Die immerwährenden Auswirkungen der DSGVO

Sie sind hier: Das Magazin für alle IT-Security-Themen » Markt » Tipps & Hinweise

Datenschutz-Gesetzgebung: Die IAPP hat ein Diagramm-Tool für viele der weltweiten Datenschutzgesetze veröffentlicht

Wichtige Meilensteine des weltweiten Datenschutzes im Jahr 2023

Von Todd Moore, VP Encryption Products bei Thales

Inzwischen gibt es auf der ganzen Welt umfassende Datenschutzgesetze. Zwar ist jedes von ihnen anders formuliert, doch es gibt viele Gemeinsamkeiten in Bezug auf die Rechte, Pflichten und Durchsetzungsbestimmungen für Unternehmen. Die Bemühungen der Gesetzgeber haben sich in den letzten zwei Jahren intensiviert, es wurden viele Datenschutzgesetze verabschiedet und angenommen. Dieser Trend setzte sich bis 2022 fort, wobei Regionen wie der Nahe Osten, der asiatisch-pazifische Raum und Bundesstaaten in den USA Gesetze zum Datenschutz einführten oder abänderten.

Gartner schätzt, dass bis zum Jahr 2023 75 Prozent der Weltbevölkerung in Ländern mit modernen Datenschutzbestimmungen leben werden. Die International Association of Privacy Professionals (IAPP) hat in Zusammenarbeit mit dem Westin Research Center eine interaktive Karte erstellt, auf der die Länder mit Datenschutzgesetzen verzeichnet sind.

Die IAPP hat auch ein Diagramm-Tool für viele der weltweiten Datenschutzgesetze veröffentlicht, einschließlich der Gesetze in den USA und der EU. Dieses umfassende Instrument ist eine gute Demonstration der Gemeinsamkeiten zwischen den verschiedenen Datenschutzgesetzen auf der ganzen Welt und der Auswirkungen, die die DSGVO hat.

Drei Trends für die Datenschutzpolitik von heute

Die wichtigsten Veränderungen beim Datenschutz und der Datenverwaltung lassen sich in drei Trends zusammenfassen:

Zunehmende Komplexität der Vorschriften

Für Unternehmen und Datenschutzbeauftragte ist es ein großes Problem, mit den raschen Änderungen von Vorschriften und Gesetzen Schritt zu halten. Durch die Verwendung von standardisierten und gut dokumentierten Best Practices für die Sicherheit können Datenschutz- und Compliance-Teams proaktiv mit den Änderungen der Vorschriften Schritt halten. Die Integration von Flexibilität und Agilität in die Architektur von Unternehmenssystemen hilft bei der Anpassung an diese neuen Standards.

Eine sich rasant entwickelnde Daten- und Technologielandschaft

Unternehmen sehen die Einhaltung von Vorschriften gelegentlich als Hindernis für Innovationen, da immer neue Technologien und Datennutzungstechniken auftauchen. Die Einführung eines "Privacy by Design"-Ansatzes kann Unternehmen jedoch dabei helfen, die gesetzlichen Vorschriften einzuhalten und dennoch Spitzenleistungen zu erbringen.

Wachsendes Bewusstsein der Stakeholder

Geschäftsabläufe, Ethik und Unternehmensführung werden von Stakeholdern wie Kunden, Beschäftigten und Investoren sehr genau geprüft. Folglich sind Transparenz und Zustimmung sehr wichtig. In den kommenden Jahren wird die Fähigkeit, das Vertrauen der Verbraucherinnen und Verbraucher durch transparente Kommunikation zu gewinnen, ein strategisches Unterscheidungsmerkmal für Unternehmen sein.

Die Entwicklung des Datenschutzes geht über die Einhaltung gesetzlicher Vorschriften hinaus und führt zu einer Ära der integrierten Datenverwaltung und vertrauenswürdigen Datennutzung. Darüber hinaus wird der Datenschutz in den Vorstandsetagen und bei den Stakeholdern immer mehr in den Vordergrund gerückt. Dies gibt den Compliance-Teams die Möglichkeit, überzeugend darzustellen, wie die Bemühungen um den Datenschutz im gesamten Unternehmen integriert werden, um neue Ziele zu erreichen.

Wichtige Meilensteine des weltweiten Datenschutzes im Jahr 2023

Im Jahr 2023 stehen vier wichtige Ereignisse an:

Tabelle mit den wichtigsten anstehenden Datenschutzgesetzen

Bild: Thales

1. In Kraft tretende US-Gesetze

In diesem Jahr traten der California Privacy Rights Act oder der Virginia Consumer Data Protection Act in Kraft. Der Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring oder der Colorado Privacy Act werden bis zum 1. Juli 2023 und der Utah Consumer Privacy Act bis zum 31. Dezember in Kraft treten.

Auf Bundesebene ist der American Data Privacy and Protection Act (ADPPA) das bedeutendste Bundesgesetz zum Datenschutz in den USA seit dem U.S. Privacy Act von 1974. Das ADPPA verfolgt einen ziemlich umfassenden Ansatz zum Schutz der Privatsphäre, der viele der Richtlinien der DSGVO einbezieht.

2. Abkehr von Drittanbieter-Cookies

Cookies von Drittanbietern werden nach dem 31. Dezember 2023 nicht mehr verwendet werden. Dies stellt eine erhebliche Veränderung gegenüber den derzeitigen Ansätzen für gezielte Werbung und Personalisierung dar, schafft aber auch neue Möglichkeiten für Unternehmen und Vermarkter.

3. Grenzüberschreitende Datenübermittlung und der Datenschutzrahmen

Im Juli 2020 stellte der Gerichtshof der Europäischen Union (EuGH) fest, dass der EU-US-Datenschutzschild-Rahmen unzureichend ist. Obwohl sich der Fall auf Datenübertragungen zwischen der EU und den USA bezog, sind die Auswirkungen global. Der Europäische Datenschutzausschuss (EDPB) hat einen Leitfaden herausgegeben, der die nächsten Schritte klärt, und die Unternehmen werden ihre Verfahren für die Handhabung internationaler Datenübertragungen neu bewerten müssen.

Im Oktober 2022 veröffentlichte die Regierung Biden den EU-US-Datenschutzrahmen, der auf gemischte Reaktionen stieß. Die Europäische Kommission muss nun einen Angemessenheitsbeschluss fassen, der nicht vor Frühjahr 2023 erwartet wird.

4. Neue EU-Richtlinien

Der EU Data Governance Act (DGA) wird den Zugang zu und die gemeinsame Nutzung von Daten mit dem öffentlichen Sektor zum Wohle der Allgemeinheit erleichtern. Dies wird eine weitere Ebene der Komplexität hinzufügen, da Organisationen versuchen, ihre Daten zu verstehen und zu erkennen, was erforderlich ist, um eine konforme Datenübertragung zu ermöglichen. Die EU-DSGVO ist am 23. Juni 2022 in Kraft getreten und wird nach einer 15-monatigen Karenzzeit ab September 2023 gelten.

Darüber hinaus schlug die Europäische Kommission im Februar 2022 die EU-Datenschutzverordnung (EU Data Act) vor, die "Verbrauchern und Unternehmen noch mehr Kontrolle darüber geben wird, was mit ihren Daten geschehen kann, indem sie klarstellt, wer auf Daten zugreifen darf und zu welchen Bedingungen", wie Margrethe Vestager, Vizepräsidentin der Kommission für ein Europa, das fit für das digitale Zeitalter ist, in einer Pressemitteilung erklärte.

Diese neuen Richtlinien zeigen, dass es immer wichtiger wird, eine einzige Source of Trust für die Datenkatalogisierung und das Daten-Mapping zu haben. Die Ausrichtung des Unternehmens auf diese strategische Richtung wird sich auszahlen, sobald diese neuen Verpflichtungen vollständig in Kraft treten. (Thales: ra)

eingetragen: 26.01.23
Newsletterlauf: 23.03.23

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Hintergrund

Hintergrund

USB-Malware-Verbreitung

Die längst verstaubt geglaubte Masche des "Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen" wurde doch tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm PlugX tauchte in Nigeria, Ghana, Simbabwe und der Mongolei in einer neuen Variante auf.

Die Angriffe sind raffiniert ausgeführt

Cisco Talos hat eine neue Gruppe von Cyberkriminellen entdeckt und ihr den Namen "YoroTrooper" gegeben. Sie hat seit mindestens Juni 2022 mehrere erfolgreiche Spionagekampagnen durchgeführt. Unter anderem konnte YoroTrooper bereits zwei internationale Organisationen kompromittieren: eine kritische Gesundheitseinrichtung der Europäischen Union (EU) und die Weltorganisation für geistiges Eigentum (WIPO).

Gefälschte Version der KI-Software ChatGPT

Die KI-Software ChatGPT von Open AI ist momentan in aller Munde. Doch nicht nur bei Nutzern erfreut sich der Chatbot großer Beliebtheit. Auch Cyberkriminelle haben nun ihre Chance erkannt, mit einer Fake-Version des Chatbots an persönliche Daten und sogar das Geld der Nutzer zu gelangen – auch in Deutschland.

Offiziellen OpenAI-Konten zum Verwechseln ähnlich

In Zusammenarbeit mit der QGroup beobachtete und analysierte SentinelLabs eine Bedrohungsaktivität, die als WIP26 bezeichnet wird. Der Bedrohungsakteur, der hinter WIP26 steht, hat es auf Telekommunikationsanbieter im Nahen Osten abgesehen. WIP26 zeichnet sich durch den Missbrauch öffentlicher Cloud-Infrastruktur aus - Microsoft 365 Mail, Microsoft Azure, Google Firebase und Dropbox - für die Verbreitung von Malware, die Datenexfiltration und C2-Zwecke.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.