Wie kann Europa es besser machen? DSGVO und Datenschutz Best Practice

20th Mai 2021

Tim Bandos, CISO bei Digitaler Wächter teilt seine Tipps zur Aufrechterhaltung der Best Practices für DSGVO und Datenschutz und wie Unternehmen aus den Fehlern anderer Unternehmen lernen können.

Die Aufsichtsbehörden haben seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union im Mai 245 Bußgelder in Höhe von 272.5 Mio. £ (332 € / 2018 Mio. $) verhängt berichten Von der globalen Anwaltskanzlei DLA Piper wurden seit Inkrafttreten der Verordnung insgesamt 281,000 Meldungen über Datenschutzverletzungen aufgrund der DSGVO herausgegeben, wobei Deutschland (77,747), die Niederlande (66,527) und das Vereinigte Königreich (30,536) die Tabelle für die Anzahl anführen Verstöße, die den Aufsichtsbehörden gemeldet werden. Insgesamt verzeichnet der Bericht im zweiten Jahr in Folge ein besorgniserregendes zweistelliges Wachstum bei den Meldungen von Sicherheitsverletzungen – ein Plus von 19 % im Jahr 2020.

Die britische Aufsichtsbehörde nimmt die Durchsetzung ernst


Viele der größeren DSGVO-Bußgelder in letzter Zeit stammen von Unternehmen, die nicht über die entsprechenden Sicherheitsmaßnahmen verfügen. Bei der Bewertung der Leistung der europäischen Regulierungsbehörden in Bezug auf Durchsetzungsmaßnahmen hat das britische Information Commissioner's Office (ICO) eine standhafte Haltung hinsichtlich seiner Bereitschaft eingenommen, seine Befugnisse bei Verstößen gegen die DSGVO einzusetzen.

Zwei der bekanntesten Fälle sind die Absichtserklärung von ICO, British Airways mit einer Geldbuße zu belegen (BA) 183.39 Mio. £ für Verstöße gegen das Datenschutzgesetz. Angesichts der globalen Pandemie wurde die Strafe, die das ICO schließlich gegen BA verhängte, weil es die persönlichen und finanziellen Daten von mehr als 400,000 seiner Kunden nicht geschützt hatte, auf 20 Mio Oktober 2020. In ähnlicher Weise wurde auch die Absicht des ICO, Marriott Hotels mit einer Geldstrafe von mehr als 99 Mio 18.4 Mio. £.

Scaleup Spotlight: Circuit perfektioniert das Liefererlebnis auf der letzten Meile
Trending
Scaleup Spotlight: Circuit perfektioniert das Liefererlebnis auf der letzten Meile

Was schief gelaufen ist – von anderen lernen


Der DLA Piper-Bericht hebt hervor, wie das Unterlassen einer Reihe wichtiger Maßnahmen Unternehmen möglicherweise dem Risiko aussetzt, gegen Artikel 32 und den damit verbundenen Artikel 5 Absatz 1 Buchstabe f der DSGVO zu verstoßen. Diese schließen ein:

  • Keine Überwachung privilegierter Benutzerkonten
  • Keine Überwachung des Zugriffs auf und der Nutzung von Datenbanken, in denen personenbezogene Daten gespeichert sind
  • Keine Serverhärtungstechniken implementieren, um den Zugriff auf Administratorkonten zu verhindern
  • Keine Verschlüsselung personenbezogener Daten, insbesondere sensiblerer personenbezogener Daten
  • Passwörter nicht in unverschlüsselten Klartextdateien speichern (bekannt als Hardcoding)
  • Versäumnis, die Multi-Faktor-Authentifizierung zu verwenden, um unbefugten Zugriff auf mit dem Internet verbundene Anwendungen zu verhindern
  • Fehlgeschlagene Zugriffsversuche werden nicht protokolliert
  • Keine strengen Zugriffskontrollen für Anwendungen auf Bedarfsbasis, mit sofortiger Entfernung des Zugriffs, wenn er nicht mehr benötigt wird
  • Keine regelmäßigen Penetrationstests durchführen
  • Zahlungen werden nicht PCI-DSS-konform verwaltet.

Als die Systeme von British Airways kompromittiert wurden, gelangten Hacker an Anmeldedaten, Zahlungskarteninformationen und persönlich sensible Daten wie Passagiernamen und -adressen. Laut ICO war dieser Angriff vermeidbar, aber British Airways verfügte nicht über ausreichende Sicherheitsmaßnahmen, um seine Systeme zu schützen. Zum Zeitpunkt des Verstoßes waren beispielsweise nicht einmal die Grundlagen wie die Multi-Faktor-Authentifizierung implementiert.

Im Fall von Marriott Hotels stammte der Hack ursprünglich aus dem Reservierungssystem der Starwood Group, das Marriott 2016 erworben hatte. Es dauerte jedoch zwei Jahre, bis der Hack von Marriott entdeckt wurde, nachdem eine zufällige Bewertung einer ungewöhnlichen Datenbankabfrage eines Administrators dessen Konto vorgenommen hatte von einem externen Angreifer übernommen worden war.

Das ICO stellte fest, dass Marriott nicht nur nach der Übernahme von Starwood keine angemessene Due-Diligence-Prüfung durchgeführt hat, sondern auch mehr hätte tun sollen, um seine Systeme mit einer stärkeren Data Loss Prevention (DLP)-Strategie zu schützen. Beunruhigenderweise wurde ein Fehler bei der Schlüsselsicherheit seitens Marriott aufgedeckt, als klar wurde, dass die Kreditkartennummern der Kunden zwar in verschlüsselter Form gespeichert wurden, die Verschlüsselungsschlüssel jedoch auf demselben Server gespeichert waren. Ebenso wurden die meisten Gastpassnummern vor der Speicherung nie verschlüsselt.

Remote Working eröffnet neue Angriffspunkte


Die globale Pandemie hat viele Unternehmen gezwungen, auf Work-from-Home-Modelle umzusteigen, die die Notwendigkeit verstärkt haben, vertrauliche Daten während ihres gesamten Lebenszyklus in einem erweiterten Unternehmen zu schützen, das jetzt über mehrere Netzwerke, Endpunkte und Clouds verfügt.

Das Einleiten von Maßnahmen wie BYOD-Richtlinien, die Überwachung der Datennutzung und -übertragung sowie die Einführung von Multi-Faktor-Authentifizierung und E-Mail- und Speicherverschlüsselung ist nur der Anfang. Die Installation von Endpoint-Agenten, die Datenschutz und Malware-Schutz leisten können, bietet auch eine größere Gewissheit, dass Endpoints angemessen gesichert sind.

Zu dieser wachsenden Besorgnis kommt hinzu, dass die Handlungen von Remote-Mitarbeitern auch ein wachsendes Risiko darstellen. Nach Angaben des Branchenanalyseunternehmens Forrester, wird die Verletzung von Insiderdaten im Jahr 8 voraussichtlich um 2021 % zunehmen, wobei ein Drittel aller Verletzungen intern verursacht wird. Diese signifikante Zunahme von Insider-Vorfällen wird durch die Angst der Mitarbeiter vor Arbeitsplatzverlust ausgelöst, gepaart mit der relativen Leichtigkeit, mit der Daten verschoben werden können (über die Cloud, Network-Attached Storage, E-Mail oder USB).

Um sich selbst zu schützen, müssen Unternehmen eine robuste Operations Security (OPSEC)-Strategie verfolgen, die es ihnen ermöglicht, tief in ihre Abläufe einzutauchen und zu identifizieren, wo Informationen am leichtesten verletzt werden können, um die geeigneten Gegenmaßnahmen zum Schutz sensibler Daten zu implementieren.

Wie geht es nach dem Brexit mit der DSGVO weiter?


Es wurde viel darüber diskutiert, was passieren wird, wenn die Brexit-Übergangszeit endet. Dem ICO ist klar, dass der Data Protection Act 2018 (DPA 2018) weiterhin gelten wird und dass die DSGVO als UK GDPR in das britische Datenschutzrecht aufgenommen wurde. In der Praxis wird sich also in Zukunft kaum etwas an den zentralen Datenschutzprinzipien, Rechten und Pflichten der britischen DSGVO ändern.

Für Organisationen, die in Europa tätig sind, gilt weiterhin die EU-DSGVO. In ähnlicher Weise gilt die EU-DSGVO für alle europäischen Organisationen, die Daten an britische Unternehmen senden. In den letzten Wochen, Die Europäische Kommission hat einen Entscheidungsentwurf bestätigt, um weiterhin den Datenfluss aus der EU in das Vereinigte Königreich zuzulassen, und plant, diese Regelungen alle vier Jahre neu zu bewerten, um zu überprüfen, ob die britischen Vorschriften die Privatsphäre der EU-Bürger nicht beeinträchtigen.

WEITERLESEN: 

Blick in die Zukunft

Da hybrides Arbeiten und kollaborativere Arbeitsmodelle zu einem langfristigen und dauerhaften Bestandteil der Personalstrategie werden, bedeuten die Folgen einer schlechten Cybersicherheitshygiene, dass sich viel mehr Unternehmen ohne angemessene Data Loss Prevention (DLP) und verwaltete Erkennung einem Risiko aussetzen Reaktionsstrategie (MDR) vorhanden.

Da sich das Vereinigte Königreich verpflichtet hat, die Gleichwertigkeit mit der EU-DSGVO aufrechtzuerhalten, müssen Unternehmen weiterhin sicherstellen, dass alle Datenverarbeitungsaktivitäten sicher bleiben, und Best Practices für den Datenschutz anwenden. Sie müssen auch das wachsende Risiko von Insider-Bedrohungen angehen und ihre Richtlinien in Bezug auf den privilegierten Benutzerzugriff auf Ressourcen wie Kundendatenbanken bewerten.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter

Wir glauben, dass Ihnen Folgendes gefallen wird:

Tim Bandos

Tim Bandos, CISSP, CISA, CEH ist Vice President of Cybersecurity bei Digital Guardian und Experte für Vorfallreaktion und Bedrohungssuche. Er verfügt über mehr als 15 Jahre Erfahrung in der Welt der Cybersicherheit und verfügt über eine Fülle praktischer Kenntnisse, die er durch die Verfolgung und Jagd fortschrittlicher Bedrohungen erworben hat, die auf den Diebstahl hochsensibler Daten abzielen. Den größten Teil seiner Karriere verbrachte er bei einem Fortune-100-Unternehmen, wo er eine Incident Response-Organisation aufbaute und jetzt das globale Security Operation Center für Managed Detection & Response von Digital Guardian leitet.

Die Lebenshaltungskostenkrise.

TBT-Newsroom • 29. Juni 2022

Was Kommunikationsdienstleister tun können, um ihren Kunden bei der Bewältigung der Lebenshaltungskostenkrise zu helfen. Wir sind alle mit den reißerischen Marketing-Slogans unserer britischen Kommunikationsdienstleister vertraut – „Gemeinsam können wir“, „Die Zukunft ist hell“, „Es dreht sich alles um Sie“ … aber leider scheinen diese für die nicht mehr zu stimmen Millionen Verbraucher...