NicoElNino - stock.adobe.com
Die 5 häufigsten Herausforderungen bei der Data Protection
Es ist nicht einfach, Herausforderungen bei der Data Protection zu bewältigen, aber mit einem umfassenden Verständnis der Probleme können Sie eine Strategie dafür entwickeln.
Die weltweite COVID-19-Pandemie brachte keine Erleichterung der Probleme, mit denen sich Data-Protection-Prozesse und IT-Abteilungen konfrontiert sehen. Im Gegenteil, die Herausforderungen haben sich vervielfacht, sowohl aus der Perspektive der Sicherheit und der Vermeidung von Sicherheitsverletzungen als auch aus der Sicht der Regulierungsbehörden. Ransomware nahm zu, und staatlich gesponserte Akteure waren so aktiv wie eh und je. Darüber hinaus vervielfachten sich die Angriffsflächen durch die weit verbreitete Heimarbeit.
Es sollte nicht überraschen, dass rund 70 Prozent der Befragten in einer neuen Studie von Avant Analytics angeben, dass sie befürchten, dass ein erfolgreicher Sicherheitsverstoß sie ihren Job kosten könnte. Glücklicherweise lernen Datenexperten neue Tricks, und die verfügbare Technologie – oft in Verbindung mit Künstlicher Intelligenz – wird immer besser. Vor diesem Hintergrund sind hier einige Data-Protection-Herausforderungen aufgelistet, die Sie im Auge behalten sollten.
1. Sicherheitsbedrohungen
Das menschliche Element bleibt das Problem Nr. 1. Fast alle der erfolgreichsten Angriffe und Sicherheitsverletzungen basierten auf menschlichem Versagen, das in der Regel durch Phishing oder Spear-Phishing hervorgerufen wurde.
Auch wenn sich Unternehmen gegen lästige, zeitaufwändige Anti-Phishing-Schulungen wehren und die Sorge äußern, dass die Mitarbeiter zu misstrauisch gegenüber der Online-Welt sind, um ihre Arbeit ordnungsgemäß zu erledigen, können viele Unternehmen durch diese Maßnahmen die Erfolge erzielen. Gut umgesetzte können den Erfolg von Angriffen drastisch reduzieren.
Andere Arten der organisatorischen Aufklärung sind ebenfalls wichtig. Zum Beispiel wurde eine kleine Stadt im Nordosten kürzlich Opfer eines einzigen Spear-Phishing-Vorfalls, der den Angreifern eine halbe Million Dollar einbrachte. Obwohl der betroffene Beamte die meiste Schuld trug, wurden umfangreiche Verfahren, die für jede Überweisung von großen Dollarbeträgen vorhanden sein sollten, außer Acht gelassen oder nicht streng genug gehandhabt. Ein paar E-Mails bildeten die Grundlage und eine schlechte Entscheidung sorgte für den Geldsegen für die Erpresser.
Ransomware, oft mit Phishing beginnend, bleibt eine große und wachsende Bedrohung. Sicherheitsverstärkungen, die verhindern, dass aus kleinen Verstößen große werden, Verschlüsselung und umfassendere Datensicherung und -archivierung sind Taktiken, die etwas Hoffnung geben, dass diese Angriffsart abgewehrt werden kann.
2. Physische Sicherheit
Die Coronavirus-Pandemie hat einen der am wenigsten glamourösen und am meisten vernachlässigten Aspekte der Data Protection in den Fokus gerückt: die physische Sicherheit. Leere oder größtenteils leere Büros sind eine Versuchung für böswillige Akteure. Wenn niemand in der Nähe ist, kann jeder, der über Zugangsdaten, Schlüssel oder andere Mittel für den Zugang zu Geschäftsräumen verfügt, auf Systeme zugreifen. Dabei besteht eine geringere Wahrscheinlichkeit, entdeckt zu werden als in der Vergangenheit.
Auch die physischen Grenzen wurden erweitert. Remote-Mitarbeiter – heute eher die Regel als die Ausnahme – riskieren den Verlust von Zugangsdaten oder Daten durch verärgerte oder unverantwortliche Familienmitglieder, Mitbewohner oder ihre eigene Unachtsamkeit. Dabei sind noch nicht einmal diejenigen berücksichtigt, die sich auf öffentliche Räume verlassen, um private Geschäfte zu erledigen. Physische Schließmechanismen und Gadgets, die es einer Person in der Nähe erschweren, einen Computerbildschirm zu sehen oder zu fotografieren, werden dadurch wahrscheinlich mehr Aufmerksamkeit erhalten.
Da physische und logische Sicherheit oft verschiedenen Managementgruppen unterstellt sind und unterschiedliche Geschäftsprozesse haben, besteht die Gefahr einer geteilten Befehlsgewalt. Sorgen Sie für eine gute Koordination oder, wenn möglich, legen Sie diese Verantwortlichkeiten unter eine Gruppe.
3. Insider-Bedrohungen
Ein kleiner Prozentsatz der Personen, die versuchen, Systeme vor Hackerangriffen, Sicherheitsverletzungen und schlechten Datenverwaltungspraktiken zu schützen, sind entweder bereits böswillige Akteure oder könnten in der richtigen Situation zu solchen werden.
Und da sich Insider und Outsider wie nie zuvor vermischen, müssen die Personalabteilung und die Rechtsabteilung einbezogen werden, um die Risiken von Mitarbeitern und anderen Personen, wie Drittanbietern, mit potenziellem Zugriff auf Daten besser zu verstehen. Die meisten Unternehmen heben die Zugriffsrechte bei Kündigung auf, aber dies erfordert eine zeitnahe Koordination, um erfolgreich zu sein. Ein verärgerter Mitarbeiter, der mit intakten Zugriffsmöglichkeiten der Firma den Rücken kehren muss, kann in kurzer Zeit eine Menge Ärger verursachen.
Klare Regeln, Rollen und Verantwortlichkeiten müssen festgelegt und durchgesetzt werden. Die Vermittlung des Gedankens, dass Unfug bestraft wird, ist genauso wichtig wie jede andere Maßnahme, um gutes Verhalten zu gewährleisten und schlechtes Verhalten zu unterbinden.
4. Regulierung
Wachsende regulatorische Anforderungen – insbesondere in der Europäischen Union – bringen die Bemühungen um den Datenschutz in eine Zwickmühle. Obwohl die Bemühungen zum Schutz vor Bösewichten unaufhörlich sein müssen, macht dies alle Aspekte des Umgangs mit Daten komplexer.
Im Sommer 2020 hat der EU-Gerichtshof in einer Rechtssache, die üblicherweise mit Schrems abgekürzt wird, frühere Regulierungsmaßnahmen für ungültig erklärt, die es dem EU-US-Privacy-Shield-Rahmen erlaubten, anstelle des in der EU erforderlichen umfassenderen Datenschutzes zu gelten. Dieser Schutz ist nicht nur belastend, sondern für US-Unternehmen auch schwer einzuhalten, da die US-Regierung sowohl gesetzlich festgelegten als auch vermuteten quasi-legalen Zugriff auf Daten hat.
Die Änderung lässt Tausende von US-Unternehmen auf der Suche nach einer praktikablen Alternative zurück, was eine kostspielige und zeitaufwändige Einzelfallprüfung der zu verarbeitenden Daten und der Angemessenheit des Schutzes auf US-Seite erfordert.
Weitere Herausforderungen stellen die EU-Datenschutz-Grundverordnung (DSGVO) und der kalifornische Consumer Privacy Act (CCPA) dar, der nun durch den kürzlich verabschiedeten California Privacy Rights and Enforcement Act (CPRA) seinem europäischen Vorbild ähnlicher wird. Die Verabschiedung des CPRA durch eine Wahlinitiative erfolgte, als der CCPA in Kraft trat. Die neuen Bestimmungen werden jedoch erst am 1. Januar 2023 in Kraft treten.
5. Datenschutz
Obwohl der Datenschutz oft mit der Sicherheit und der Einhaltung von Vorschriften in Verbindung gebracht wurde, hat er mittlerweile eine eigene Existenz. In vielen Fällen haben Datenschutzverletzungen private Informationen offengelegt, was in der Öffentlichkeit Besorgnis erregt. Diese Bedenken trugen zur Schaffung der DSGVO, CCPA und ähnlichen Vorschriften bei und veranlassten einige zu der Annahme, dass es sinnvoll sein könnte, dem Datenschutz Priorität einzuräumen oder zumindest die regulierte Gemeinschaft in eine bessere Position für die Zukunft zu bringen.
Ein Teil dieses Bildes ist die „Privacy by Design“-Bewegung. Die Idee scheint ihren Ursprung bei einem kanadischen Beamten in den 1990er Jahren zu haben und hat danach verschiedene Unterstützer und unterstützende Gesetze gefunden.
Die vielleicht konkreteste Ausprägung findet sich in der kürzlich verabschiedeten ISO-Norm ISO/PC 317 Consumer protection: Privacy by Design für consumer goods and services. Der Standard, der sich seit 2018 in der Entwicklung befindet, zielt darauf ab, den Designprozess zu beeinflussen, um sicherzustellen, dass Verbraucher Zugang zu Produkten und Dienstleistungen haben, die die persönliche Privatsphäre schützen.
Die Datenschutzprinzipien könnten sich im kommenden Jahr noch schneller weiterentwickeln, da Argumente über Privatsphäre, freie Meinungsäußerung und die Macht von Big Tech stärker in den Fokus rücken.
