DSGVO: Vorgabe „Stand der Technik“ verwirrt IT-Entscheider
6. November 2017Viele Unternehmen achten stärker auf die Kosten einer Sicherheitslösung als auf Compliance mit der DSGVO. Dieses Teilergebnis liefert die repräsentative Studie zur DSGVO von Trend Micro. Sie zeigt zudem, dass IT-Entscheider in Deutschland die Formulierung „Stand der Technik“ im Hinblick auf Sicherheitsmaßnahmen sehr unterschiedlich interpretieren:
• 26 Prozent der Unternehmen verstehen darunter Lösungen von etablierten Marktführern, 16 Prozent vertrauen auf die Bewertung unabhängiger Testinstitute.
• 18 Prozent der Befragten orientieren sich an Reports von Analysten, 20 Prozent setzen auf Start-Ups mit innovativen Technologien.
• 19 Prozent der IT-Entscheider achten hingegen mehr auf den Preis ihrer IT-Sicherheitslösungen als darauf, ob sie die Anforderungen der DSGVO erfüllen. Zwei Prozent können die Frage gar nicht beantworten.
„Unternehmen müssen zahlreiche Hindernisse überwinden, um die Anforderungen der DSGVO zu erfüllen. Eine davon ist, sich darüber klar zu werden, was ‚Stand der Technik‘ eigentlich bedeutet“, sagt Richard Werner, Business Consultant bei Trend Micro. „Hierbei können beispielsweise Empfehlungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der European Union Agency for Network and Information Security (ENISA) hilfreich sein. Wichtig ist vor allem, dass Unternehmen eine Strategie entwickeln, wie der ‚Stand der Technik‘ erreicht und stetig gehalten werden kann. IT-Sicherheit ist keine Aufgabe, die einfach abgeschlossen werden kann, sondern ein Prozess, der auch über den 25. Mai 2018 hinaus betrieben werden muss. Deshalb sollten wichtige Kernpunkte wie das Management der Sicherheitsarchitektur und mögliche Erweiterungen um zukünftige Technologien in die Überlegungen einfließen.“
Eine weitere Hürde stellen die Fristen dar, innerhalb derer Unternehmen im Falle eines Datenverlusts die zuständigen Datenschutzbehörden und ihre Kunden informieren müssen.
• Nur 64 Prozent der befragten Unternehmen in Deutschland haben aktuell einen Benachrichtigungsprozess für ihre Kunden definiert. In anderen Ländern ist die Lage oftmals sogar noch komplizierter. Beispielsweise ist es in den USA vom jeweiligen Bundesstaat abhängig, ob die Kunden informiert werden müssen. Auch US-amerikanische Unternehmen müssen jedoch zukünftig die Vorgaben der DSGVO erfüllen, wenn sie Daten von EU-Bürgern sammeln oder verarbeiten.
• 27 Prozent der Befragten haben einen Prozess eingerichtet, bei dem zwar die Datenschutzbehörden, nicht aber die Kunden, informiert werden. Dies stellt einen Verstoß gegen die DSGVO dar.
• Viele Unternehmen sind zudem aktuell noch nicht darauf vorbereitet, das „Recht auf Vergessenwerden“ ihrer Kunden zu erfüllen. Dabei erhalten 76 Prozent bereits verstärkte Forderungen nach mehr Transparenz seitens der Kunden.
• 81 Prozent der Unternehmen erfassen bereits, welche Daten sie sammeln. Darüber, welche Daten ihre Partner erheben, können hingegen nur 72 Prozent Auskunft geben.
• Zudem können nur 75 Prozent sagen, welche Daten ihre Cloud Service Provider besitzen und nur 65 Prozent beantworten, welche Daten Dienstleister wie Agenturen sammeln.
Durch die Forderung nach Sicherheitslösungen entsprechend dem „Stand der Technik“ kann die DSGVO trotz stetigen technologischen Fortschritts immer aktuell bleiben. Die Tatsache, dass der Gesetzgeber keine spezifischen Technologien vorschreibt, sorgt aber auch für Verwirrung und Schwierigkeiten bei der Priorisierung.
• Aktuell werden besonders Technologien zur Erkennung von Eindringlingen eingerichtet. 39 Prozent der Befragten implementieren diese.
• Data Loss Prevention (DLP) wird von 37 Prozent der Unternehmen eingesetzt, während 41 Prozent damit begonnen haben, ihre Daten zu verschlüsseln.
• 26 Prozent der Unternehmen verschlüsseln ihre Passwörter, 36 Prozent können per Hardware-Lockdown infizierte USB-Sticks unschädlich machen.
Trotz dieser Beschaffungsmaßnahmen zeigt die Trend-Micro-Studie, dass die Mehrheit der Unternehmen noch nicht alle notwendigen Schritte unternommen hat, um dem „Stand der Technik“ zu entsprechen. Dies legt den Verdacht nahe, dass diese Unternehmen entweder auf veraltete oder einschichtige Sicherheitslösungen setzen und noch keinen mehrschichtigen Schutz besitzen. Ein solcher ist jedoch nötig, um alle Ebenen der IT-Umgebung wirksam abzusichern.
In Zusammenarbeit mit Opinium hat Trend Micro diese Umfrage zwischen dem 22. Mai und dem 28. Juni 2017 durchgeführt. Die vorliegenden Ergebnisse wurden mittels 1.132 Online-Umfragen unter IT-Entscheidern erhoben, die für Unternehmen mit 500 und mehr Mitarbeitern tätig sind. (rhh)