Von Myles Bray, Vice President EMEA, ForeScout

Weniger als drei Wochen vor dem Stichtag sind erst ein Drittel aller Unternehmen für die DSGVO gerüstet. Mittlerweile dürften sich zwar alle Unternehmen bewusst ein, welche Bedeutung diese Verordnung hat und wie sie sich auf die eigene Geschäftstätigkeit auswirken wird. Tatsache ist jedoch: Wenn sich Unternehmen jetzt erst mit der Frage befassen, wie sie die DSGVO einhalten können, werden sie bis zum 25. Mai kaum konform sein. Datenschutzverstöße sind jedoch unvermeidlich, und was wird mit einem nicht DSGVO-konformen Unternehmen geschehen, wenn es eine gravierende Datenpanne erleidet?

Stellt man sich ein FTSE-100-Unternehmen vor, mit Niederlassungen in allen Teilen der Welt und einem Umsatz von mehr als 1 Milliarde Euro, und betrachtet man anhand dieses Beispiels, welche Folgen eine solche Datenpanne vor dem Hintergrund der Security Verordnung DSGVO haben wird. Dabei wird man sich auch mit einigen möglichen Gründen beschäftigen, die zu einem solchen Vorfall führen können, und fragen, was das Unternehmen hätte tun können, um sich zu schützen (abgesehen davon, eben DSGVO-konform zu sein).

Schneller Vorlauf zum Juli 2018: Die DSGVO ist seit zwei Monaten verbindlich, und bis jetzt hat sich noch in keinem globalen Unternehmen ein Datenschutzverstoß ereignet – oder jedenfalls keiner, über den die Öffentlichkeit informiert wurde. Jetzt jedoch wird bekannt, dass vor einem Monat in das Netzwerk eines FTSE-100-Unternehmens eingebrochen wurde und das Unternehmen seine Kunden nicht verständigt hat. Und schlimmer noch: Es stellt sich heraus, dass das Unternehmen die DSGVO nicht vollständig eingehalten hat. So muss das Unternehmen jetzt nicht nur große Summen aufwenden, um die Kontrolle über sein Netzwerk zurückzugewinnen – auch das Vertrauen der Kunden wird leiden, und höchstwahrscheinlich wird auch der Aktienkurs des Unternehmens abstürzen.

Wer sich nicht vorbereitet, bereitet seinen Untergang vor

Vorbereitung ist das A und O, um solch zusätzliche finanzielle Konsequenzen im Fall einer Security Verletzung zu vermeiden. Der vielleicht schwierigste Schritt zur DSGVO-Compliance ist der erste: alle vorhandenen Daten zu identifizieren und zu lokalisieren, damit jedes einzelne Gerät, das Zugriff auf sie hat, angemessen geschützt werden kann. In einem großen Unternehmen mit Niederlassungen auf der ganzen Welt ist das viel leichter gesagt als getan. Gerade bei FTSE-100-Unternehmen sind sensible personenbezogene Daten auf Unmengen von Geräten gespeichert, die über große Netzwerke und unterschiedliche geografische Regionen verteilt sind.

Wenn sich beispielsweise ein Mitarbeiter in London mit seinem privaten Smartphone im Firmensystem anmeldet und das Gerät in irgendeiner Weise kompromittiert ist, dann könnte dieses Gerät missbraucht werden, um sensible Daten im gesamten globalen Netzwerk zu stehlen. Selbst ein vernetzter Drucker oder eine Smartwatch kann Übeltätern als Einfallstor ins Netz dienen. Und da es laut Prognosen von Gartner bis 2020 mehr als 20 Milliarden vernetzte Geräte geben wird und 25 % aller Cyberangriffe auf Unternehmen mit Geräten aus dem Internet der Dinge (IoT) ausgeführt werden, ist diese Bedrohung für Unternehmen nur allzu real.

Höchstwahrscheinlich hat das betroffene FTSE-100-Unternehmen auch seine Sicherheitspatches noch manuell aktualisiert, statt dieses Verfahren zu automatisieren. Das bietet Angreifern beste Chancen, bekannte Schwachstellen in überholter Software auszunützen und auf diese Weise ins Netzwerk zu gelangen. 80 % aller Cyberangriffe zielen auf bereits bekannte Sicherheitslücken ab . Unternehmen müssen sich deshalb der Komplexitäten der Datenverarbeitung vollständig bewusst werden und angemessene Maßnahmen treffen. Sobald alle Geräte identifiziert wurden, muss ein automatisiertes Verfahren eingerichtet werden, das gewährleistet, dass ein Gerät nur dann ins Unternehmensnetz gelangen kann, wenn es über die aktuellste Software verfügt, einschließlich der neuesten Sicherheits-Patches. Auf diese Weise macht man Cyberkriminellen nicht nur die Tür vor der Nase zu, sondern sperrt sie dauerhaft aus. Fakt ist, dass sich kein Unternehmen jemals hundertprozentig vor Datendiebstahl schützen kann. Doch wenn die Zahl der potenziellen Einfallspunkte verringert wird und alle Aktivitäten auf sämtlichen Geräten im Netzwerk sichtbar und transparent gemacht werden, können Sicherheitsverletzungen durch eingedrungene Cyberkriminelle eingedämmt und der Schaden begrenzt werden.

Nachwirkungen und Prüfung der DSGVO-Compliance

Die Nachwirkungen der Sicherheitspanne in unserem Beispiel dürften erheblich sein. Nicht nur hat das Unternehmen es versäumt, sich angemessen vor Cyberangriffen zu schützen, es hat den Vorfall auch nicht innerhalb der 72-stündigen Gnadenfrist ermittelt und gemeldet, die die DSGVO unter solchen Umständen gewährt. Deshalb werden die zuständigen Behörden das Unternehmen jetzt wahrscheinlich intensiv unter die Lupe nehmen und ihm dann eine Geldbuße auferlegen, deren Höhe von der Schwere des Datenschutzverstoßes abhängt.

Bei einer gravierenden Verletzung der Datensicherheit könnte diese Geldbuße bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist. Bei einem FTSE-100-Unternehmen wird mit größter Wahrscheinlichkeit die erstere Summe die höhere sein. Der durchschnittliche prozentuale Gewinn von FTSE-100-Unternehmen belief sich im 4. Quartal 2017 auf 5,7 % des weltweiten Umsatzes. Das heißt: Wenn das Unternehmen aus dem Beispiel eine Geldstrafe in Höhe von 4 % des Umsatzes zahlen muss, kann dies den Gewinn eines ganzen Jahres verschlingen. Außerdem dürfen auch die Auswirkungen auf den Ruf des Unternehmens nicht außer Acht gelassen werden. Bei einer Verletzung des Datenschutzes werden viele Kunden zu einem anderen Anbieter wechseln wollen. Kommen noch verstärkte Beobachtung durch die Öffentlichkeit sowie die DSGVO-Untersuchungen der Behörden hinzu, so werden die Kunden das Vertrauen völlig verlieren. Dies allein kann schon ausreichen, um ein Unternehmen über kurz oder lang zu ruinieren, selbst wenn es keine hohe Geldbuße zahlen muss.

Doch wenngleich dieses potenzielle Alptraum-Szenario für Unternehmen schon in naher Zukunft eintreten könnte, lautet die wichtigste Botschaft: Es lässt sich vermeiden. Wenn Unternehmen ihre Vorbereitungen auf die DSGVO ernst nehmen und angemessene Sicherheitsvorkehrungen treffen, ist die Wahrscheinlichkeit einer künftigen Datenschutzverletzung diesen Ausmaßes ziemlich gering. Die DSGVO ist zwar kein Zauberstab, der die Cyberbedrohungen einfach verschwinden lassen kann, doch sie wird Unternehmen dazu zwingen, sicherheitsbewusster zu werden und sich besser gegen Cyberangriffe zu wappnen.