12. Dezember 2017

Was genau müssen Unternehmen beachten, um den Anforderungen der neuen Datenschutzverordnung gerecht zu werden?

Anforderungen der neuen EU-DSGVO – Schwerpunkt Mobile Security

Am 25. Mai 2018 ist es soweit: Unternehmen müssen die Anforderungen der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) erfüllen. Die EU-DSGVO soll eine weitgehende Vereinheitlichung der Wettbewerbs- und Gesetzessituation herbeiführen. Was gilt es allgemein zu berücksichtigen und wieso ist der mobile Arbeitsplatz besonders betroffen?
Das Erheben, Weiterleiten und Einlagern personenbezogener Daten stellt Unternehmen künftig vor neue Herausforderungen. Besonders brisant: Unternehmen sind nun in der Pflicht regelmäßig zu beweisen, dass ein regelkonformer Umgang mit personenbezogenen Daten praktiziert wird („Beweislastumkehr“). Außerdem nimmt Artikel 32 (DSGVO) Unternehmen in die Pflicht ein „dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Dafür müssen Maßnahmen zur Informationssicherheit „unter Berücksichtigung des aktuellen Stands der Technik“, wie BSI-Grundschutz oder ISO27001 darlegen, ergriffen werden.

Der mobile Arbeitsplatz
Die Digitalisierung gestaltet den Arbeitsplatz zunehmend dynamisch. Mobile Geräte werden vor allem in Form von BYOD (Bring Your Own Device), COPE (Company Owned, Private Enabled) und COD (Company Owned Device) vermehrt in die Arbeitsumwelt integriert. Viele Arbeitnehmer freuen sich über die neugewonnene Mobilität. Der Umstand, dass mobile Apps auch Risiken bergen und in vielen Fällen Verstöße gegen die Datenschutz-Grundverordnung auslösen, wird in der Regel unterschätzt.

Die Problematik: Mobile Endgeräte erfahren zunehmend die gleichen Security-Probleme wie Desktops und Notebooks. Sie werden als Einfalltor für digitale Einbrüche genutzt. Die rasante Verbreitung mobiler Geräte und bei zeitgleicher Verschärfung der Datenschutz-Grundverordnung stellen Unternehmen hinsichtlich ihrer Mobile-Security-Strategie vor große Herausforderungen. Cyberkriminelle haben das Potenzial der mobilen Datenschätze längst erkannt und bedienen sich daran.

Ziemlich erfolgreich: Laut einer aktuellen IDC-Umfrage erlitten im Jahr 2016 rund 26 % der Unternehmen einen Schaden von mehr als 100.000 Euro als Resultat unzureichender Absicherung der verwendeten Mobilgeräte. Im Hinblick auf die neue EU-DSGVO werden die finanziellen Schäden für Unternehmen noch deutlich höher ausfallen.

Unternehmen, die keine Vorsorgemaßnahmen treffen, müssen sich nicht mehr fragen „ob“, sondern „wie oft“ sie Ziel eines Cyberangriffs werden. Insbesondere die E-Mail-Nutzung auf mobilen Endgeräten hat stark zugenommen. Hier besteht, wie auch auf herkömmlichen PCs und Laptops, das Risiko von Phishing-Mails – mit dem Unterschied, dass mobile Endgeräte in der Regel schlechter abgesichert sind als Computer. Das beliebteste, ungeschützte Einfallstor stellen dabei Apps dar.

Doch worin genau liegen die verborgenen Bedrohungen und wie sicher ist der Umgang mit Apps?
Die Gefahr liegt nicht allein in der Nutzung von Apps, sondern vielmehr in der unwissentlichen Übertragung von Zugriffs- und Nutzungsrechten an unbekannte Dritte. Diese Rechte werden oft unter dem Deckmantel der „verbesserten Usability“ eingeholt, stellen dahingehend allerdings keinen Mehrwert dar und sind für die Nutzung irrelevant. Es ist nicht auszuschließen, dass einige Betreiber sogar konkret auf den Wert von personenbezogenen Daten abzielen.

Wieso führt die Benutzung von Apps zu Sicherheitsproblemen?

  • Viele Nutzer wissen nicht, dass sie eine sicherheitskritische App herunterladen.
  • Viele Applikationen verlangen Zugriffsrechte auf Daten, die für die Verwendung der App keine Relevanz besitzen.
  • Nutzer hinterfragen die kritische Übertragung von Zugriffs- und Nutzungsrechten nicht.
  • Laut Appvisory Expertenanalyse stellen 48 % aller Apps in den Apple- und Android-Appstores ein potenzielles Risiko dar.
  • Mehr als 32 % aller Apps weisen darüber hinaus kritische Sicherheitslücken auf.
  • Besonders Applikationen des Google-Playstores sind regelmäßig von Malware bzw. Schadsoftware befallen.
  • Bei Neuerscheinungen im Google-Playstore konnte stichprobenartig der gefährliche „Banking Trojaner“ entdeckt werden.
  • Infizierung und Datenverlust bleiben häufig lange unentdeckt.

Die Lösung ist kein Umkehrprozess, sondern eine Anpassung der unternehmenseigenen IT an die mobilen Herausforderungen der Gegenwart und Zukunft.

  • Laut einer Umfrage von Bitkom Research haben lediglich 13 % der Unternehmen mit der Umstrukturierung der IT-Infrastruktur begonnen.
  • Weitere 33 % haben sich nicht einmal mit der Thematik auseinandergesetzt.

Es drohen empfindliche Strafen & Geldbußen: Maximal 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes (je nachdem, welcher Wert höher ist) können als Geldbuße verhängt werden. Wichtig: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Für die Ermittlung der Bußgelder ist das Marktverhalten der gesamten wirtschaftlichen Einheit entscheidend. Im Rahmen der EU-DSGVO werden die verschiedenen Unternehmen eines Konzerns als wirtschaftliche Einheit betrachtet. Das bedeutet: Bei einem Verstoß gegen die Datenschutz-Grundverordnung wird der gesamte Konzernumsatz zur Berechnung der Bußgeldhöhe herangezogen.
Umwege über das Ausland stellen keine Alternative dar: sobald die „betroffene Person“ EU-Bürger ist, bindet dieser Umstand an die Datenschutz-Grundverordnung (Marktortprinzip).

Wie kann ein Unternehmen Datenmissbrauch einschränken und sowohl die eigenen Daten als auch die seiner Kunden bestmöglich schützen?

Kontrollieren Sie Apps vor und während des Unternehmenseinsatzes. Es gibt unterschiedliche Herangehensweisen herauszufiltern, welche Applikationen gegen Datenschutzrichtlinien verstoßen. App-Analyse-Tools wie Appvisory stellen Echtzeitinformationen zur Verfügung und bieten darüber hinaus die Möglichkeit, sichere App-Alternativen zu finden, die den neuen Gesetzesvorgaben entsprechen. Außerdem besteht die Möglichkeit einer zeitintensiven manuellen Überprüfung, die aufgrund fehlender Richtwerte jedoch keine Garantie für die Einhaltung der EU-DSGVO bieten kann. Wir wünschen Ihnen gutes Gelingen!

Ich erkläre mich mit der Erfassung meiner Daten einverstanden. (Pflichtfeld) Datenschutzerklärung

Verwandte Artikel

Die Top 10 der gängigsten Internetsicherheitsmythen im Wahrheitscheck

Am 25. Mai 2018 ist es soweit: Die Anforderungen der neuen EU-Datenschutzgrundverordnung müssen von allen Unternehmen erfüllt werden, anderenfalls drohen empfindliche Strafen.

Artikel Download
2018-03-15T16:01:54+00:00
Kontakt
close slider

Unser Sales-Team begleitet Sie zu einer sicheren App-Nutzung in Ihrem Unternehmen. Gerne bieten wir Ihnen ein persönliches, unverbindliches Beratungsgespräch an.

Ich erkläre mich mit der Erfassung meiner Daten einverstanden. (Pflichtfeld) Datenschutzerklärung