Datenschutztag 2023
CrowdStrike: Eine widersprüchliche Cybersicherheitspolitik erschwert die Datenschutzeinhaltung
Von Drew Bagley, VP & Counsel, Privacy & Cyber Policy bei CrowdStrike
Am 28. Januar wurde in Europa, den Vereinigten Staaten und in weiteren Ländern rund um die Welt der Tag des Datenschutzes begangen.
Ein Anlass, darüber nachzudenken, wo wir heutzutage hinsichtlich der Datenschutzbestimmungen stehen und in welche Richtung sie sich entwickeln werden. Es scheint, dass widersprüchliche Trends in der Cyber Security-Politik die Datenschutzbemühungen erschweren.
Die Bemühungen um den Schutz von Daten nehmen immer weiter zu. Diese Bemühungen sind zweifellos eine Reaktion auf die täglichen Nachrichten über Datenschutzverletzungen und unbefugte Datenenthüllungen. Juristen und politische Entscheidungsträger erkennen zunehmend die Notwendigkeit, die Anforderungen an Cybersicherheit im Rahmen des Datenschutzgesetzes zu berücksichtigen. Vorschläge zur Datenlokalisierung nehmen weltweit zu und können die Verbesserung des Datenschutzes bedrohen sowie die Cyber-Resilienz untergraben.
Gemeinsame Cybersicherheitsanforderungen bieten einen Fahrplan für die Einhaltung des Datenschutzes
Trotz einer scheinbar unübersichtlichen Anzahl von Datenschutzanforderungen in Form von GDPR, CCPA, APPI, Änderungen des australischen Datenschutzgesetzes und einer wachsenden Zahl von weiteren Datenschutzgesetzen der US-Bundesstaaten gibt es positive Entwicklungen für diejenigen, die ein globales Programm aufbauen wollen.
In den Regelungen werden Organisationen dazu aufgefordert, Schutzmaßnahmen zu ergreifen, die dem Risiko "angemessen" oder "vertretbar" sind. Seit Jahren wird angenommen, dass diese Anforderungen sicherstellen, dass Unternehmen die Einhaltung der Datenschutzbestimmungen nicht als einmalige Angelegenheit betrachten, sondern ihre Datenschutzmethoden entsprechend der Entwicklung von Bedrohungen und Technologien verbessern. Zu Beginn des Jahres 2023 besteht mehr Klarheit und Einigkeit als in den vergangenen Jahren darüber, was „angemessen“ oder „vertretbar“ ist. Die ENISA-Leitlinien , die Executive Order on Improving the Nation’s Cybersecurity in den USA und die neuesten Richtlinien des New York State Department of Financial Services geben Auskunft darüber, was dem Stand der Technik entsprechende Cybersicherheit ist und was nicht. Zu diesen bewährten Techniken zählen Endpoint Detection and Response, Dark Web Monitoring, Log Management, Threat Hunting und Zero Trust Identity Protection. Außerdem hat die Federal Trade Commission nach Log4Shell das Patchen von bekannten Schwachstellen als Priorität eingestuft . Die gemeinsame Anerkennung von spezifischen Cybersicherheitspraktiken gibt Fachleuten mehr Sicherheit in Bezug auf grundlegende Standards angesichts der potenziellen Durchsetzung von Gesetzen und Rechtsstreitigkeiten.
Wenn der Datenschutz die Cybersicherheit zu schmälern droht
Gleichzeitig, aber im Gegensatz zu der größeren Klarheit bei der Erfüllung der Sicherheitsanforderungen der Datenschutzgesetze, drohen die Vorschläge zur Datenlokalisierung die Prioritäten des Datenschutzes zu verschieben. Die aktuellen Trends im Bereich der Cybersicherheit machen deutlich, dass Cyberangriffe weiterhin eine erhebliche Bedrohung für die Privatsphäre darstellen. Im Wesentlichen sollen die Sicherheitsanforderungen und die empfohlenen Praktiken darauf ausgerichtet sein, den unbefugten Zugriff auf Daten zu verhindern. Allerdings gibt es weltweit viele politische Vorschläge, bisher autorisierten Zugriff, wie z. B. den Zugriff auf ein Netzwerk über verschiedene Kompetenzbereiche hinweg, zu verweigern, wodurch die Möglichkeiten der Verteidiger zum Schutz vor unbefugtem Zugriff eingeschränkt werden.
Zu den jüngsten Beispielen gehören Bestimmungen im indischen Entwurf eines Datenschutzgesetzes , der französische Entwurf einer Cybersicherheitszertifizierung, SecNumCloud , ein früher Entwurf des italienischen Präsidialdekrets zur Umsetzung der NIS 1.0., und bestimmte Auslegungen der grenzüberschreitenden Datenströme nach Schrems II, die ein Verbot der extraterritorialen Datenübermittlung zur Förderung der Datensouveränität, der Sammlung von Informationen im Inland oder industriepolitischer Ziele vorsehen. Solange diese politischen Debatten noch nicht abgeschlossen sind, besteht die Gefahr, dass Unternehmen, die sich an die gesetzlichen Vorschriften halten, nur begrenzt in der Lage sind, weltweit anerkannte Cybersecurity-Verfahren zu nutzen. Zur Verteidigung benötigen Unternehmen SaaS-Plattformen, gebündelte Sicherheitsdaten, einheitliche Transparenz im gesamten Unternehmen, zentralisiertes Log Management, die Möglichkeit, laterale Bewegungen zu verfolgen, und Dienste, die rund um die Uhr zur Verfügung stehen und unweigerlich Datenströme erfordern.
Die Ironie liegt darin, dass sich Bedrohungsakteure nicht an die Regeln halten. Verteidiger, denen es an globalen Analyse- und Threat Hunting-Lösungen mangelt, werden von Bedrohungsakteuren angegriffen, die darauf abzielen, Daten über Grenzen hinweg zu extrahieren und sich innerhalb eines globalen Netzwerks lateral zu bewegen. Mit anderen Worten: Für Unternehmen könnte ein Anreiz bestehen, den vermeintlichen Risiken ausländischer Rechtsverfahren Vorrang vor der Einhaltung inländischer Technologie-Anforderungen und praktischen Leitlinien zu geben. Glücklicherweise hat es einige positive Entwicklungen gegeben, darunter ein OECD agreement on government data access principles , das viele Bedenken der Befürworter von Datenlokalisierung ausräumen kann.
Die Herausforderungen der Cybersicherheit geben den heutigen Datenschutzanforderungen eine neue Bedeutung
Während Sicherheits- und Datenschutzexperten zusammenarbeiten, um die modernen Datenschutzstandards an die Risiken „anpassen“ und „einhalten“ zu können und politische Entscheidungsträger die Vorzüge der Datenlokalisierung abwägen, ist es wichtig zu beachten, wie unterschiedlich die heutigen Gefahren sind. Die Erpressung aufgrund von Datenlecks stellt heute eine erhebliche Bedrohung für die Privatsphäre und Sicherheit dar. Darüber hinaus sind moderne Angriffe aus einer taktischen Perspektive identitätsgesteuert und nutzen legitime Anmeldeinformationen. Weitere Trends hebt auch der Falcon OverWatch Threat Hunting Report hervor:
- 71 % aller von CrowdStrike Threat Graph® indizierten Vorfälle sind auf Aktivitäten ohne Malware zurückzuführen.
- Die Angreifer bewegen sich schnell: Die durchschnittliche Breakout Time beträgt 1 Stunde und 24 Minuten, wobei 30 Prozent der Angriffe innerhalb von 30 Minuten von einem Host auf einen anderen übergehen können.
Angesichts der Tragweite der aktuellen Angriffe und der eingesetzten Techniken müssen sich Unternehmen die Frage stellen, ob die in ihrem Netzwerk eingesetzten Sicherheitstechnologien dem Risiko angemessen sind, den heutigen rechtlichen Standards entsprechen und die gängigen Best Practices einhalten. Ebenso können solche Tatsachen in die politischen Debatten einfließen, ob bestimmte Vorschriften zu besseren Ergebnissen bei der Cybersicherheit führen würden oder nicht.
Anlässlich des Datenschutztages ist es wichtig, darüber nachzudenken, was ganzheitlicher Datenschutz bedeutet und wie wichtig Cybersicherheit ist, nicht nur für die Einhaltung von Vorschriften, sondern auch für den Schutz der Privatsphäre und der Menschenrechte. Datenschutzverletzungen stellen heute eine erhebliche Bedrohung für die Privatsphäre dar. Politische Entscheidungsträger und Regierungsbehörden können den Schutz der Privatsphäre nicht nur durch verbesserte Transparenz erhöhen, sondern mit der Einführung bewährter Verfahren den Schutz von Daten vor Angriffen optimieren. Dies sollte Priorität haben vor willkürlichen Ersatzmaßnahmen für den Datenschutz, wie der Datenlokalisierung. Moderne IT-Infrastrukturen, Cybersicherheit und Maßnahmen zur Einhaltung von Datenschutzbestimmungen sind heute von globalen Datenströmen abhängig. Die Etablierung von Rahmenbedingungen, die die Sicherheit auch für die Datenübertragung erhöhen, ist elementar, um einen ganzheitlichen Datenschutz zu erreichen.
