Sicherheitsexperten bewerten die EU-DSGVO als ineffektiv
11. September 2019Eine Befragung von 300 Sicherheitsexperten durch One Identity hat ergeben, dass die überwiegende Mehrzahl von Unternehmen vertrauliche Daten wie E-Mails, Gehalts- und Vergütungsinformationen, geistiges Eigentum und Kundendaten in der Cloud speichern (76 %). Dennoch haben die Befragten Schwierigkeiten, wenn es darum geht eine Datenschutzverletzung zu erkennen, und zwei Drittel der Befragten räumen ein, dass es sie eine Stunde oder länger gekostet hat, einen kompromittierten Account als solchen zu erkennen. Wenn es ihnen denn überhaupt gelungen ist.
Als ein erschreckendes Ergebnis der Befragung ist zu nennen, dass es für über ein Viertel der befragten Organisationen (26 %) schwer ist, einen Angreifer innerhalb der Systeme als solchen zu erkennen. Ähnliches gilt für das Aufdecken von Insider-Attacken, das für 24 % der Befragten problematisch ist. Beide Aspekte werden von den Befragten als die größten Herausforderungen angesehen, wenn es darum geht Cyberangriffen wirksam zu begegnen.
Dazu Todd Peterson, IAM Evangelist bei One Identity: „Bei praktisch jeder schwerwiegenden Datenschutzverletzung spielen der Missbrauch und die Ausweitung von Privilegien/Rechten durch böswillige Akteure eine entscheidende Rolle. Deshalb war ich einigermaßen überrascht, dass so viele der Befragten auf solche Angriffe unzureichend vorbereitet zu sein scheinen. Und das, obwohl sie sehr wahrscheinlich wissen worin solche Angriffe begründet liegen.“
Gerade wenn man die Ergebnisse hinsichtlich der EU-Datenschutz-Grundverordnung (DSGVO/GDPR) betrachtet, kommen Bedenken auf. Die Verordnung ist inzwischen schon über ein Jahr alt und schreibt unter anderem vor, dass Datenschutzverletzungen innerhalb von 48 Stunden nach der Aufdeckung der verantwortlichen Behörde gemeldet werden müssen. Trotz dieser Vorgabe dauert es eher Monate bis eine Datenschutzverletzung aufgedeckt wird wie der jüngste „Data Breach Investigation Report“ von Verizon belegt.
DSGVO und ihre Kritikpunkte
Die Umfrage von One Identity zeigt zudem, dass die EU-DSGVO unter Sicherheitsexperten kontrovers diskutiert wird. Das spiegelt sich in den Ergebnissen der Befragung. Annähernd ein Drittel der Befragten (30 %) betrachten die DSGVO entweder als ineffektiv oder finden, dass sich Art und Umfang der Datenschutzverletzungen eher verschlimmert haben.
Die DSGVO oder GDPR war niemals dazu gedacht, vor Datenschutzverletzungen zu schützen. Das Gefühl, dass Datenschutzverletzungen in Art und Umfang zugenommen haben rührt wahrscheinlich daher, dass sie inzwischen den zuständigen Behörden gemeldet werden müssen. In der Vergangenheit sind sie vermutlich vielfach unbemerkt geblieben. Peterson weiter: „Was die DSGVO aber sehr wohl geleistet hat ist, die Aufmerksamkeit auf Daten und Privatsphäre zu richten. Zahlreiche Unternehmen machen sich Inzwischen Gedanken darüber wie wichtig es ist zu wissen, wer wann auf Datenbanken und sensible Informationen zugreifen kann und diese Zugriffe auch nachzuvollziehen. Die Ergebnisse unserer Studie zeigen, dass es in der Industrie noch viel Aufklärungsarbeit zu leisten gilt. Ganz besonders wenn es um die Gleichrangigkeit von Compliance im Sicherheitsumfeld geht.“ (rhh)