Wie hat die DSGVO das Spielfeld der Cybersicherheit verändert?

Auch seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Datenschutzverletzungen immer noch an der Tagesordnung. Unternehmen haben immer noch viel zu tun, um die Daten ihrer Kunden zu schützen. Was haben wir aus den letzten 12 Monaten gelernt und wie kann sich die Branche in Zukunft verbessern?

2018 sollte ein Wendepunkt für den Datenschutz werden. Vor etwas mehr als einem Jahr wurde die DSGVO von der Europäischen Union eingeführt, um die Daten der Verbraucher besser zu schützen und Marken zu drängen, mehr Verantwortung für Datenschutz und Datenschutz zu übernehmen.

Als Unternehmen sich beeilten, konform zu werden, wurde schnell klar, dass dies ein schmerzhafter Prozess für Dateneigentümer werden würde, die das Ausmaß der Aufgabe, die die DSGVO darstellt, unterschätzt hatten.

Ein Jahr später scheinen die meisten Unternehmen zuversichtlich zu sein, dass sie konform sind – oder sagen zumindest, dass sie es sind. In den letzten zwölf Monaten sind jedoch einige der weltweit bekanntesten Unternehmen wegen schlechter Datenpraktiken und erheblicher Verstöße unter Beschuss geraten – ungeachtet einer genaueren Prüfung der Datenerfassung, -speicherung und -sicherung.

Nehmen Sie zum Beispiel die amerikanische Frage-und-Antwort-Website Quora. CEO Adam D'Angelo gab bekannt, dass Benutzerdaten von einem Dritten kompromittiert worden waren, der sich im November 2018 unbefugten Zugriff auf eines seiner Systeme verschafft hatte. Die Hacker stahlen 100 Millionen Benutzernamen, E-Mails, verschlüsselte Passwörter und andere Daten aus sozialen Netzwerken, die importiert wurden . Es war eine massive Reputationskrise und hatte tiefgreifende Auswirkungen auf das Kundenvertrauen.

Quora war im vergangenen Jahr jedoch kein Ausreißer. Dies war nur die Spitze des Eisbergs, da viele Unternehmen groß angelegte Angriffe erlebten, darunter Facebook, Ticketmaster und Vision Direct, die das Vertrauen der Verbraucher in Marken auf ganzer Linie weiter schädigten.

Kein Unternehmen möchte eine Datenschutzverletzung erleben oder die personenbezogenen Daten (PII) seiner Verbraucher gefährden, aber selbst jetzt tun viele Unternehmen nicht genug, um eine Datenschutzverletzung oder einen Verstoß gegen die DSGVO zu verhindern. Was haben wir also im letzten Jahr gelernt und wie kann sich die Branche in Zukunft verbessern?

Hacker haben ihre Bemühungen verdoppelt, Schwachstellen zu identifizieren

Während neue Vorschriften die Datenpraktiken ins Rampenlicht gerückt und Unternehmen gezwungen haben, neue Prozesse einzusetzen, haben sie Hacker nicht abgeschreckt. Allein in den letzten sechs Monaten haben wir noch mehr Cyberkriminalität gesehen.

Magecart ist eine der bekannteren Gruppen, die für Schlagzeile um Schlagzeile sorgt, indem sie Kreditkarten-Skimming-Malware in Websites einschleust und Zahlungsdaten von Kunden stiehlt – von CVV-Codes bis hin zu Namen und Adressen. Aber lassen Sie sich nicht täuschen, dass diese Hacker nur auf große E-Commerce-Unternehmen abzielen. Erst in diesem Monat hat die Gruppe die Abonnement-Website von Forbes ins Visier genommen und die Website mit einem Magecart-JavaScript auf ihrer Checkout-Seite injiziert.

Für viele Organisationen gibt die Zunahme von Website-Angriffen Anlass zur Sorge, und die Bedrohungen werden immer raffinierter – Hacker werden immer intelligenter. Unsere neue Studie hat ergeben, dass fast 90 Prozent der Führungskräfte entweder besorgt oder sehr besorgt über die Zunahme von Datenschutzverletzungen sind. Kommentatoren argumentieren, dass diese cyberkriminellen Banden Lösungen für künstliche Intelligenz entwickeln, um die Verteidigung von Unternehmen in großem Umfang zu infiltrieren. Sie haben Recht, besorgt zu sein, da wir sicherlich davon ausgehen können, dass wir in Zukunft mehr davon sehen werden.

Viele Hacker zielen auf Unternehmen ab, die nicht über grundlegende Sicherheitsmaßnahmen verfügen. Schutz kann beispielsweise bedeuten, nicht autorisierte Technologien von Drittanbietern zu überwachen, die auf der Website eines Unternehmens aktiv sind. Unternehmen müssen auf die harte Tour lernen, dass sie eine ganzheitliche Sicht auf die Lieferkette ihrer Website haben müssen, da sie nur dann verstehen können, wo potenzielle Schwachstellen liegen. Die Datenabwehr von Unternehmen ist letztendlich nur so stark wie das schwächste Glied in ihrer Lieferkette.

Um sicher zu sein, müssen Unternehmen die Mauern einreißen, die sie gebaut haben

Websites und Apps, die von Marketingteams betreut werden, können für IT- und Sicherheitsteams einen blinden Fleck darstellen, da ihr Hauptaugenmerk traditionell auf Servern und Infrastruktur liegt. Auf diesen Marketingplattformen vertrauen Verbraucher jedoch ihre Daten an.

Viele Unternehmen haben aufgrund dieser Verwirrung um die Eigentumsverhältnisse und der mangelnden Sichtbarkeit der Website-Lieferkette die Sicherheit vernachlässigt. Das hat Ticketmaster im vergangenen Jahr bei einem Verstoß herausgefunden, bei dem Hacker Drittanbieter ins Visier genommen und schädlichen JavaScript-Code in die Zahlungsseite eingeschleust haben. Die Gemeinsamkeit dieser Bedrohung ist so groß, dass wir kürzlich festgestellt haben, dass 79,5 Prozent der Führungskräfte erkennen, dass die Integration von Drittanbietertechnologien in eine Website das Risiko von Datenlecks erhöht.

Organisationen beginnen, die schwerwiegenden Auswirkungen zu verstehen, die es mit sich bringt, diese übergreifende Sichtweise nicht zu haben, aber es gibt noch viel zu tun. Um sicherzustellen, dass diese ganzheitliche Betrachtungsweise der Sicherheit möglich ist, sind die Weiterbildung und der Aufbau von Hybridteams von entscheidender Bedeutung.

Ohne Web-Abwehr kämpfen Unternehmen auf verlorenem Posten

Ein Jahr später schlagen wir immer noch die gleiche Trommel, aber es ist wichtig, dass Unternehmen zuhören und Maßnahmen ergreifen, wenn es um die Sicherheit von Websites geht. Die einzige Möglichkeit, wie Unternehmen das Risiko eines Verstoßes mindern können, besteht darin, eine gründliche Due Diligence durchzuführen und die richtigen Vorkehrungen zu treffen – von der Auswahl eines guten Teams bis hin zur Investition in Technologielösungen.

Das Ausmaß der Bedrohungen in der gesamten Landschaft ist ein klares und offensichtliches Zeichen dafür, was Unternehmen riskieren, wenn sie dies nicht tun. Das AV-TEST Institut berichtete, dass allein im letzten Jahr 856 Millionen Malware-Varianten erstellt wurden und diese Zahl in den kommenden Monaten steigen wird.

Letztendlich wird es nicht lange dauern, bis Cyberkriminelle die Mängel einer digitalen Plattform erkennen, insbesondere einer Plattform, bei der Unternehmen nicht die Implementierung und ständige Aktualisierung strenger Sicherheitssysteme gefordert haben.

Die DSGVO hat die Probleme aufgedeckt, die vielen Unternehmen nicht einmal bewusst waren – und andere EU-Gesetze wie die zweite Zahlungsdienstrichtlinie (PSD2) werden wahrscheinlich noch weitere Enthüllungen aufdecken. Das ist langfristig eine gute Sache für Dateneigentümer und auch deren Kunden.

Es sind Unternehmen, die die Torhüter von Kundendaten sind, und diese Verantwortung muss breiter akzeptiert werden, um Hacks zu verhindern und Teams aufeinander abzustimmen, um Risiken zu mindern. Diejenigen, die dies nicht tun, werden die nächsten Opfer von Datenschutzverletzungen und müssen mit mehr Konsequenzen als nur einer saftigen Geldstrafe rechnen.