Der Oktober steht seit 2012 ganz im Zeichen der Cybersicherheit. Um Verbraucher, Institutionen und Unternehmen für das Thema zu sensibilisieren, hat die „European Union Agency for Network and Information Security“ (ENISA) die Kampagne damals ins Leben gerufen. Mittlerweile beteiligen sich in Deutschland 100 Partner am ECSM, unter anderem auch das BSI.
Seit der Einführung des Projekts wurde nicht nur die Cyber-Bedrohungslandschaft von Jahr zu Jahr komplexer, auch die Richtlinien für Datenschutz haben sich besonders im Rahmen der im Mai 2018 eingeführten EU Datenschutz-Grundverordnung (DSGVO) verschärft. Ein tiefes Bewusstsein für Cybersicherheit und Datenschutz ist für Unternehmen heute also wichtiger denn je. Anlässlich des diesjährigen Europäischen Cybersicherheits-Monats lohnt es sich also besonders wieder den Blick auf eine der prägendsten IT-Regulierungen der letzten Jahre zu werfen: die DSGVO.
Laut einer Studie von Bitkom konnten selbst nach einem Jahr des Inkrafttretens der DSGVO lediglich 25 Prozent der deutschen Unternehmen DSGVO-Konformität vorweisen. Aktuelle Zahlen des GDPR Enforcement Tracker zeigen außerdem auf, dass auch weiterhin etliche Strafzahlungen anfallen und Compliance und Datensicherheit immer noch eine große Herausforderung für Unternehmen darstellen. So mussten Großkonzerne, wie beispielsweise H&M, dieses Jahr in Deutschland aufgrund von Datenschutzverletzungen hohe Summen an Strafzahlungen aufbringen. Gleichzeitig scheinen sich besonders Mittelständler und kleinerer Unternehmen in falscher Sicherheit zu wähnen, diese vertrauen häufig auf die Wahrnehmung, dass Strafgebühren nur Großunternehmen treffen. Aber auch kleine und mittlere Organisationen drohen bei einem DSGVO-Verstoß hohe Bußgelder.
Was also können – sowohl große als auch kleine – Organisationen jetzt unternehmen, wenn sie noch immer Schwierigkeiten mit der DSGVO-Konformität haben? Einer der wichtigsten und wesentlichen Schritte Datenschutzverletzungen zu minimieren ist das Identifizieren von Sicherheitslücken und Schwachstellen. Unternehmen jonglieren heutzutage mit etlichen Anwendungen, in denen oftmals wiederum sensible Daten gespeichert werden. Genau dort können die Compliance-Verstöße passieren. So konnte die zehnte Ausgabe des State of Software Security Report herausfinden, dass 83 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle enthält. Zusätzlich zu den grundlegenden Sicherheits- und Datenschutzmaßnahmen innerhalb der IT, empfiehlt es sich also regelmäßige Scans der Anwendungen durchzuführen, um Schwachstellen rechtzeitig erkennen und beheben zu können.
Anwendungssicherheit (AppSec) und regelmäßiges Scannen wird leider immer noch von vielen Unternehmen vernachlässigt, dabei gehören sie zu den wichtigsten Voraussetzungen, um DSGVO-konform zu werden. Denn Unternehmen, die ihre Anwendungen täglich oder fast täglich scannen, beheben Fehler und Schwachstellen am schnellsten und effektivsten – wodurch das Datenschutz-Niveau wiederum stark angehoben und DSGVO-Konformität erheblich leichter erreicht werden kann. Die Implementierung von DevSecOps, also die enge Verflechtung von Entwicklung und Sicherheit, erlaubt eben dieses kontinuierliche Testen. Dabei wird die Sicherheit der Anwendungen bereits in den Software-Entwicklungsprozess integriert und es entstehen weniger Schwachstellen, die später zu Datenschutzrechtsverletzungen führen könnten.
Zwar ist Oktober der offizielle Monat der Cybersicherheit, aber grundsätzlich sollten sich Unternehmen jeden Tag im Jahr um die Sicherheit ihrer Daten und ihre DSGVO-Konformität kümmern. Denn Organisationen, die ihre Anwendungen regelmäßig scannen beheben Schwachstellen im Schnitt doppelt so schnell wie Unternehmen, die nur selten oder unregelmäßig scannen. Ein DevSecOps-Ansatz erleichtert also den Weg in die Compliance.
www.veracode.com