2018 war ein wegweisendes Jahr für die Einhaltung von Vorschriften. Der Datenschutz stand im Mittelpunkt, und die Unternehmen mussten ihre gesamten Datenverarbeitungsprozesse neu bewerten, um der kürzlich eingeführten Datenschutz-Grundverordnung zu entsprechen.
Es besteht kein Zweifel, dass diese Gesetzgebung der Katalysator für Veränderungen war, aber die besorgniserregende Zunahme von Cyberangriffen hat auch deutlich gemacht, wie wichtig der Schutz wertvoller Kundendaten ist.
Da die Angriffe immer ausgeklügelter werden, müssen die Unternehmen bei der Cybersicherheit proaktiver vorgehen, um sicherzustellen, dass sie für diese sich entwickelnden Bedrohungen gerüstet sind.
Das bedeutet, dass sie die Daten, über die sie verfügen, aggressiv verteidigen und alle notwendigen Schritte unternehmen müssen, um sicherzustellen, dass sie nicht das nächste Unternehmen sind, dessen Datenpanne auf den Titelseiten der Nachrichten auftaucht.
Trotz dieses Engagements für eine verbesserte Datensicherheit gibt es eine Reihe von Problemen, auf die Organisationen im kommenden Jahr stoßen könnten und die ihre laufende Einhaltung der Vorschriften gefährden.
Die fünf wichtigsten IT-Vorschriften und Compliance-Probleme, mit denen Unternehmen 2019 konfrontiert sein werden
GDPR
Die vielbeachtete Datenschutz-Grundverordnung (GDPR) trat am25. Mai in Kraft und legt neue Grundlagen dafür, wie Organisationen künftig Daten verarbeiten und handhaben. Die Gesetzgebung hat die Datenschutzbestimmungen modernisiert und gibt dem Einzelnen nun mehr Kontrolle darüber, wer seine Daten sammelt und verarbeitet, wofür sie verwendet werden und wie sie geschützt werden.
Organisationen müssen nachweisen können, dass sie die Rechtsvorschriften einhalten, andernfalls drohen saftige Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro. Die Geldbußen hängen auch von der Schwere des Verstoßes ab und davon, ob die Unternehmen Maßnahmen ergriffen haben, um die Einhaltung der Vorschriften nachzuweisen.
Der25. Mai war jedoch keineswegs ein Endpunkt für die DSGVO. Der Nachweis der Einhaltung der DSGVO ist ein fortlaufender Prozess, und die Unternehmen müssen kontinuierlich Datenschutz- und Sicherheitsrisiken ermitteln und angehen, um sicherzustellen, dass sie nicht gegen die Rechtsvorschriften verstoßen.
Datenschutzverordnung für elektronische Kommunikation
Die Unternehmen haben die letzten sechs Monate damit verbracht, sich mit der Datenschutz-Grundverordnung (DSGVO) vertraut zu machen, und müssen sich jetzt schon auf eine neue EU-Verordnung einstellen, die die gleiche Einhaltung des EU-Rechts erfordert.
Die ePrivacy-Verordnung wird voraussichtlich innerhalb der nächsten 6-12 Monate umgesetzt werden. Sie wird sich mit den Fortschritten der Technologie befassen und sich speziell auf den Schutz der Privatsphäre des Einzelnen im Zusammenhang mit der elektronischen Kommunikation konzentrieren. Dazu gehören Daten über Websites, SMS, E-Mail, soziale Netzwerke, Blogs, Apps, VoIP, Video, Social Media Messaging und IoT-Geräte.
Obwohl es einige Überschneidungen zwischen der Datenschutz-Grundverordnung und der e-Privacy-Verordnung gibt, besteht der Hauptunterschied darin, dass die Datenschutz-Grundverordnung den Umgang mit personenbezogenen Daten in allen Formen abdeckt, während die e-Privacy-Verordnung die elektronische Kommunikation betrifft. Organisationen müssen nachweisen, dass sie die Rechtsvorschriften vollständig einhalten, oder sie müssen mit denselben hohen Geldstrafen rechnen, die im Rahmen der DSGVO verhängt werden.
Die Datenschutzverordnung für elektronische Kommunikation gilt für jeden und jedes Land, das elektronische Kommunikationsdienste in der EU anbietet, aber es wird erwartet, dass sie sich auf einige Branchen stärker auswirken wird als auf andere. Branchen wie Marketing, Werbung und Medien werden nicht mehr in der Lage sein, Kunden ohne deren vorherige Zustimmung Werbematerial zuzusenden.
Drittanbieter von Dienstleistungen
Cybersicherheit und die Einhaltung von Vorschriften sind inzwischen zu den Hauptprioritäten von Unternehmen geworden, doch ein Bereich, der oft übersehen wird, ist der der Drittanbieter. In den letzten Jahren ist es für Unternehmen zur Norm geworden, eine Vielzahl von Drittanbietern zur Unterstützung von Kerngeschäftsfunktionen zu nutzen, und oft haben viele dieser Parteien Zugang zu den internen Systemen und Daten eines Unternehmens. Diese Vernetzung stellt ein großes Risiko für die Sicherheit und die Einhaltung der Vorschriften eines Unternehmens dar.
Unternehmen verfügen zwar über eiserne Sicherheits- und Verteidigungssysteme, aber Hacker wissen nur zu gut, dass es am einfachsten ist, diese Schutzvorkehrungen zu umgehen, indem sie Schwachstellen in Systemen von Drittanbietern ausnutzen. In der Regel verfügen diese Anbieter nicht über die gleichen robusten Cybersicherheitsmaßnahmen und bieten eine leichte Angriffsfläche.
Eine kürzlich von Soha Systems durchgeführte Umfrage ergab, dass 63 Prozent aller Cyberangriffe entweder direkt oder indirekt auf Dritte zurückgeführt werden können.
Künftig müssen Unternehmen ihre Cybersicherheit aus mehreren Blickwinkeln bewerten und sicherstellen, dass ihre externen Anbieter die entsprechenden Richtlinien und Systeme einhalten. Im Rahmen der Datenschutz-Grundverordnung sind Unternehmen nun gesetzlich verpflichtet, den Aufsichtsbehörden zu versichern, dass ihre externen Dienstleister die neuen Vorschriften einhalten, indem sie über gute Kontrollen für Cybersicherheit und Datenschutz verfügen.
Mitarbeiter
Mitarbeiter mögen Ihr größtes Kapital sein, aber sie sind auch Ihr schwächstes Glied. Cyberkriminelle haben es oft auf die Mitarbeiter eines Unternehmens abgesehen, da sie die einfachste Möglichkeit bieten, in ein System einzudringen.
88 % aller Datenschutzverletzungen lassen sich auf menschliches Versagen zurückführen. Daher ist es wichtig, dass Unternehmen in hochwertige Schulungen zum Thema Cybersicherheit investieren, die den Mitarbeitern die wichtige Rolle bewusst machen, die sie beim Schutz sensibler Unternehmensdaten spielen.
In der Schulung werden die Mitarbeiter nicht nur über die verschiedenen Bedrohungen aufgeklärt, denen sie intern ausgesetzt sind, sondern auch über die Cybersicherheitsrisiken, die bei der Arbeit aus der Ferne bestehen. Fernarbeit kann ein ernsthaftes Sicherheitsrisiko darstellen, das das IT-Netz, die Systeme und Geräte eines Unternehmens sehr anfällig für Angriffe machen kann. Die auf mobilen Geräten gespeicherten Informationen sind für Cyber-Kriminelle äußerst wertvoll, und sie werden jede Sicherheitslücke ausnutzen, um diese sensiblen Daten zu stehlen.
Wirksame Schulungen zum Thema Cybersicherheit schulen die Mitarbeiter, verringern die Wahrscheinlichkeit von Datenschutzverletzungen und tragen zum Aufbau einer Kultur der verstärkten Einhaltung von Sicherheitsvorschriften bei.
Software-Verwaltung
Damit Unternehmen die Vorschriften einhalten können, müssen sie jeden Zugangspunkt verteidigen, um sicherzustellen, dass Hacker nicht in ihre Systeme eindringen können. Eine der Hauptursachen für Cyberangriffe sind nicht gepatchte Systeme. Ständig werden neue Schwachstellen entdeckt, und wenn keine Patches angewendet werden, werden Hacker diese Schwachstellen ausnutzen, um in ein Netzwerk einzudringen.
Durch das Patchen wird sichergestellt, dass jede in einem Unternehmen verwendete Software auf dem neuesten Stand der vom Hersteller freigegebenen Versionen ist. Unternehmen müssen beim Patching proaktiv vorgehen, um sicherzustellen, dass sie in der Lage sind, Schwachstellen zu erkennen, bevor ein Hacker sie entdeckt.
MetaPrivacy wurde entwickelt, um einen Best-Practice-Ansatz für die Einhaltung des Datenschutzes zu bieten. Wenden Sie sich an uns, wenn Sie weitere Informationen darüber wünschen, wie wir Ihre Organisation bei der Verbesserung ihrer Compliance-Struktur unterstützen können.
