Security-Trends 2017 - Teil 4

So bereiten Sie sich optimal auf die DSGVO vor

07.12.2017 von Andreas Th. Fischer
Wie ist die erste Hälfte des Jahres aus IT-Security-Sicht verlaufen? Welche Trends zeichnen sich für die zweite Jahreshälfte ab? Branchenexperten erklären, welche Auswirkungen die kommende EU-Datenschutzgrundverordnung hat und wie Sie sich am besten darauf vorbereiten können.

Im ersten Teil unserer Serie Security Trends 2017 haben wir uns mit der Frage beschäftigt, wie das erste halbe Jahr aus Sicht der Security-Hersteller und -Anbieter verlaufen ist und mit welchen Trends sie für die zweite Jahreshälfte rechnen. Im zweiten Teil ging es um die Einschätzung dieser Punkte aus Sicht der Distributoren, IT-Dienstleister und Systemhäuser. Der dritte Teil ging auf die in diesem Jahr aufgekommene Kritik an Antivirenlösungen ein. Im vorliegenden vierten Teil geht es um die Einschätzung der Branchenexperten zur EU-Datenschutzgrundverordnung (DSGVO) und um ihre Empfehlungen, wie Unternehmen sich am besten darauf vorbereiten können.

Welche Maßnahmen empfehlen Branchenexperten, um sich und die Kunden auf die kommende DSGVO vorzubereiten?
Foto: MaximP - shutterstock.com

Chancen für den Handel

Angesprochen auf die nahende DSGVO sagt etwa Ralf Stadler von Tech Data, dass "wir derzeit beobachten, dass viele Unternehmen mit diesem Thema entweder überfordert sind oder es noch nicht angehen wollen". Ihn erinnere die aktuelle Situation an das Motto: "Mal sehen, was passiert." Tech Data empfiehlt jedoch, "sich frühzeitig mit der DSGVO auseinanderzusetzen, weil es sich hierbei nicht nur um eine Software-Installation handelt, sondern vielmehr viele organisatorische Aspekte und Prozesse im Unternehmen berücksichtigt werden müssen". Nach Ansicht von Stadler sollten die Änderung außerdem nicht nur aus Compliance-Sicht betrachtet werden, sondern auch unter dem Aspekt, dass "man durch die Umsetzung das Datenschutzniveau maßgeblich und nachhaltig erhöhen kann".

"Fachhandelspartner sollten sich auf die Bedürfnisse der KMUs einstellen und den Bereich Managed Services stärken." Thomas Gross, Channel Account Manager bei Clavister
Foto: Clavister

"Ein Viertel der Betriebe hat noch keine Maßnahmen getroffen und daher akuten Handlungsbedarf", betont Tim Berghoff von . "Wer seine Datenschutzbestimmungen noch nicht angepasst hat, sollte dies schnell tun." Thomas Gross von Clavister sieht in der DSGVO Chancen für den Channel, da sie Unternehmen verpflichte "nach außen und nach innen mit professionellen Lösungen für IT-Security, Datenschutz und Datensicherheit zu sorgen". Seiner Meinung nach werden deswegen Lösungen speziell für KMUs (Kleine und mittlere Unternehmen" an Bedeutung gewinnen. Fachhandelspartner sollten "sich auf die Bedürfnisse dieser Gruppe einstellen und den Bereich Managed Services stärken", empfiehlt Gross.

Neue Gefahren durch die DSGVO

Auf die hohen Strafen, wenn personenbezogene Daten nicht nach dem Stand der Technik gesichert werden, weist Sophos-Mann Michael Veit hin. Diese würden dazu führen, dass Angreifer ihre Strategien anpassen. "Künftige Malware wird Daten nicht mehr wie bei der aktuellen Ransomware lokal verschlüsseln, sondern stattdessen Daten stehlen", so Veit. Das versetze die Angreifer in die Lage, als Gegenleistung für die Nicht-Veröffentlichung der Daten hohe Erpressungssummen zu verlangen.

"Unternehmen sollten verstärkt auf Privacy by Design setzen und so Compliance und Security in die Organisationsstruktur und Unternehmenskultur implementieren." Candid Wüest, Principial Security Engineer bei Symantec
Foto: Symantec

Candid Wüest von Symantec sieht in der DSGVO aber auch Chancen, indem sie es Unternehmen ermögliche, sich von ihren Konkurrenten abzuheben und sich einen Wettbewerbsvorteil zu verschaffen. "Unternehmen sollten verstärkt auf Privacy by Design setzen und so Compliance und Security in die Organisationsstruktur und Unternehmenskultur implementieren." Sascha Plathen stimmt ihm zu: "Unternehmen sollten die Regelungen nicht als Compliance-Last auffassen, sondern als Chance wahrnehmen, um Prioritäten für Datenschutz und Sicherheit definieren zu können", so der Sales-Spezialist bei McAfee. So könnten sie das eigene Unternehmen sicherer gestalten und Datenlecks verhindern.

Die richtige Balance zwischen Privatsphäre und Datenschutz

Mathias Widler von Zscaler steht der DSGVO ebenfalls durchaus positiv gegenüber. Unternehmen profitieren seiner Ansicht nach von einer größeren Datenhygiene, die mit den geforderten Prozesse und Sicherheitsmaßnahmen einhergehe. Widler: "Die Rechtsgrundlage wird durch die DSGVO an das Internetzeitalter angepasst und somit die längst überfällige Balance zwischen Privatsphäre und Datenschutz wiederhergestellt." Unternehmen sollten strukturierte Notfallpläne erstellen, ihre Datenflüsse besser verstehen und sich jederzeit einen Überblick über die aktuelle Bedrohungslage verschaffen können.

"Die Rechtsgrundlage wird durch die DSGVO an das Internetzeitalter angepasst und somit die längst überfällige Balance zwischen Privatsphäre und Datenschutz wiederhergestellt." Mathias Widler, Regional Director Central & Eastern Europe bei Zscaler
Foto: Zscaler

Laurence Pitt von Juniper Networks ist überzeugt, dass der Einfluss der DSGVO enorm sein wird beziehungsweise schon ist, da die EU einer der größten Wirtschaftsräume ist. Er empfiehlt Unternehmen, die Position eines Data Protection Officers (DPO) zu schaffen. "Diese Rolle ist nicht nur notwendig, um alle Richtlinien umzusetzen, sondern um den Einfluss auf das Unternehmen zu verstehen", so Pitt. Auch Thorsten Kurpjuhn, Market Development Manager und Regional Product Manager bei Zyxel, ist der Meinung, dass ein DPO als Ansprechpartner mit Expertise vorhanden sein sollte. Kurpjuhn: "Das ist alles nicht von heute auf morgen zu organisieren."

Lesetipp: Bitkom mahnt zu mehr Tempo bei Umsetzung der EU-Datenschutzverordnung

Wettbewerbsvorteile für die deutsche Wirtschaft

"Die Auswirkungen sind enorm, die Herausforderungen ebenso", ergänzt Ralf Nemeyer, Principal Consultant Secure Information bei . "Um die Anforderungen der DSGVO erfüllen zu können, müssen rechtliche Vorgaben in IT übersetzt werden - und das können die wenigsten Unternehmen auf Anhieb", gibt er zu bedenken. Nur wenn die Anforderungen an die IT klar definiert seien, können die richtigen Maßnahmen entwickelt und umgesetzt werden. Immerhin sei Datenschutz in Deutschland bereits jetzt ein wichtiges Thema, ergänzt Jürgen Jakob von . Die EU-weite Harmonisierung führe dazu, dass alle Unternehmen einen gewissen Mindeststandard umsetzen müssen. Jakobs Fazit: "Die deutsche Wirtschaft wird dadurch wettbewerbsfähiger."

"Die Auswirkungen sind enorm, die Herausforderungen ebenso." Ralf Nemeyer, Principal Consultant Secure Information bei Computacenter
Foto: Computacenter

Auch Christian Bücker von Macmon Secure aus Berlin ist der Meinung, dass "Deutschland in vielen Punkten der Sicherheit bereits weit vorne ist". Aber das sei nichts, worauf man sich ausruhen könne. Die DSGVO unterstreiche die Wichtigkeit von intelligenten Sicherheitslösungen. Bücker: "Unternehmen sollten vor allem mit ihren Systemhaus- beziehungsweise Security-Partnern über ganzheitliche Strategien sprechen, anstatt sich auf einzelne Hersteller zu verlassen." Die Neutralität und der Gesamtüberblick sei bei Fachhändlern erheblich besser als bei Herstellern "mit einem Fokus auf die eigene Lösung".

Sicherheit und Datenschutz basieren nicht nur auf Produkten

Vermehrt auf den steigenden Wert von Daten zu achten, ist der Rat von Richard Werner von Trend Micro. Unternehmen sollten "die eigene, oft angestaubte Sicherheitsrichtlinie aus dem Tresor holen und zusammen mit einem Partner auf Relevanz testen". Der Gesetzgeber verlange Schutz "nach dem Stand der Technik". Dies sei kein Produkt, sondern ein "Konzept, welches auf ein Unternehmen angepasst und kontinuierlich weiter entwickelt werden muss". Helge Scherff von Nuvias bringt es auf den Punkt und empfiehlt: "Informieren, informieren, informieren!" Die Änderungen hätten Auswirkungen auf den Endkunden, auf Service- und Hosting-Provider und auf jegliche Anbieter von Cloud-Services.

"Informieren, informieren, informieren!" Helge Scherff, Regional Vice President Central bei Nuvias
Foto: Nuvias

Malte Pollmann von Utimaco IS gibt dabei zu bedenken, dass die Überprüfung der DSGVO "unmittelbar und direkt bei den Unternehmen stattfinden wird". Pollmanns Rat: "Sie sollten also bereits jetzt dafür sorgen, dass neben den wichtigen Unternehmensdaten auch alle im Unternehmen verarbeiteten oder gespeicherten Daten von Kunden, Mitarbeitern und Endverbrauchern streng nach Datenschutzvorgaben gesichert und verschlüsselt sind." Unternehmen sollten dabei nicht nur das eigene System durchforsten, empfiehlt Daniel Wolf von Skyhigh Networks. Sie sollten auch an Schatten-IT, Outsourcer, Cloud-Dienste und private Geräte von Mitarbeitern, die beruflich genutzt werden, denken. Wolf: "Anstatt bereitwillig den Forderungen bei Ransomware-Angriffen nachzukommen, sollten Unternehmen jetzt besser in Prozesse und Technologien investieren, um ihre Daten abzusichern."

Abmahnrisiko durch Webseiten

Auch die Webseiten sollten darauf überprüft werden, ob sie in Zukunft noch rechtskonform sind, betont Martin Twickler von Exclusive Networks. "Hier droht ein Abmahnrisiko", so Twickler. Außerdem sollten Subunternehmer nicht vergessen werden, vor allem wenn globale Projekte umgesetzt werden. Sein Tipp: "Jedes Unternehmen braucht heute zwingend einen Kompetenzträger als Datenschutzbeauftragten." Auch bei kleinen Firmen reiche es nicht mehr aus, wenn irgendjemand den Job alibimäßig "so nebenher" erledige. Die Person müsse bevollmächtigt sein, der Sicherheit als Kernthema des Geschäfts, einen größeren Teil ihrer Arbeitszeit zu widmen.

"Es gibt niemanden, den die DSGVO nicht betrifft." Thomas Uhlemann, Security Specialist bei Eset
Foto: Eset

Als beste Vorbereitung auf die DSGVO bezeichnet Thomas Uhlemann von Eset sich "spätestens jetzt zu informieren, damit die Umsetzung über den Jahreswechsel geplant werden kann". Sonst könne es teuer werden, denn "es gibt niemanden, den die DSGVO nicht betrifft", so Uhlemann. Holger Suhl von Kaspersky Lab ergänzt diesen Rat mit einem Hinweis auf die Mitarbeiter, die täglich mit personenbezogenen Daten umgehen. "Oft kennen sie die Auswirkungen der neuen EU-Verordnung auf ihre Arbeitsprozesse noch nicht", erklärt Suhl und fügt hinzu: "Die Zeit drängt."

Lesetipp: Das ist der neue EU-Datenschutz