabei entwickelt sich die Umsetzung und Einhaltung von Compliance-Vorgaben im Zuge der weiteren Verschärfung der Gesetzeslage weltweit zu einem immer komplizierteren Prozess, der alle Bereiche in einer Organisation betrifft. Die Analysten von Gartner gehen davon aus, dass bis zum Jahr 2024 die Daten von 75 Prozent der Weltbevölkerung in irgendeiner Form von entsprechenden Vorgaben tangiert sein werden.
Seit der Einführung des Europäischen Datenschutztages – Premiere war am 28. Januar 2007 – hat sich die dem Datenschutz zugrundeliegende Vorgabenlandschaft massiv verändert. Egal ob DSGVO, CCPA oder LGPD: Für Unternehmen weltweit gelten zunehmend strengere Anforderungen, die dem Einzelnen im Hinblick auf die Vertraulichkeit seiner persönlichen Informationen mehr Rechte garantieren.
Daher ist es wichtig, auch dieses Jahr den „Data Privacy Day“ zum Anlass zu nehmen, um das Bewusstsein für Privatsphäre und Datenschutz zu schärfen, die Bedeutung zu unterstreichen und bewährte Praktiken im Bereich IT-Sicherheit vorzustellen.
Datenschutztag: Worauf kommt es an?
Die Aufklärung der Anwender rund um das Thema Cybersicherheit ist ein wichtiges Glied in der Kette. Diese Mission stützen nicht zuletzt die zahlreichen entsprechend ausgerichteten Artikel in diesem Blog. So finden sich beispielsweise in unserem 2022 veröffentlichten Datenschutz-Gelöbnis viele entscheidende Hinweise, wie jeder einzelne zum Schutz der eigenen Daten beitragen kann. Die Liste der Best Practices wollen wir an dieser Stelle noch gezielt ergänzen. Mit folgenden Handlungsempfehlungen ist man grundsätzlich gut beraten:
- Klicken mit Bedacht: Achten Sie darauf, wohin Sie klicken, insbesondere bei Links oder Anhängen in SMS-Nachrichten oder E-Mails.
- VPN-Einsatz: Nutzen Sie VPN, um eine zusätzliche Sicherheitsebene zwischen Ihrem Gerät oder Computer und dem Internet zu schaffen.
- Software-Updates: Halten Sie Ihre Software stets auf dem neuesten Stand, um Sicherheitslücken vorzubeugen.
- DNS im Blick: Prüfen Sie beim Surfen im Internet die Domainnamen und achten Sie auf die Vertrauenswürdigkeit von Webseiten, um sicherzustellen, dass die Informationen, die Sie aus dem Internet erhalten, in jederlei Hinsicht verlässlich sind und keine bösen Überraschungen beinhalten.
- Cookie-Verfolgung: Löschen Sie Cookies aus wichtigen Webbrowsern. Diese sind ein potenzielles Risiko für die Privatsphäre, da sie eine Vielzahl von Informationen enthalten können, wie z.B. die persönliche Identifizierung, um das automatische Ausfüllen von Formularen in Browsern zu erleichtern. Wer hier auf der sicheren Seite sein möchte, sollte regelmäßig aktiv werden.
- Passwort-Manager: Verwenden Sie einen Passwort-Manager, um eindeutige Passwörter zu erstellen und den Schutz Ihrer digitalen Identität zu gewährleisten.
- Multifaktor-Authentifizierung: Aktivieren Sie die Multifaktor-Authentifizierung (MFA), um sicherzustellen, dass beim Datenzugriff mehrere Überprüfungsschritte Wirkung entfalten – für mehr Schutz.
Hausaufgaben für Unternehmen
Laut einer aktuellen Studie für den US-amerikanischen Markt haben viele Unternehmen nach wie vor Nachholbedarf, wenn es um Datenschutzbemühungen geht. So waren 92 Prozent der ins Visier der Analyse genommenen Organisationen bis zum 30. September 2022 immer noch nicht auf die Einhaltung des California Consumer Privacy Act (CCPA) und des California Privacy Rights Act (CPRA) vorbereitet, für die Datenschutzgrundverordnung (DSGVO bzw. GDPR – General Data Protection Regulation) traf diese Aussage in 91 Prozent der Fälle zu. Auch wenn eine Betrachtung hiesiger Unternehmen in dem Zusammenhang eventuell ein wenig positiver ausfällt: Von hundertprozentiger Unfehlbarkeit kann mit Gewissheit auch hierzulande keine Rede sein. Dabei sollten die mittlerweile in der Praxis verhängten Strafen doch vielen die Augen öffnen: So hatte ein Verstoß gegen den seit 2020 gültigen CCPA im dritten Quartal 2022 erstmals Konsequenzen für ein Unternehmen: Gegen den Einzelhändler Sephora wurde eine Geldstrafe in Höhe von 1,2 Millionen Dollar verhängt, weil er persönliche Daten von Verbrauchern ohne deren Zustimmung an Online-Tracking-Unternehmen verkauft hatte. Darüber hinaus wurde die Facebook-Muttergesellschaft Meta Anfang 2023 wegen Missachtung der der EU-Datenschutzgrundverordnung – sowohl auf Seiten von Facebook als auch Instagram – zu einer Gesamtstrafe von 390 Millionen Euro verurteilt. Letztlich kann ein solcher Richterspruch inklusive der damit einhergehenden finanziellen Verluste und Imageschäden jedes Unternehmen treffen, das beim Datenschutz lückenhaft arbeitet – egal ob bewusst oder unbewusst.
Dabei scheint es fast unmöglich, stets gegenüber allen bestehenden und neuen Datenschutzvorschriften gewappnet zu sein. Es gibt jedoch einige Empfehlungen, die maßgeblich zu mehr Compliance auf Unternehmensebene beitragen können:
- Zunächst sollte sich mit den jeweils geltenden Vorschriften intensiv auseinandergesetzt werden. Auf dieser Grundlage können Sicherheitsverantwortlichen entscheiden, welche Lösungen erforderlich sind, um die Vorgaben zu erfüllen.
- Eine gezielte Risikobewertung hilft dabei, Lücken in Bezug auf den Datenschutz zu ermitteln sowie zu priorisieren, Sicherheitsprozesse zu verstehen und den entsprechenden Optimierungsbedarf auszuloten – für eine nachhaltige Verbesserung.
- Darüber hinaus ist es wichtig, eine Roadmap mit den Schritten zu erstellen, die in jeder Phase entsprechend den in der Risikobewertung ermittelten Gefahrenpotenzialen zu unternehmen sind.
- Backups sind essenziell, denn sie schützen Unternehmen im Falle von Datenlecks, Datenverlusten, beschädigten Daten und anderen verlustbedingten Problemen vor vermeidbaren Unannehmlichkeiten.
- Durch regelmäßige und adäquate Schulung der Mitarbeiter in Sachen Datenschutz lässt sich sicherstellen, dass menschliche Fehler die Einhaltung der Vorschriften im Unternehmen nicht konterkarieren.
Gerne unterstützt WatchGuard im Zuge der Compliance-Umsetzung mit stichhaltigen Informationen und geeigneten Cybersicherheitslösungen, mit denen Unternehmen ihre Datenschutzbestrebungen effektiv vorantreiben können. Einen Überblick zu den wichtigsten gesetzlichen Vorgaben und damit einhergehenden IT-Sicherheitsanforderungen und Lösungsoptionen finden Sie auf unserer Webseite.
Viele nützliche Erkenntnisse liefert zudem unser englischsprachiges Webinar „Back to basics: All that you need to know about securing your business“.