DIESER BLOG BASIERT AUF EINEM ARTIKEL VON SIMON PAMPLIN, CTO, CERTES NETWORKS
In der heutigen digitalen Landschaft sind Datenschutzverletzungen für Unternehmen aller Größenordnungen zur bitteren Realität geworden. Da die Cyberkriminellen immer raffinierter werden, ist es nur noch eine Frage der Zeit, wann und nicht mehr, ob es zu einer Datenpanne kommt. Umso wichtiger ist es für Unternehmen und ihre Managed Service Provider (MSPs), sich über ihre jeweiligen Verantwortlichkeiten im Bereich der Cybersicherheit im Klaren zu sein, insbesondere wenn es darum geht, die finanzielle Last zu tragen.
Jüngsten Untersuchungen zufolge sind jedoch sowohl Unternehmen als auch MSPs alarmierend unsicher, was ihre rechtlichen und finanziellen Verpflichtungen im Falle einer Datenverletzung angeht. Die Vertragssprache ist oft unklar, was Raum für rechtliche Auseinandersetzungen lässt und beide Parteien erheblichen Risiken aussetzt. Wenn es zu einer Datenschutzverletzung kommt und vertrauliche Informationen preisgegeben werden, geht am Ende keine Partei als Gewinner hervor.
Wie Simon Pamplin, CTO von Certes Networks, betont, sind Schuldzuweisungen nicht die Lösung. Stattdessen sollte der Schutz der Daten selbst oberste Priorität haben, um sicherzustellen, dass selbst dann, wenn es einem Cyberangreifer gelingt, die Verteidigungsmaßnahmen zu durchbrechen, nichts zu sehen und nichts zu gewinnen ist. Dies bedeutet, dass ein proaktiver Ansatz zur Sicherung sensibler Daten verfolgt werden muss, einschließlich der Implementierung einer starken Verschlüsselung, Zugangskontrollen und anderer fortschrittlicher Sicherheitsmaßnahmen, die die Auswirkungen einer potenziellen Datenverletzung abschwächen können.
Letztlich liegt der Schlüssel zu erfolgreicher Cybersicherheit in einer klaren Kommunikation und Zusammenarbeit zwischen Unternehmen und ihren MSPs. Durch die Zusammenarbeit bei der Festlegung klarer Erwartungen und Zuständigkeiten sowie durch die Umsetzung solider Sicherheitsmaßnahmen können Unternehmen das Risiko einer Datenschutzverletzung verringern und die Auswirkungen minimieren, falls es doch zu einer Verletzung kommt.
Finanzielle Belastung
Die finanzielle Belastung durch eine Datenschutzverletzung kann erheblich sein, nicht nur im Hinblick auf die direkten finanziellen Kosten, sondern auch auf den potenziellen Imageschaden für ein Unternehmen. Jüngste Untersuchungen haben leider ergeben, dass sich viele Unternehmen ihrer rechtlichen und finanziellen Verpflichtungen im Zusammenhang mit Verstößen gegen die Cybersicherheit nicht vollständig bewusst sind.
In einer von Sapio Research im Auftrag von Certes Networks durchgeführten Umfrage wurde festgestellt, dass eine beträchtliche Anzahl von Unternehmen ihre Cybersecurity-Verantwortlichkeiten einfach an IT-Service-Provider (ITSPs) oder Managed Services Provider (MSPs) auslagert. Im Falle einer Datenschutzverletzung erwarten diese Unternehmen, dass ihr ITSP oder MSP den Großteil der finanziellen Kosten übernimmt.
Der Umfrage zufolge erwarten 48 % der Unternehmen, die Drittanbieter mit der Umsetzung von Sicherheitsrichtlinien beauftragen, dass ihr ITSP die Kosten im Falle einer Datenverletzung übernimmt. Erstaunlicherweise halten sich 73 % der ITSP selbst für die Zahlung von Bußgeldern und Schadensersatz verantwortlich und sind der Meinung, dass sie 51 % der Kosten tragen sollten.
Diese Unklarheit und der Mangel an Klarheit in Bezug auf die finanzielle Verantwortung und die rechtlichen Verpflichtungen geben Anlass zu großer Sorge. Anstatt die Schuld auf ITSPs und MSPs abzuwälzen, sollten Unternehmen den Schutz ihrer sensiblen Daten in den Vordergrund stellen, um Sicherheitsverletzungen von vornherein zu verhindern.
Wie Simon betont, sollte der Schwerpunkt auf der Implementierung robuster Sicherheitsmaßnahmen liegen, um sicherzustellen, dass selbst wenn es einem Angreifer gelingt, in das System einzudringen, er nichts zu sehen und nichts zu gewinnen hat. Dies schützt nicht nur die sensiblen Daten des Unternehmens, sondern trägt auch dazu bei, die finanziellen Auswirkungen eines möglichen Verstoßes zu minimieren.
Zusammenfassend lässt sich sagen, dass Unternehmen es sich nicht leisten können, ihre Verantwortung für die Cybersicherheit vollständig an ITSPs und MSPs auszulagern. Für Unternehmen ist es wichtig, ihre rechtlichen und finanziellen Verpflichtungen zu kennen und proaktive Schritte zum Schutz ihrer sensiblen Daten zu unternehmen, um die finanziellen Auswirkungen möglicher Datenschutzverletzungen zu minimieren.
Die Frage der Verantwortung für Datenschutzverletzungen ist ein rechtliches und regulatorisches Minenfeld. Viele Unternehmen verlassen sich darauf, dass IT-Dienstleister (ITSPs) oder Managed Services Provider (MSPs) die Verantwortung für die finanziellen Kosten im Zusammenhang mit Datenschutzverletzungen übernehmen. Jüngste Untersuchungen haben jedoch gezeigt, dass es an Klarheit über die Verpflichtungen beider Parteien mangelt.
Das Problem wird dadurch verschärft, dass leitende Angestellte, die persönlich für die Einhaltung der Datenschutzbestimmungen verantwortlich sind, ihre Verantwortung nicht an externe Dienstleister abtreten können. Dies wirft die Frage auf, ob solche Vereinbarungen einer behördlichen Überprüfung standhalten.
Um rechtliche und finanzielle Schwierigkeiten zu vermeiden, ist es für Unternehmen wichtig, sich über ihre Verantwortlichkeiten im Klaren zu sein und eng mit ihren ITSPs oder MSPs zusammenzuarbeiten, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen ergriffen werden. Letztlich liegt die Verantwortung für den Schutz sensibler Daten beim Unternehmen, und es ist wichtig, eine aktive Rolle beim Schutz dieser Informationen zu übernehmen.
Es ist naiv zu erwarten, dass ein Experte für Netzsicherheitsinfrastrukturen die finanziellen und rufschädigenden Auswirkungen einer Datenschutzverletzung vollständig versteht. Das fällt nicht in ihren Zuständigkeitsbereich. Sie sind für die Leistung der Infrastruktur verantwortlich – nicht für den Wert oder die Sicherheit der Unternehmensdaten.
Simon Pamplin, CTO, Certes Networks
Endemische Fehlwahrnehmung
Der Rückgriff auf einen MSP oder ITSP scheint eine gute Möglichkeit zu sein, den Zero-Trust-Ansatz zu unterstützen und die Verantwortung für die Richtlinien von der Systemverwaltung zu trennen. Jede Sicherheitsmaßnahme muss jedoch vom Standpunkt des Unternehmens aus definiert werden, um die Sensibilität bestimmter Datensätze zu berücksichtigen. Indem die Verantwortung auf den MSP übertragen wird, wird die gesamte Sicherheitslage von einem Netzwerksicherheitsteam definiert und bereitgestellt, was zu einem deutlichen Mangel an Aufgabentrennung führen kann.
Dieser Ansatz kann dazu führen, dass vertragliche Vereinbarungen bedeutungslos werden, wenn eine Aufsichtsbehörde das Fehlen der Aufgabentrennung hart angreift. Außerdem ist der Eigentümer der Daten rechtlich gesehen verantwortlich und haftbar für jede Datenverletzung. Unternehmen, die glauben, dass der MSP oder ITSP für die Kosten aufkommen wird, werden daher wahrscheinlich eine böse Überraschung erleben.
Diese Wahrnehmung zeigt, dass viel zu viele Unternehmen die wahren Auswirkungen der Datensicherheit nicht auf der richtigen Ebene berücksichtigen. Datenschutz- und Compliance-Beauftragte sowie leitende Angestellte können persönlich für den Schutz sensibler Unternehmens-, Kunden- und Partnerdaten, die in diese Entscheidungen einfließen, verantwortlich sein. Daher ist es wichtig zu prüfen, ob die Beauftragung eines MSP durch das Netzwerksicherheitsteam mit der Bereitstellung eines SD-WAN ein angemessener Ansatz für Datenschutz und Compliance ist.
Geforderte Schutzmaßnahmen
Die Verantwortung für den Schutz sensibler Daten kann nicht allein auf die Schultern eines Experten für Netzsicherheitsinfrastrukturen gelegt werden. Sie sind zwar für die Leistung der Infrastruktur, nicht aber für den Wert oder die Sicherheit der Unternehmensdaten verantwortlich. Es ist wichtig, dass Unternehmen die Verantwortung für ihre Daten übernehmen und verlangen, dass ihr MSP oder ITSP ein zusätzliches Maß an Datenschutz bietet. Anstatt sich nur auf die Netzwerkinfrastruktur zu verlassen, sollten Unternehmen einen MSP suchen, der spezielle Sicherheitsmaßnahmen zum Schutz ihrer Daten anbietet. Auf diese Weise können Unternehmen die Gewissheit erlangen, dass ihre Daten sicher sind und den Vorschriften entsprechen.
Anstatt Schuldzuweisungen zu machen, muss die Priorität auf dem Schutz der Daten liegen, um sicherzustellen, dass selbst wenn ein Angreifer einbricht, nichts zu sehen und nichts zu gewinnen ist.
Simon Pamplin, CTO, Certes Networks
Die richtlinienbasierte Layer-4-Verschlüsselung ist eine wirksame Lösung zum Schutz von Daten während der Übertragung. Da nur die Nutzdaten verschlüsselt werden, während die Kopfdaten unverschlüsselt bleiben, werden die Netzdienste und Anwendungen nur minimal gestört. Darüber hinaus bietet dieser Ansatz eine klare Trennung zwischen der Festlegung von Richtlinien und der Systemverwaltung, so dass die Verschlüsselungsrichtlinien auf der Sensibilität der Unternehmensdaten basieren können. Davon profitieren nicht nur die Datenverantwortlichen, sondern auch die Netzwerksicherheitsteams, da sie in der Lage sind, die Leistung der Infrastruktur aufrechtzuerhalten und gleichzeitig sicherzustellen, dass sensible Daten geschützt bleiben. Insgesamt ist die richtlinienbasierte Layer-4-Verschlüsselung eine Win-Win-Lösung für beide Seiten.
Schlussfolgerung
Die jüngste von Sapio Research im Auftrag von Certes Networks durchgeführte Studie zeigt, dass die Frage, wer die finanziellen Kosten und die rechtliche Verantwortung im Falle eines Datenschutzverstoßes trägt, sowohl für Unternehmen als auch für ITSPs/MSPs ein wichtiges Anliegen ist. Dies ist ein wichtiges Thema, da beide Parteien mit langfristigen geschäftlichen Konsequenzen zu rechnen haben, die verheerend sein können.
Um solche Risiken zu vermeiden, müssen die Unternehmen einen anderen Ansatz wählen und eine zusätzliche Ebene des Datenschutzes verlangen. Mit der richtlinienbasierten Verschlüsselung auf Layer 4 wird sichergestellt, dass die Nutzdaten auf ihrem gesamten Weg geschützt sind, wobei nur die Nutzdaten verschlüsselt werden und die Kopfdaten unverschlüsselt bleiben. Dieser Ansatz minimiert die Unterbrechung von Netzwerkdiensten oder Anwendungen und ermöglicht eine klare Trennung zwischen der Festlegung von Richtlinien und der Systemverwaltung.
Die Unternehmen müssen die Verantwortung für ihre Daten übernehmen und verlangen, dass der MSP oder ITSP eine weitere Ebene des Datenschutzes bietet. Damit verlässt sich das Unternehmen nicht mehr auf einen Dritten, um seine Daten zu schützen, sondern übernimmt selbst die Verantwortung. Dieser Ansatz beseitigt nicht nur die Frage der Schuld oder der Kosten, sondern sichert auch die Daten über die gesamte vom MSP oder ITSP bereitgestellte Infrastruktur.
Klicken Sie hier
um zu lesen, wie Layer 4 Krypto-Segmentierung und Datensicherheit Ihre Daten und letztendlich Ihr Unternehmen schützen werden