Fotos: xxxx
COVERTHEMA
Die Uhr tickt: In knapp zwei Monaten fi ndet die EU-Datenschutzgrundverordnung
Richard Werner erklärt Unklarheiten beim Thema IT-Sicherheit.
Was genau bedeutet „Stand der Technik“?
O bwohl die EU-Datenschutzgrundverordnung
26 NEW BUSINESS | MÄRZ 2018
ab dem
25. Mai 2018 zur Anwendung
kommt, herrscht in
vielen Unternehmen Verwirrung über
bestimmte Anforderungen der neuen
Verordnung. So ist oft unklar, was die
Formulierung zum „Stand der Technik“
als allgemeine Richtschnur für IT-Sicherheit
zum Schutz personenbezogener
Daten genau bedeutet. Richard Werner,
Business Consultant bei Trend Micro,
bringt in diesem Expertenkommentar
Licht ins Dunkel.
Von der präzisen Formulierung ins
Allgemeine
In früheren Compliance-Vorgaben im
IT-Bereich wurde häu g vorgeschrieben,
dass Antiviren-Software auf allen
Endpunkten installiert sein müsse. Dies
waren damals vor allem Pattern-gestützte
Updates. Weil daraufhin jedoch
alle Unternehmen genau diese Technologie
einsetzten, versuchten auch die
Angreifer, sie zu kontern. Deshalb ist
Pattern-basiertes Scannen als alleinige
Technik seit etwa zehn Jahren überholt
und wurde längst schon durch moderne
(DSGVO) Anwendung. IT-Experte
Methoden ergänzt oder ersetzt.
Heute wird etwa alle zwei bis drei Jahre
eine neue Technologie im Markt
etabliert, die wirkungsvoller ist als
alles zuvor Bekannte. Leider ist aber
nicht nur die Anzahl der Verteidiger
gewachsen, sondern auch die der Angreifer.
Deshalb dauert es auch heutzutage
nicht mehr lange, bis eine Technik
nicht mehr den gewünschten Erfolg
hat. Würde der Gesetzgeber also genaue
Technologien vorschreiben, müsste er
diese etwa alle zwei bis drei Jahre aktualisieren.
„Stand der Technik“ am Prüfstand
Die in neueren Vorgaben wie der DSGVO
auftauchende Bezeichnung zum „Stand
der Technik“ erfordert eine Auseinandersetzung
mit dem Thema, anstatt
einfach das erstbeste Produkt zu kaufen.
Damit verbunden ist das Bewusstsein,
dass IT-Sicherheit kein Zustand ist, der
einfach erreicht werden kann und dann
für immer unveränderlich ist. Vielmehr
stellt sie einen ständigen Prozess dar,
der regelmäßig neu evaluiert werden
muss. Zudem war IT-Sicherheit bislang
vor allem ein Kostenfaktor und wurde
deshalb in vielen Firmen nur im Rahmen
des vorgeschriebenen Minimums eingesetzt.
Ausnahmen gab es häu g erst
dann, wenn tatsächlich ernsthafte Beeinträchtigungen
der Geschäftsprozesse
zu beobachten waren, beispielsweise
bei Ransomware-Vorfällen. Mit der
DSGVO hat der Gesetzgeber jedoch personenbezogenen
Daten einen hohen Wert
verliehen und ihren Verlust mit emp-
Positiver Blick auf die DSGVO
»Für Unternehmen ist im Hinblick auf die DSGVO entscheidend,
dass die Vorgaben nicht als Schikane wahrgenommen werden.
Im Kern steht nämlich das Ziel, die ihnen anvertrauten Werte zu
schützen und die verkrusteten Strukturen aufzubrechen, die für
den desolaten Zustand der Datensicherheit verantwortlich sind.«
Richard Werner, Business Consultant bei Trend Micro