:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953800/1953889/original.jpg "Die Leserwahl zum Storage-Insider-Award hat begonnen! (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883428/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Storage-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/44/4e/444e9a620e2bbd1e70a00a28bff5aa24/0111713291.jpeg "Scality schützt seinen Objektspeicher Artesca vor Ransomware und anderer Schad-Software. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1a/53/1a53a76a00b64e4ecbf6d363d1a1baa6/0110344024.jpeg "Ein Disaster-Recovery-Plan gibt vor, wie ein Unternehmen nach einem unerwarteten Hacker-Angriff wieder in den vollen Betrieb zurückkehren kann. (Bild: Maria Vonotna - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/74/d274a9ab464d5d3cd183d8a1686d5e33/0111692945.jpeg "SEP sesam führt in der aktuellen Version „Apollon“ einige Neuerungen ein. (Bild: SEP)")
:quality(80)/p7i.vogel.de/wcms/2a/53/2a53343032423ca6653f8e175c0a4d3e/0111596712.jpeg "Die VAST-Plattform ist ab sofort für Nvidia DGX SuperPOD zertifiziert. (Bild: VAST Data)")
:quality(80)/p7i.vogel.de/wcms/0a/aa/0aaa5cd8911115918eca16381edbf4b8/0111467297.jpeg "Kingstons DC600M-SSDs sind für Systemintegratoren, Hyperscaler und Cloud-Service-Anbieter konzipiert. (Bild: Screenshot / Kingston)")
:quality(80)/p7i.vogel.de/wcms/ee/1c/ee1c7d030ee16392c11f6a4ce6685256/0111241250.jpeg "Qnap hat neue NVR-Speicherlösungen für kleine Unternehmen vorgestellt. (Bild: Screenshot / QNAP)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc469ed6b9a5e489f49bd3b14e88748/0111398984.jpeg "Professor Dr. Jens Dittrich (rechts) und Doktorand Joris Nix wollen hocheffiziente Indexstrukturen „züchten“, die dann für extrem schnelle Datenbanken sorgen sollen. Wie das geht, erklären die Experten hier. (Bild: Universität des Saarlandes)")
:quality(80)/p7i.vogel.de/wcms/69/a5/69a5047be4b5f5ec796ed129ef23a53f/0111695837.jpeg "„Cohesity Turing“ ist eine auf Wachstum ausgelegte Sammlung von KI-Technologien für Datensicherheit und -management. (Bild: vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/e9/3ae9d8d8aef69c60fd0c87209ba57616/0111279436.jpeg "Mit den entsprechenden Cmdlets lassen sich in Windows über die PowerShell Ordner erstellen und verwalten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/18/40/184014bdf142f2e3e91a78a3021f2777/0110252508.jpeg "Aufbau hybrider Storage-Infrastrukturen, Einbindung von Objektspeichern und externen Speichern oder zertifiziertes Backup: NetApp Keystone, LucidLink und Central Data Storage machen es möglich. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/ab/49ab4612f26728ab0ac3b1606d56a971/0111530915.jpeg "Mehr als nur ein Technologiesprung: die Storage-Entwicklung der vergangenen zehn Jahre. (Bild: Nilima - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/4a/7e4a1b41e0cb9c6d3e42c8903bf775d7/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/b6/31b6393d2047f5a28a2d8fc70e5e9f9e/0111272854.jpeg "Ctera-Kunden bekommen zukünftig eine einheitliche Sicht auf Dateien und Objekte. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b12817d2b20453d090fd51629cb950a1/0110832699.jpeg "Boston und DataCore intensivieren ihre Zusammenarbeit. (Bild: John Hain)")
:quality(80)/p7i.vogel.de/wcms/38/af/38af9159680f9667f04ad53166847a7a/0110172680.jpeg "Daten sind eine wichtige, aussagekräftige Informationsquelle und Mittelpunkt aller Arbeitsabläufe, da sie überall enthalten sind und in allen Abteilungen eine Rolle spielen – vom Marketing über den Kundenservice bis hin zur Rechtsabteilung. (Bild: tookitook - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/ab/e0ab0c52cfdc96062651e5799f3e48ba/0111368459.jpeg "Das OVHcloud Cold Archive ist für die sichere und langfristige Datenspeicherung vorgesehen. (Bild: Screenshot / OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/9f/e7/9fe773a0b8dbfda7a213ffbeea58dd08/0109971847.jpeg "Unternehmen setzen zunehmend auf digitale Lösungen, und die Anforderungen an Dokumentenmanagementsysteme steigen – nicht zuletzt auf Grund von Compliance-Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/20/4a/204ae85afd18dc7d2d02d1a12b4a782e/0109699747.jpeg "Um sensible digitale Daten in Kliniken effektiv gegen Ransomware-Attacken zu schützen, müssen auch die Backup-Daten abgesichert werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/06/65/0665425a8479600bede9fb7db5641709/0111283984.jpeg "Die Datenübertragung und -synchronisierung, zum Beispiel für Backups, wird in Linux mit Hilfe des Tools rsync effektiver. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f1/09/f109eaa1e1bca391eaa2f8556ff0f9f8/0111280534.jpeg "Zugriffsberechtigungen in Windows-Umgebungen lassen sich mit der PowerShell unkompliziert verwalten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1d/2a/1d2a8713c1c927685dc3ae2db5e96d37/0111295611.jpeg "Viele Datenschutzbeauftragte sind nur in Teilzeit in diesem Bereich tätig und brauchen dringend mehr Unterstützung in ihren Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/75/87758c974364d10528abdda01cc15897/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/f0/e7/f0e7d8051c683a57426da807ba95dfa8/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/e3/4d/e34def6e5ede3d84ede6489bfe029d93/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/e4/7c/e47c76db659b7175dd32e5caea23512d/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Storage-Insider-Service: Meldepflichten bei IT-Sicherheitsvorfällen Meldepflichten gibt es nicht nur bei der DSGVO
Viele Unternehmen haben bisher Schwierigkeiten damit, die verschärften Meldepflichten nach Datenschutz-Grundverordnung umzusetzen. Große Probleme bereitet Vielen dabei, dass die Meldung der Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen soll. Dabei sind dies nicht die einzigen Meldepflichten, mit denen sich Unternehmen beschäftigen müssen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Die Meldepflichten aus Artikel 33 Datenschutz-Grundverordnung (DSGVO / GDPR) halten 44 Prozent der befragten Unternehmen für eine große Herausforderung, so eine Umfrage von Varonis Systems. Genau genommen, sollten die Unternehmen sogar eine weitere Herausforderung nennen: Neben Artikel 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) gibt es ja noch den Artikel 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person).
Auch wenn manche Schlagzeilen die Meldepflichten nach DSGVO als Novum vermelden, komplett neu sind die Meldepflichten nicht. So kennt bereits das Bundesdatenschutzgesetz (BDSG) die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG). Entsprechend findet man auch heute schon Informationspflichten im Telemediengesetz (§ 15a TMG), und durch § 109a Telekommunikationsgesetz (TKG) werden die TK-Diensteanbieter verpflichtet, die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie unter bestimmten Umständen auch die Betroffenen zu benachrichtigen, wenn der Schutz personenbezogener Daten verletzt worden ist.
Neu in der DSGVO sind unter anderem die Bedingungen, wann an die zuständige Aufsichtsbehörde zu melden ist, wann man die Betroffenen nicht informieren muss und natürlich die häufig zitierte 72-Stunden-Frist. Es wäre tatsächlich falsch zu glauben, die Formulierung in Artikel 33 DSGVO, die Meldung müsse „unverzüglich und möglichst binnen 72 Stunden“ erfolgen, lasse einen wie auch immer gearteten Spielraum. Hierzu stellten die Aufsichtsbehörden für den Datenschutz wie die das Bayerische Landesamt für Datenschutzaufsicht bereits fest: Die Meldung der Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich.
Meldepflichten gibt es viele: Möglichkeiten für Synergien
Der Hinweis, dass man als Unternehmen nicht nur an die Meldepflichten nach DSGVO denken soll, erscheint bei den aktuellen Umsetzungsproblemen wenig hilfreich. Anstatt das eine Problem zu lösen, werden weitere hinzugenommen. Doch zum einen hilft es nicht, sich alleine auf die DSGVO zu konzentrieren, da diese schon schwierig genug in der Umsetzung ist. Vielmehr erfordert die IT-Compliance und die Compliance generell, alle Vorgaben im Blick zu haben, auch die einzelvertraglichen Vereinbarungen mit Kunden, die auch spezielle Meldepflichten vorsehen können.
Zum anderen sollte man die verschiedenen Meldepflichten auch als Chance begreifen, als Chance für Synergien und zur Vermeidung unnötiger Aufwände. Banken zum Beispiel, die direkt von der Europäischen Zentralbank (EZB) beaufsichtigt werden, sollen alle wichtigen Cybersicherheitsvorfälle melden (Payment Services Directive (PSD2)). Betreiber Kritischer Infrastrukturen haben nach IT-Sicherheitsgesetz definierte Meldepflichten. Zudem erklärt das BSI: Die Sichtbarkeit von IT-Angriffen, wie sie durch die Meldestelle des BSI verfolgt wird, sollte sich auch in der Strafverfolgung und der Kriminalstatistik wiederfinden. Dazu sind Meldungen an die Strafverfolgungsbehörden notwendig (pdf). Auch die Abteilungen Wirtschaftsschutz der Verfassungsschutzämter bieten sich als Anlaufstelle für Meldungen an, wenn es um einen Verdacht auf Wirtschaftsspionage geht.
Auch wenn alle Meldepflichten und Meldemöglichkeiten einzeln zu beachten sind, bietet es sich für Unternehmen an, die internen Prozesse bei IT-Sicherheitsvorfällen so zu gestalten, dass Informationen, die für eine Meldepflicht zusammengetragen werden, nach Möglichkeit (je nach Vertraulichkeit und Eignung) auch bei anderen Meldungen genutzt werden.
Ein Blick auf das Meldeformular des LDA Bayern lohnt sich, denn dort sieht man, welche Informationen über Datenpannen auch für andere meldepflichtige Bereiche wichtig sein können. In jedem Fall aber sollte man das Eintreten einer Meldepflicht als internen Trigger für mögliche, weitere Meldepflichten sehen. Aus gutem Grund fragt das LDA Bayern in seinem Meldeformular für Datenpannen: „Falls Sie die Polizei oder andere Behörden informiert haben, teilen Sie uns bitte mit, wen und wann Sie kontaktiert haben“.
Meldepflichten als Teil der Prävention erkennen
Trotz allem könnte man versucht sein, die Meldepflichten wo immer möglich zu umgehen. Immerhin verheißen Umfragen nichts Gutes, wenn IT-Sicherheitsvorfälle bekannt werden: Laut einer im Auftrag von Gemalto durchgeführten Umfrage unter mehr als 10.000 Anwendern weltweit würde die Mehrheit (70 Prozent) keine weiteren Geschäfte mit einer Organisation tätigen, wenn bei dieser eine Datenschutzverletzung bekannt würde.
Tatsächlich aber muss man die Meldepflichten ganz oben auf seine Agenda setzen, um die Compliance nicht zu gefährden, um mögliche Sanktionen und Bußgelder zu verhindern, aber auch, um es gar nicht erst zu einem meldepflichtigen Vorfall kommen zu lassen. In der Praxis zeigt sich: Wer ein Verfahren etabliert oder optimiert, um die Meldepflichten einzuhalten, findet häufig Lücken in internen Prozessen, die selbst zu einem Vorfall führen könnten. Wer also die Meldepflichten in seinen internen Prozessen abbildet, verbessert diese Prozesse, zum Beispiel durch bessere Monitoring-Verfahren und die Klärung fehlender Zuständigkeiten.
Ebenso sind die Meldepflichten ein gutes Argument, die Verschlüsselung umfassender in Angriff zu nehmen. So findet man in der DSGVO folgendes, gutes Argument für mehr Verschlüsselung: Die Benachrichtigung der betroffenen Person (Artikel 34 DSGVO) ist nicht erforderlich, wenn (…) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.
(ID:45083886)
:quality(80)/images.vogel.de/vogelonline/bdb/1947800/1947895/original.jpg "Die EU ist Vorreiter beim Datenschutz; andere Staaten orientieren sich daran und ziehen mit eigenen Regelungen nach. (© Blue Planet Studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1914400/1914434/original.jpg "Es ist nicht zu erwarten, dass der Datenschutz einmal abschließend geregelt ist; er kann es auch gar nicht, da sich die Verarbeitung und der Schutzbedarf der personenbezogenen Daten fortlaufend ändern. (Bernulius - stock.adobe.com)")