Am 25. Mai jährt sich das Inkrafttreten der DSGVO bereits zum dritten Mal. Dazu ein Statement von Drew Bagley, Vice President & Counsel, Privacy & Cyber Policy bei CrowdStrike:
„Eine Cybersecurity-Attacke setzt Organisationen stark unter Druck und erhöht das Risiko, dass die Sicherheitsanforderungen der DSGVO verletzt werden. Wenn ein betroffenes Unternehmen Angreifern unwissentlich Zeit gibt, sich einzunisten und ihre Aktivitäten zu verschleiern, wird die erforderliche Schadensbegrenzung viel komplizierter und kostspieliger.
Drei Jahre nach Inkrafttreten der DSGVO ist es für jeden Datenschutzbeauftragten und jedes Sicherheitsteam ratsam, die Bedrohungslage im Unternehmen, die technologischen Ansätze zur Einhaltung der Vorschriften und die Art und Weise, wie die Unternehmensdaten geschützt werden, genau unter die Lupe zu nehmen. Da die Gegner (staatliche, nicht-staatliche und kriminelle) ihre Taktiken, Techniken und Verfahren weiterentwickelt haben, sind die Risiken, mit denen die Unternehmen heute konfrontiert sind, anders als bei Inkrafttreten der DSGVO – was bedeutet, dass sich auch der Standard für ‚angemessenen‘ Datenschutz weiterentwickeln muss.
In einer Zeit, in der Identitätsdiebstahl für Datenschutzverletzungen ausgenutzt wird, ist Zero Trust ein moderner Ansatz zur Authentifizierung, der eingesetzt werden kann, um die sich weiterentwickelnden Sicherheitsanforderungen zu erfüllen. Dabei sollte man den Datenschutz ganzheitlich betrachten: Das Ziel ist es, Daten zu schützen, wo auch immer sie hingehen, im Gegensatz zu bedeutungslosen Metriken wie ‚Daten verlassen niemals das Unternehmen‘. Organisationen, die sich vor Datenflüssen fürchten, können sich versehentlich der Gefahr aussetzen, die Sicherheitsvorschriften der DSGVO zu verletzen. Deshalb ist es wichtig, nicht nur ganzheitlich zu denken, sondern auch zu sehen, was die Regulierungsbehörden tun. Höhere Bußgelder konzentrieren sich in der Regel auf Organisationen, die es versäumen, Daten vor einer Verletzung zu schützen, eine Verletzung abzumildern oder nach einer Verletzung ordnungsgemäß zu informieren. Das bedeutet, dass Organisationen die tatsächlichen Risiken für den Datenschutz sorgfältig abwägen und diese im Sinne der Verordnung abwehren sollten.”
https://www.crowdstrike.de/