Datenschutz-Grundverordnung (GDPR) wird verfehlt: 44 Prozent der Unternehmen erkennen Datenlecks zu spät

Datenschutzverletzungen können 44 Prozent der Unternehmen nicht innerhalb von 72 Stunden erkennen und melden. Das offenbart der aktuelle CSI-Report von Balabit, einem Anbieter von Contextual-Security-Technologien.

Péter Gyöngyösi, Product Manager von Blindspotter bei Balabit
(Foto: Balabit)

Die Meldefrist von 72 Stunden tritt mit der neuen Datenschutz-Grundverordnung (General Data Protection Regulation) in Kraft und gilt für Mitgliedsstaaten der EU. Bei Verstoß riskieren sie Strafen in Höhe von bis zu vier Prozent ihres Jahresumsatzes.

Zwar haben derzeit 75 Prozent der Unternehmen einen Zeitrahmen fixiert, in dem IT-Sicherheitsvorfälle untersucht werden müssen. Doch fast die Hälfte der befragten IT- und Sicherheitsfachleute mussten einräumen, dass sie diese Fristen nicht einhalten können - trotz der strikten Vorgaben der General Data Protection Regulation (GDPR) und weiterer Compliance-Regelungen. Rund sieben Prozent der Unternehmen wurden aus diesem Grund bereits bestraft oder mussten wegen Verstößen gegen Compliance-Vorgaben Sanktionen hinnehmen.

»Der Hauptgrund für diese Versäumnisse liegt darin, dass Unternehmen vorliegende Daten nur in unzureichendem Maße auswerten und interpretieren können«, erklärt Péter Gyöngyösi, Product Manager von Blindspotter bei Balabit. »Mit den eingesetzten Tools ist es schlichtweg nicht möglich, die relevanten Informationen in unstrukturierten oder umfangreichen Datenbeständen aufzuspüren. IT- und Sicherheitsfachleuten fehlen demnach kontextbezogene Daten, die aber notwendig sind, um tiefer reichende Analysen durchzuführen und aus Datenbergen verwertbare Informationen zu machen«.

Besonders drastische Datenlecks, etwa bei Yahoo oder dem Seitensprung-Portal Ashley-Madison, stoßen auf eine breite Resonanz in der Öffentlichkeit. Allerdings, wie die Ergebnisse der Balabit-Studie zeigen, gibt es noch zu viele Grauzonen bei der Meldung von Datenschutzverletzungen. Zum Beispiel werden Ransomware-Attacken meist nicht gemeldet, wenn Lösegeld gezahlt und keine Daten gestohlen wurden. Dies geschieht teils mit Absicht, um den guten Ruf zu wahren und wirtschaftlichen Schaden abzuwenden, teils unwissentlich, teils aus purer Hilflosigkeit heraus.

Balabit zufolge waren bislang rund 30 Prozent der Organisationen nicht dazu verpflichtet, Vorfälle im Bereich IT-Sicherheit den zuständigen Behörden zu melden. Von den 70 Prozent meldepflichtigen Firmen existieren bei 25 Prozent keinerlei Vorgaben, bis wann sie solche Vorkommnisse zur Kenntnis bringen müssen. Doch das ändert sich mit der Datenschutz-Grundverordnung. Sie wird nach einer Übergangsfrist von zwei Jahren am 25. Mai 2018 für Unternehmen und Behörden anwendbar und betrifft alle Unternehmen, die in der EU personenbezogene Daten verarbeiten oder mit Firmen aus der EU Geschäfte machen. Die neuen Regelungen sehen vor, dass Unternehmen Datenpannen, bei denen personenbezogene Informationen involviert sind, innerhalb von 72 Stunden melden müssen. Sonst laufen sie Gefahr, eine Strafe in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bezahlen zu müssen.

Balabit befragte im Rahmen der Untersuchung während der RSA Conference 2016 USA in San Francisco 108 IT- und Sicherheitsexperten. Es handelte sich um CIOs, Chief Information Security Officer (CISO) und Auditoren von Unternehmen und Einrichtungen aus unterschiedlichen Branchen. Dazu zählen der IT- und IT-Sicherheitsbereich, der Finanzsektor, das Gesundheitswesen und staatliche Einrichtungen.