EU-Datenschutz-Grundverordnung: Viele Unternehmen unvorbereitet

Nach einer Erhebung des Sicherheitsanbieters CyberArk   kennt nahezu die Hälfte der europäischen Kunden des Sicherheitssoftware-Anbieters die konkreten Auswirkungen der EU-Datenschutz-Grundverordnung nicht. Viele Unternehmen tun sich schon schwer mit der exakten Definition des elementaren Begriffs "personenbezogene Daten".

Die Datenschutz-Grundverordnung bringt zahlreiche Neuerungen mit sich, die auf den Schutz personenbezogener Daten abzielen. Darunter versteht die Verordnung "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (...) beziehen".

Gefordert wird explizit, dass geeignete technische und organisatorische Maßnahmen getroffen werden, die eine Umsetzung der Datenschutzgrundsätze sicherstellen. Bei Sicherheitsvorfällen, die auf eine Nichtbeachtung der Vorgaben zurückzuführen sind, drohen hohe Strafen (bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Gesamtumsatzes).

Eine generelle Analyse der aktuellen Bedrohungslandschaft und eine IT-Bestandsaufnahme zeigen Unternehmen in der Regel schnell auf, in welchen Bereichen sofortige Maßnahmen zu ergreifen sind. Zwei Aspekte sind dabei von entscheidender Bedeutung.

• Erstens erlauben immer mehr Unternehmen externen Dienstleistern oder im aufkommenden Internet der Dinge auch externen Maschinen einen Remote-Zugriff auf das interne Netzwerk. Dieser Punkt ist vor allem deshalb relevant, weil nach Schätzungen 40 bis 60 Prozent der Cyber-Sicherheitsvorfälle auf Schwachstellen zurückzuführen sind, für die Dritte verantwortlich sind.
  
  
• Zweitens muss vor allem immer die Sicherung der privilegierten Accounts im Blickfeld bleiben, über die ein Zugriff auf alle unternehmenskritischen Systeme, Applikationen und Daten erfolgen kann. Bei nahezu 100 Prozent aller aktuellen Attacken spielt schließlich die missbräuchliche Nutzung von privilegierten Accounts die entscheidende Rolle.