Kommentar zum heise-Artikel: Mehr Daten, mehr Verantwortung

Was Unternehmen im Bereich Datenschutz leisten sollten

#heise #datenschutz #verantwortung #soc #cybersecurity

Sicherheitslücken in der eigenen Soft- oder Hardware selbst publik zu machen galt früher als No-Go: Das Thema Cyber Security war insgesamt deutlich weniger relevant als heutzutage (schön nachzulesen im aktuellen Artikel auf heise.de), schien ein tendenziell überflüssiger Kostenfaktor zu sein und geisterte nicht alltäglich mit neuen Schreckensmeldungen durchs Netz, weil die Konsequenzen von Malware nicht konkret abzusehen waren.

Aber: Mit zunehmendem Wissen kommt die Verantwortung, weiß man – und der kann sich angesichts zahlreicher täglicher Cyberangriffe und Sicherheitsvorfälle heute kaum jemand mehr entziehen. War es vor einigen Jahren noch ein teils langwieriger Prozess vom Entdecken bis zur Behebung einer Security-Schwachstelle, so stellen die Hersteller nun in der Regel relativ schnell und mit hohem Eigeninteresse Patches bereit – schließlich will sich keiner nachsagen lassen, man habe bewusst nicht gehandelt oder eben fahrlässig agiert.

Allgemein erwarten wir von Herstellern, dass sie Exploits bekanntgeben und Sicherheitslücken schnellst möglich schließen, jeder Verzug wäre eine sicherheitsgefährdende Zumutung. Nicht anders ist es mit Unternehmen. Wenn jemand unsere sensiblen Daten speichert und ein Leck im Sicherheitssystem erkannt hat möchten wir selbstverständlich umgehend informiert werden und im Wissen darüber sein, dass man alles tut, um einen Datendiebstahl oder Datenmissbrauch zu unterbinden.

Unternehmen sollten also

1. 1. alles zum Schutz sensibler Daten unternehmen: Errichtung von Schutzvorkehrungen (wie Firewall, Virenschutz, regelmäßige Patches, aktuelles System) und konstantes Monitoring relevanter Bereiche mit einem Security Operations Center zur zeitnahen Erkennung von Hackerangriffen, ob selbst betrieben oder als Managed Service, und Schulungen und Trainings der IT-Bereiche und Mitarbeiter
   2. bei einem erfolgten Angriff keine Vertuschungsambitionen hegen (unverzügliche Meldepflicht, Verstoß wird als Ordnungswidrigkeit geahndet), sondern korrekt und offen kommunizieren, eine Schadensanalyse machen (lassen), die genutzte Schwachstelle ausfindig machen und beheben.

Hierbei stellen wir gern unsere Managed Security Services zur Verfügung, möchten aber in erster Linie auf ein einwandfreies Verhalten im Schadensfall hinweisen.