Am 28. Februar steht der Datenschutztag an. Führende Experten äußern ihre Meinung zur Bedeutung des Datenschutzes in der modernen Welt. (English Version below).
Der Europäische Datenschutztag soll für die Sicherheit von Daten und Informationen sensibilisieren. In einer Welt, in der die Grenzen zwischen Offline- und Online-Leben immer mehr verschwimmen, ist Aufklärung darüber, wie wir Daten richtig nutzen und schützen wichtiger denn je. Allerdings gibt es unterschiedliche Meinung, ob an diesem Tag die Data Protection im amerikanischen Sinn oder der deutsche Datenschutz (englisch Privacy) im Vordergrund stehen sollte. Hier die Einschätzung von Experten:
Arne Jacobsen, Director Sales EMEA bei Aqua Security:
„Datenschutz und Datensicherheit auch für Cloud Native Applications“
„Unternehmen sammeln, speichern und verwalten mehr Daten als je zuvor. Diese zu schützen war einst relativ einfach, als alle Daten einer Organisation noch auf dem einzigen NAS im Rechenzentrum gespeichert waren. Heute ist dies ungleich schwerer. Denn Daten finden sich heute verteilt auf zahlreichen unterschiedlichen Systemen, in mehreren Clouds oder sogar am Edge. Um Kosten einzusparen und weiter innovativ zu bleiben, setzen Unternehmen weiterhin auf Digitalisierung – und bei der Verlagerung ihrer Workloads in die Public Cloud auf Cloud Native Applications.
Um die Sicherheit auch für diese Workloads zu garantieren, benötigen Security-Teams jedoch neue Fähigkeiten und Technologien. Cloud Native Workloads lassen sich eben nicht mit veralteten Ansätzen für physische oder virtuelle Workloads absichern. Um Datenschutz und Datensicherheit zu garantieren, kämpfen Unternehmen an vielen Fronten. Diejenigen, die auf Cloud Native Applications setzen, müssen diese Workloads und Daten auch zwingend mit für diese Workloads entwickelter Cloud Native Security absichern. Hierfür bieten sich für diesen Zweck entwickelte CNAPPs (Cloud Native Application Protection Platform) an.“
***
Emmanuel Methivier, Business Program Director and Catalyst, Axway
„Datenschutzvorgaben bilden das ausgleichende Element zwischen Benutzererfahrung und Sicherheit“
„Digitalisierung hat die Verarbeitungsgeschwindigkeit von Daten exponentiell beschleunigt. In der virtuellen Welt ist es eine Selbstverständlichkeit, unverzüglich und mit minimalem Aufwand von überall mit Personen und Unternehmen auf der ganzen Welt in Kontakt zu treten. Nahtlose Prozesse und Benutzerzentrierung eröffnen Unternehmen weitreichende und vielfältige Gestaltungsmöglichkeiten der Produkt- und Serviceerfahrung ihrer Kunden. Soziale Netzwerke, Musik- und Video-Streamingdienste, Online-Shopping, Payment, Banking, und Mobilitätsservices sind nur einige der zahlreichen Anwendungen, die fester Bestandteil des Alltags von Verbrauchern geworden sind.
Das anhaltende Wachstum der Digitalwirtschaft spiegelt sich auch im Datenvolumen wider: Schätzungsweise mehr als 50 Zettabytes an Daten werden jährlich weltweit generiert, verarbeitet und transferiert, Tendenz weiterhin stark steigend. Die einzigartig hohe Qualität der Benutzererfahrung hat jedoch eine Kehrseite: Durch die digitale Vernetzung sind Daten einem überaus hohen Risiko für Offenlegung, Verlust oder Diebstahl ausgesetzt, die Sicherheitsvorkehrungen jedoch manchmal unzureichend, nicht zuletzt deshalb, weil Unternehmen die Benutzererfahrung nicht durch rigide Sicherheitsvorkehrungen beeinträchtigen möchten. Dieses Tauziehen zwischen Benutzerfreundlichkeit und Sicherheit birgt für die eigentlichen Besitzer der Daten die Gefahr verletzter Vertraulichkeit und Privatsphäre. Datenschutzbestimmungen, wie zum Beispiel die DSGVO, sorgen dafür, dass die Rechte von Personen in der digitalen Welt abgebildet und durchgesetzt werden. Sie rufen Unternehmen dazu auf, die technischen Möglichkeiten zum Absichern von Daten zu erweitern und bilden somit das Element, das Benutzererfahrung und Sicherheit miteinander in Einklang bringt.“
***
Charles Smith, Consultant Solution Engineer, Data Protection, Barracuda Networks
„Viele Angreifer haben es auch auf Backups abgesehen.“
„Der Datenschutz ist für Unternehmen aus zwei Gründen von entscheidender Bedeutung. Erstens müssen Unternehmen sicherstellen, dass Kunden- und Unternehmensdaten, einschließlich wertvoller geistiger Eigentumsrechte und Finanzdaten, sicher und geschützt sind und den nationalen und internationalen Datenschutzbestimmungen entsprechen, wie z. B. der DSGVO in Europa. Andernfalls drohen im Falle einer Datenpanne hohe Geldstrafen, der Verlust des Kundenvertrauens und eine Schädigung des Markenrufs. Die Geheimhaltung von Daten hilft auch, der Gefahr von Datendiebstahl und Ransomware-Angriffen zu begegnen. Ransomware-Angriffe entwickeln sich weiter, und Cyberkriminelle stehlen oft Daten und drohen damit, sie offenzulegen, wenn die Lösegeldforderung nicht bezahlt wird, wodurch ebenfalls finanzielle Verluste und Rufschädigung drohen. Es muss sichergestellt werden, dass alle Datentypen mit einer Ende-zu-Ende-Verschlüsselung geschützt sind. Die gleiche Verschlüsselung ist auch für gesicherte Daten wichtig, denn viele Angreifer haben es auch auf Backups abgesehen.“
***
Chris Meidinger, Technical Director, EMEA, Beyond Identity
„Daten schützen: Passwörter abschaffen“
„Die Flut erfolgreicher Angriffe macht deutlich, dass sich keine effektive Datensicherheit mehr auf Passwörtern aufbauen lässt. Passwörter sind des Cyberkriminellen bester Freund: Bei knapp 70 Prozent der Sicherheitsvorfälle in EMEA wurden entwendete Anmeldedaten missbraucht, zeigt der aktuelle Data Breach Investigations Report von Verizon.
Mit gekaperten Passwörtern – egal, ob abgegriffen via einfachen Social-Engineering-Techniken, ausgefeilten Phishing-Angriffen oder direkt aus dem Arbeitsspeicher – spazieren Cyberkriminelle durch die Vordertür in Unternehmensnetzwerke hinein. Um sich und ihre Daten zu schützen, haben zwar viele Unternehmen zusätzliche Maßnahmen wie Multi-Faktor-Authentisierung (MFA) eingesetzt, aber das Resultat ist lediglich ein weiterer Arbeitsschritt für den Angreifer. Cyberkriminelle müssen bei traditioneller MFA neben dem klassischen Passwort nur noch einen MFA-Code klauen oder gegebenenfalls den User zu einem Klick im richtigen Moment bewegen. Mittlerweile haben effektive Hacker diese Angriffsschritte standardisiert.
Wirksamer, langfristiger Schutz von Unternehmensdaten erfordert die strategische Abschaffung klassischer Passwörter. Viele IT-Verantwortliche wählen den Ansatz, den Anteil an Anmeldungen mittels Passwort schrittweise zu reduzieren. Ein guter Anfang ist dort gemacht, wo Angreifer besonders leichtes Spiel haben, weil sie häufig nur ein gestohlenes Passwort von sensiblen Daten entfernt sind: Bei SaaS- und Cloud-Apps. Gerade bei Salesforce oder Microsoft 365 handelt es sich oft um besonders schützenswerte Daten.
Zur Umsetzung bewähren sich die offenen Standards der FIDO (Fast IDentity Online) Alliance. Die gängigen, verwundbaren MFA-Techniken – egal ob Einmal-Passwörter/TOTP, Push-Nachrichten, SMS oder Magic-Links – sind obsolet. Eine Anmeldung auf Basis von FIDO zeichnet sich als passwortlos und Phishing-resistent aus. Werden weitere Kontextdaten herangezogen, können Zugänge kontextuell und risikobasiert gewährt und gekappt werden. MDM-, EDR-, XDR-, VPN- und sonstige Systeme sind oft bereits im Unternehmen vorhanden und produzieren wertvolle Daten, die sich hierfür optimal eignen. So bildet sich am Ende eine Zero-Trust-Authentisierung. Verlässliche Identitäten sind absolut erforderlich für Zero Trust und eine der Grundsäulen effektiver, moderner Datensicherheit.“
***
Bogdan Botezatu, Director Threat Research & Reporting bei Bitdefender
„Wer Identitäten schützt, schützt Daten“
„Datenschutz ist nicht nur Aufgabe des Staates, der Behörden oder der IT-Anbieter. Auch professionelle Nutzer und der Normalverbraucher stehen in der Pflicht. Der Schutz von Zugangsdaten spielt dabei eine zentrale Rolle, weil Cyberkriminelle in ihnen zutreffend den ersten Türöffner für den Zugriff auf sensible Informationen sehen: Zum Ausnutzen von gekaperten digitalen Identitäten für weitere Cyber-Spionage, als Anlass für einen Erpressungsversuch durch deren Veröffentlichung oder als Ausgangspunkt für betrügerische Aktionen.
Eine Umfrage von Bitdefender unter 1.000 deutschen Endverbrauchern aus dem Jahr 2022 zeigt, dass der notwendige Identitätsschutz bei der Cyberabwehr von den Anwendern nicht immer mitgedacht wird. Dezidierte Tools zum Schutz der Privatheit sehen viele Verbraucher offenbar bisher als nicht so wichtig an. 57 Prozent der Befragten nutzen zwar allgemeine Online-Sicherheits- oder Antiviruslösungen – schon das ist wenig. Spezifische Funktionalitäten gehören aber bei deutlich weniger Befragten zum IT-Sicherheitsrepertoire: Nur 31 % verwendeten einen Password Manager, ganze 13 % eine Lösung gegen Identitätsdiebstahl und 12 % einen dezidierten Dienst, um digitale Identitäten oder Daten zu schützen.
An der Notwendigkeit solcher Tools besteht kein Zweifel. Vehikel für den Identitätsdiebstahl ist und bleibt opportunistisches oder gezieltes Phishing – sei es über Mail, soziale Chatdienste oder SMS. Zugangsdaten über bösartige Links zu erspähen ist das Mittel der Wahl für die Betreiber von Phishing-Kampagnen. Die Angriffe richten sich sowohl gegen private wie professionelle Anwender, Systeme und Daten.
Cybersicherheitslösungen für Privatanwender, die etwa deren digitalen Fußabdruck überprüfen und Handlungsempfehlungen zum Schutz der digitalen Identität geben, aber auch für Unternehmen, wie (Extended) Endpoint Detection and Response (XDR), unterstützten die Abwehr und sind dabei unerlässlich. Aber auch die Aufmerksamkeit des menschlichen Anwenders bleibt entscheidend. Denn der Anwender übernimmt letztlich den aktiven Part, um einen Link zu öffnen und den Download bösartigen Codes zu starten. Eine angemessene Technologie und gesunder Menschenverstand bieten hinreichenden Schutz. Datenschutz ist also auch Privatsache.“
***
Paul Smit, Director Professional Services bei ForeNova
„Datenschutz muss am richtigen Ort und zur richtigen Zeit geschehen“
„Datenschutz ist eine gesellschaftliche, geopolitische und wirtschaftliche Aufgabe für die IT-Sicherheitsverantwortlichen privater und staatlicher Organisationen. Nach Profit strebende Cyberkriminelle suchen auch deshalb mittlerweile Zugang zu sensiblen Daten: Ransomware-Akteure erpressen hohe Lösegelder, weil die Opfer den Pflichten des Datenschutzes nachkommen müssen. Einer Umfrage von ForeNova und von Cybersecurity Insiders unter 236 professionellen Anwendern in den USA und Kanada von 2022 zufolge war jedes dritte Unternehmen von Ransomware betroffen. In 18 Prozent dieser Fälle drohten die Angreifer damit, Daten offenzulegen.
Diese Angriffe mit einer gezielten Exfiltration als wirksame Drohkulisse erfordern eine mehrstufige Vorbereitung wie Infektion eines Systems, Vernetzen mit einem Command-and-Control-Server und die Suche nach Inhalten, die ein Lösegeld notwendig machen. Daher braucht die Opfer-IT eine gestaffelte mehrstufige Abwehr: Eine Säule ist dabei das Monitoring des Datenverkehrs im Netz, das die Manöver der Hacker frühzeitig erkennt. Diese unscheinbaren Indizien zu entdecken ist wichtig, da sich häufig ein Malware-Code im Rahmen einer APT-Attacke nach Infektion des Systems erst einmal unauffällig verhält. Fileless-Malware-Angreifer tarnen ihre Aktionen mit legitimen Tools. Auch dieses Vorgehen erzeugt Spuren im Datenverkehr. Eine weitere Säule ist der Schutz am Endpunkt. Diese Systeme verhindern oder stoppen vor Ort die laufende Exfiltration. Künstliche Intelligenz erkennt kleine abweichende Muster von Datenverkehr im Netzwerk oder von Systemverhalten am Endpunkt.
Nicht weniger wichtig ist eine selber datenschutzkonforme Cyberabwehr: Eine Network Detection and Response analysiert in Echtzeit nur die Metadaten eines Netzverkehrs – nicht die Inhalte. Solche Analysen können in einem Rechenzentrum eines Dienstleisters in Europa erfolgen. Auch eine EDR entfaltet seinen Schutz, ohne den Datencontent im Blick zu haben – etwa durch das automatische Erkennen von Malware-Signaturen oder -Verhalten. Wenn Inhalte einer Phishing-Mail auf Malware hindeuten, agiert die EDR wohl in einem berechtigten Interesse des Unternehmens.“
***
Michael Kretschmer, Vice President DACH, Fortra
„Datenschutz darf nicht durch Bürokratie ausgebremst werden“
„Datenschutzvorgaben bei digitaler, automatisierter Verarbeitung entsprechen zu können, bedeutet für Unternehmen, ihre Maßnahmen zur digitalen Datensicherheit zu verstärken. Mit der wachsenden Menge an digitalen Daten sowie vielfältigen Austausch- und Speichermöglichkeiten sind die Risiken für eine unbeabsichtigte Offenlegung, Verlust oder gar Diebstahl überaus zahlreich. Unternehmen begegnen dieser Herausforderung, indem sie ermitteln, welche Arten von Daten auf welchen Wegen in ihre Organisation gelangen, verarbeitet und ausgetauscht werden. Anschließend implementieren sie entlang des Verarbeitungszyklus dem Sensibilitätsniveau der Daten entsprechende Sicherheitsmaßnahmen – wie beispielsweise Verschlüsselung, Data Loss Prevention oder Zugriffsbeschränkungen.
Obwohl unter deutschen Unternehmen das Bewusstsein für Datenschutz und Datensicherheitsrisiken äußerst ausgeprägt ist, kommt die Implementierung von stärkeren Sicherheitsmaßnahmen manchmal eher schwerfällig voran. Beispielsweise sind für diesen Zweck bereitgestellte Mittel nicht ad-hoc und der Risikolage entsprechend, sondern nur schrittweise im Jahresturnus verfügbar. Oder es fehlt mittelfristig an qualifiziertem IT-Personal und Ressourcen, um zusätzliche Datensicherheitsmaßnahmen und -lösungen zu implementieren und dauerhaft zu betreuen. Datenschutz wird also durch bürokratische Prozesse, die nicht-digitalen Zeiten entsprangen, ausgebremst. Auf Dauer ist es daher wünschenswert, dass Unternehmen Datenschutz nicht nur in ihre langfristige Planung aufnehmen, sondern auch dafür Sorge tragen, kurzfristig erforderliche Ressourcen bereitstellen zu können, um schnell auf eine veränderte Sicherheitslage reagieren zu können.“
***
Dr. Christian Polster, Geschäftsführer RADAR Cyber Security
„Daten sicher schützen“
„Datenschutz ist ein hohes Gut – gleichrangig mit dem Recht auf Freiheit. Daten prägen unser Zusammenleben. Sie verdienen besonderen Schutz, und zwar zu allen Zeiten und mit jedem Gegenüber: ob Staat, natürliche Personen oder Unternehmen. Der Europäische Datenschutztag ist auch die jährliche Erinnerung daran, dass die Sicherheit von Daten eine wichtige Voraussetzung für die fortschreitende digitale Transformation und Vernetzung ist. Das betrifft nicht nur sämtliche Bereiche der klassischen IT, sondern muss verstärkt auch für die Steuerung, Überwachung und Konsolidierung maschinell-vernetzter Systeme (OT) gelten.
In Zeiten wie diesen sind Konstruktions-, Produktions-, Kundendaten und andere kritische Informationen die Kronjuwelen jedes Unternehmens aller Branchen. Datenschutz ist daher sehr eng mit Cybersicherheit zum Schutz dieser Vermögenswerte verwoben, welche im Idealfall auf einer kontinuierlichen und holistischen Überwachung von IT und OT-Infrastrukturen durch europäische Technologie und Experten basiert, und das alles ohne Möglichkeit des Zugriffs aus Drittstaaten.“
Sridhar Iyengar, Geschäftsführer von Zoho Europe, kommentiert:
„Die Sensibilisierung für den Schutz personenbezogener Daten ist dringend notwendig, denn laut aktuellem Sicherheitsindex der Initiative ,Deutschland sicher im Netz‘ (DsiN) fühlen sich die Verbraucher beim Surfen im Internet zunehmend unsicher. Das liegt an der steigenden Zahl von Cyberattacken, aber auch daran, dass Drittanbieter-Cookies die Nutzer auf Klick und Scroll verfolgen. Die auf diese Art gesammelten Aktivitäten, Vorlieben und Daten haben für interessierte Parteien einen hohen Wert. Schließlich können Unternehmen die Daten nutzen, um Trends zu erkennen und zu antizipieren, Ergebnisse vorherzusagen oder personalisierte Erlebnisse für wiederkehrende Kunden zu schaffen; das ist völlig legitim.
Aber, auch wenn die Erkenntnisse noch so nützlich sind: Persönliche Daten ohne Transparenz und Einverständnis der jeweiligen Person zu erheben, ist Diebstahl. Solche zwielichtigen Aktionen sind übrigens völlig unnötig, denn Verbraucher sind sich heute durchaus bewusst, dass wir in einer Data Economy leben und unterstützen diese Entwicklung. Einer aktuellen Umfrage zufolge denken 45 Prozent der deutschen Verbraucherinnen und Verbraucher, dass die Weitergabe personenbezogener Daten wesentlich für das reibungslose Funktionieren einer modernen Gesellschaft ist. Für 44 Prozent sind ihre personenbezogenen Daten sogar ein Kapital, das sie nutzen können, um bessere Preise und Angebote mit Unternehmen auszuhandeln, aber ihnen sind Transparenz beim Erfassen der Daten (74 Prozent) und Vertrauen in das Unternehmen (36 Prozent) wichtig.
Hier müssen Firmen ansetzen. Sie dürfen dieses Vertrauen nicht verspielen, indem sie die Privatsphäre der Verbraucher verletzen, sondern müssen bei jeder Aktion darüber nachdenken, wie sie dieses ihnen anvertraute Gut schützen können. Denn Datenschutz ist nicht die alleinige Aufgabe der jeweiligen Person, sondern auch und vor allem der Unternehmen. Allen muss klar sein, dass Datenschutz mehr ist als nur ein Feature; er ist nicht verhandelbar und die Basis einer vertrauensvollen Kundenbindung.“
Elke Steinegger, Area Vice President and General Manager Germany bei Commvault
„Cyberkriminelle werden jeden Tag raffinierter und die Cyber-Angriffe nehmen weiter zu“, kommentiert Elke Steinegger, Area Vice President and General Manager Germany bei Commvault. „Die durchschnittliche Zahl der wöchentlichen Cyberangriffe liegt weltweit bei rund 1.200. Es ist nicht mehr die Frage, ob ein Angreifer illegalen Zugriff auf die IT-Infrastruktur einer Organisation erhält, sondern vielmehr, wann es passiert und welche Folgen die Attacke nach sich zieht. Zum Glück sind Organisationen den Cyberattacken nicht schutzlos ausgeliefert. So etabliert sich gerade mit ‚Cyber Deception ‘ eine neue Form der Verteidigung, die Unternehmen beim Schutz ihrer Daten vor Angreifern einen Schritt weiterbringt. Sie werden selbst zum Manipulator und schlagen den Angreifern ein Schnippchen, indem sie diese auf vermeintlich attraktive Fake-Ziele lenken, anstatt ihnen die eigenen Daten preiszugeben. Natürlich sollten Unternehmen auch grundlegende Maßnahmen gegen Cyberkriminelle ergreifen. Leider hapert es bei vielen Organisationen noch am Nötigsten.“
Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf
„Die wahrscheinlich wichtigste Erkenntnis des Aktionstages sollte sein, dass Datenschutz und -sicherheit nicht nur die Probleme anderer sind, sondern, dass man mit eigenen, individuellen Entscheidungen Einfluss darauf nehmen kann, was mit unseren persönlichen Daten geschieht“, so Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf. „Für Verbraucher ist es wichtig, wachsam zu bleiben. ‚Datensammler‘ begegnen uns tagtäglich, denn der Verkauf dieser Informationen ist ein lukratives Geschäftsmodel. So haben z. B. fast alle Online-Plattformen und Social-Media-Apps, die auf den ersten Blick kostenlos scheinen, ihren ganz eigenen Preis: Oftmals ist deren Geschäftsmodell darauf ausgelegt, Nutzer mit Werbung zu versorgen und sie dazu so lange wie möglich in den Apps zu halten oder/und die erfassten persönlichen Daten zusammen mit Informationen über Vorlieben und Konsumgewohnheiten weiterzuverkaufen. Diese Apps arbeiten also nicht immer im besten Interesse der Nutzer und entpuppen sich bei genauerem Hinsehen als Datenkraken, die sehr viele detaillierte und sensible Daten sammeln.“
Aber Datenschutz geht weiter als Privacy-Einstellungen und der Entscheidung für oder gegen Web-Services oder Apps, besonders für Unternehmen ist der Schutz vor dem Datenklau durch Cyber-Kriminelle ein unvermeidbares Thema auf der Agenda.
Der Security Operations Anbieter Arctic Wolf hat anlässlich des Europäischen Datenschutztages am 28. Januar vier praktische Tipps für Jedermann zusammengestellt:
Auf die (Cyber-)Hygiene achten!
Duschen, Zähne putzen, Haare kämmen: Hygiene ist für die meisten ein wichtiger Teil der Alltagsroutine. Anders sieht das häufig noch beim Thema „Cyberhygiene“ aus. Unter diesem Begriff versteht man Vorsichtsmaßnahmen, um sich vor Hackern und Cyberangriffen zu schützen – vom Datenklau bis zum Einbruch in geschäftliche oder private Kundenaccounts. Jeder und jede kann jedoch mit einfachen Maßnahmen, die eigene IT-Hygiene verbessern und zum Beispiel sichere Passwörter vergeben, einen Passwortmanager nutzen oder Multi-Faktor-Authentifizierung aktivieren, also Nutzung gleich mehrerer Faktoren, um das Sicherheitslevel zu erhöhen. Das ist zum Beispiel ein Passwort in Kombination mit dem Fingerabdruck am Smartphone oder aber eine Push-Nachricht mit einer PIN. Neben einer besseren Absicherung der Zugänge zu Geräten, Apps und Kundenkonten sollten außerdem regelmäßig die entsprechenden Sicherheitsupdates durchgeführt werden und Konten auf verdächtige Anmeldungen oder unbekannte Gerätezugriffe überprüft werden.
Augen auf vor Betrügern!
Obwohl Cyberkriminelle in den letzten Jahren immer raffiniertere Schadsoftware entwickelt haben, bleiben auch das klassische Phishing und andere Formen der Online-Betrügereien weiterhin hoch im Kurs. Dabei werden Nutzerdaten für kriminelle Tätigkeiten aller Art erbeutet – von der Erpressung, über den Verkauf der Daten bis hin zur Nutzung fremder Identitäten für kriminelle Machenschaften. Deshalb gilt: Wachsam bleiben gegenüber allen Arten von Social-Engineering- und Phishing-Versuchen, d. h. konkret: keine verdächtigen Textnachrichten öffnen, nie auf Links in E-Mails mit unbekanntem Absender klicken, persönliche Daten nicht an unbekannte oder verdächtige Telefonanrufer herausgeben oder keinesfalls auf Direktnachrichten in Apps antworten, die einfach zu gut klingen, um wahr zu sein. Nicht selten versuchen Angreifer, ihre Opfer zum Beispiel mit dem Versprechen eines großen Gewinns zu ködern, auch wenn diese an keinem Gewinnspiel teilgenommen haben. Wie in den allermeisten Fällen gilt auch hier: Vorsicht ist besser als Nachsicht!
Informieren Sie sich!
Smartphone-Apps, Desktopanwendungen und Endgeräte können echte Datensammler sein. Informieren Sie sich darüber, welche Details Ihre Apps und Geräte sammeln – oftmals sind die Standortinformationen meist das geringste Übel – denn oftmals fragen Apps und Services über sogenannte Service-Grants, die Berechtigungen zur Abfrage von sehr vielen persönlichen Datensätzen z.B. beim Google, Microsoft, oder ähnlichen Konten an. Die allgemeinen Geschäftsbedingungen, aber auch Online-Bewertungen zum Datenschutz der Apps und die Datenschutzfunktionen auf dem jeweiligen Endgerät können Aufschluss darüber geben, welche Daten erfasst werden. Eine App sammelt Informationen, die Sie nicht teilen möchten? Dann sollte überprüft werden, ob sich die Datenschutzeinstellungen anpassen lassen. Ist dies keine Option, sollten Sie die App löschen und stattdessen die Browser-Version verwenden oder gegebenenfalls ganz auf die Nutzung verzichten.
Aktiv werden!
Als Bürgerinnen und Bürger haben wir vielfältige Möglichkeiten, uns demokratisch einzubringen – auch in Sachen Datenschutz! Die europäische Datenschutzgrundverordnung (DSGVO) regelt bereits viele Datenschutzbelange – insbesondere im Zusammenhang mit personenbezogenen Daten. Einzelpersonen, aber auch Gruppen können jedoch Bedenken äußern, wenn sie weiteren Handlungsbedarf sehen, sich an die Abgeordneten ihres Landkreises wenden und Vorschläge für gesetzgeberische Änderungen vorbringen, damit Datensammler zur Rechenschaft gezogen werden können und zukünftig keine weiteren (unnötigen) Daten mehr sammeln. Solche kollektiven Initiativen können eine deutlich nachhaltigere und ganzheitlichere Wirkung haben als beispielsweise das Verbot einzelner Apps.
Werden diese vier Tipps beherzigt und die Regeln der Cyberhygiene befolgt, sinkt das Risiko, dass Daten ohne die Kenntnis der Besitzer Online kursieren oder in die falschen Hände geraten.
Todd Moore, VP Encryption Products bei Thales
Inzwischen gibt es auf der ganzen Welt umfassende Datenschutzgesetze. Zwar ist jedes von ihnen anders formuliert, doch es gibt viele Gemeinsamkeiten in Bezug auf die Rechte, Pflichten und Durchsetzungsbestimmungen für Unternehmen. Die Bemühungen der Gesetzgeber haben sich in den letzten zwei Jahren intensiviert, es wurden viele Datenschutzgesetze verabschiedet und angenommen. Dieser Trend setzte sich bis 2022 fort, wobei Regionen wie der Nahe Osten, der asiatisch-pazifische Raum und Bundesstaaten in den USA Gesetze zum Datenschutz einführten oder abänderten.
Die immerwährenden Auswirkungen der DSGVO
Gartner schätzt, dass bis zum Jahr 2023 75 Prozent der Weltbevölkerung in Ländern mit moderne Datenschutzbestimmungen leben werden. Die International Association of Privacy Professionals (IAPP) hat in Zusammenarbeit mit dem Westin Research Center eine interaktive Karte erstellt, auf der die Länder mit Datenschutzgesetzen verzeichnet sind.
Die IAPP hat auch ein Diagramm-Tool für viele der weltweiten Datenschutzgesetze veröffentlicht, einschließlich der Gesetze in den USA und der EU. Dieses umfassende Instrument ist eine gute Demonstration der Gemeinsamkeiten zwischen den verschiedenen Datenschutzgesetzen auf der ganzen Welt und der Auswirkungen, die die DSGVO hat.
Drei Trends für die Datenschutzpolitik von heute
Die wichtigsten Veränderungen beim Datenschutz und der Datenverwaltung lassen sich in drei Trends zusammenfassen:
- Zunehmende Komplexität der Vorschriften
Für Unternehmen und Datenschutzbeauftragte ist es ein großes Problem, mit den raschen Änderungen von Vorschriften und Gesetzen Schritt zu halten. Durch die Verwendung von standardisierten und gut dokumentierten Best Practices für die Sicherheit können Datenschutz- und Compliance-Teams proaktiv mit den Änderungen der Vorschriften Schritt halten. Die Integration von Flexibilität und Agilität in die Architektur von Unternehmenssystemen hilft bei der Anpassung an diese neuen Standards.
- Eine sich rasant entwickelnde Daten- und Technologielandschaft
Unternehmen sehen die Einhaltung von Vorschriften gelegentlich als Hindernis für Innovationen, da immer neue Technologien und Datennutzungstechniken auftauchen. Die Einführung eines „Privacy by Design“-Ansatzes kann Unternehmen jedoch dabei helfen, die gesetzlichen Vorschriften einzuhalten und dennoch Spitzenleistungen zu erbringen.
- Wachsendes Bewusstsein der Stakeholder
Geschäftsabläufe, Ethik und Unternehmensführung werden von Stakeholdern wie Kunden, Beschäftigten und Investoren sehr genau geprüft. Folglich sind Transparenz und Zustimmung sehr wichtig. In den kommenden Jahren wird die Fähigkeit, das Vertrauen der Verbraucherinnen und Verbraucher durch transparente Kommunikation zu gewinnen, ein strategisches Unterscheidungsmerkmal für Unternehmen sein.
Die Entwicklung des Datenschutzes geht über die Einhaltung gesetzlicher Vorschriften hinaus und führt zu einer Ära der integrierten Datenverwaltung und vertrauenswürdigen Datennutzung. Darüber hinaus wird der Datenschutz in den Vorstandsetagen und bei den Stakeholdern immer mehr in den Vordergrund gerückt. Dies gibt den Compliance-Teams die Möglichkeit, überzeugend darzustellen, wie die Bemühungen um den Datenschutz im gesamten Unternehmen integriert werden, um neue Ziele zu erreichen.
Wichtige Meilensteine des weltweiten Datenschutzes im Jahr 2023
Im Jahr 2023 stehen vier wichtige Ereignisse an:
- In Kraft tretende US-Gesetze
In diesem Jahr traten der California Privacy Rights Act oder der Virginia Consumer Data Protection Act in Kraft. Der Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring oder der Colorado Privacy Act werden bis zum 1. Juli 2023 und der Utah Consumer Privacy Act bis zum 31. Dezember in Kraft treten.
Auf Bundesebene ist der American Data Privacy and Protection Act (ADPPA) das bedeutendste Bundesgesetz zum Datenschutz in den USA seit dem U.S. Privacy Act von 1974. Das ADPPA verfolgt einen ziemlich umfassenden Ansatz zum Schutz der Privatsphäre, der viele der Richtlinien der DSGVO einbezieht.
- Abkehr von Drittanbieter-Cookies
Cookies von Drittanbietern werden nach dem 31. Dezember 2023 nicht mehr verwendet werden. Dies stellt eine erhebliche Veränderung gegenüber den derzeitigen Ansätzen für gezielte Werbung und Personalisierung dar, schafft aber auch neue Möglichkeiten für Unternehmen und Vermarkter.
- Grenzüberschreitende Datenübermittlung und der Datenschutzrahmen
Im Juli 2020 stellte der Gerichtshof der Europäischen Union (EuGH) fest, dass der EU-US-Datenschutzschild-Rahmen unzureichend ist. Obwohl sich der Fall auf Datenübertragungen zwischen der EU und den USA bezog, sind die Auswirkungen global. Der Europäische Datenschutzausschuss (EDPB) hat einen Leitfaden herausgegeben, der die nächsten Schritte klärt, und die Unternehmen werden ihre Verfahren für die Handhabung internationaler Datenübertragungen neu bewerten müssen.
Im Oktober 2022 veröffentlichte die Regierung Biden den EU-US-Datenschutzrahmen, der auf gemischte Reaktionen stieß. Die Europäische Kommission muss nun einen Angemessenheitsbeschluss fassen, der nicht vor Frühjahr 2023 erwartet wird.
- Neue EU-Richtlinien
Der EU Data Governance Act (DGA) wird den Zugang zu und die gemeinsame Nutzung von Daten mit dem öffentlichen Sektor zum Wohle der Allgemeinheit erleichtern. Dies wird eine weitere Ebene der Komplexität hinzufügen, da Organisationen versuchen, ihre Daten zu verstehen und zu erkennen, was erforderlich ist, um eine konforme Datenübertragung zu ermöglichen. Die EU-DSGVO ist am 23. Juni 2022 in Kraft getreten und wird nach einer 15-monatigen Karenzzeit ab September 2023 gelten.
Darüber hinaus schlug die Europäische Kommission im Februar 2022 die EU-Datenschutzverordnung (EU Data Act) vor, die „Verbrauchern und Unternehmen noch mehr Kontrolle darüber geben wird, was mit ihren Daten geschehen kann, indem sie klarstellt, wer auf Daten zugreifen darf und zu welchen Bedingungen“, wie Margrethe Vestager, Vizepräsidentin der Kommission für ein Europa, das fit für das digitale Zeitalter ist, in einer Pressemitteilung erklärte.
Diese neuen Richtlinien zeigen, dass es immer wichtiger wird, eine einzige Source of Trust für die Datenkatalogisierung und das Daten-Mapping zu haben. Die Ausrichtung des Unternehmens auf diese strategische Richtung wird sich auszahlen, sobald diese neuen Verpflichtungen vollständig in Kraft treten.
English Version
Expert opinions on Data Privacy Day
Data Privacy Day is coming up on February 28. Leading experts give their views on the importance of data privacy in the modern world.
European Data Privacy Day is intended to raise awareness of the security of data and information. In a world where the boundaries between offline and online life are becoming increasingly blurred, education about how we properly use and protect data is more important than ever. However, opinions differ as to whether the focus on this day should be on data protection in the American sense or on German data protection (Privacy in English). Here is what the experts think:
Arne Jacobsen, Director Sales EMEA at Aqua Security:
„Data protection and data security also for cloud native applications.“
„Enterprises are collecting, storing and managing more data than ever before. Protecting it was once relatively easy when all of an organization’s data was stored on the single NAS in the data center. Today, this is infinitely more difficult. That’s because data is now distributed across numerous different systems, in multiple clouds, or even at the edge. In order to save costs and remain innovative, companies continue to rely on digitization – and on cloud native applications when moving their workloads to the public cloud.
But to ensure security for these workloads as well, security teams need new skills and technologies. Cloud native workloads simply cannot be secured using outdated approaches for physical or virtual workloads. To ensure data protection and security, enterprises are fighting on many fronts. Those that rely on cloud native applications must also secure these workloads and data with cloud native security designed for these workloads. Cloud Native Application Protection Platforms (CNAPPs) developed for this purpose are ideal for this purpose.“
***
Emmanuel Methivier, Business Program Director and Catalyst, Axway
„Data protection requirements are the balancing element between user experience and security“
„Digitization has exponentially accelerated the processing speed of data. In the virtual world, connecting instantly and with minimal effort from anywhere to people and businesses around the world is a given. Seamless processes and user-centricity open up far-reaching and diverse opportunities for companies to shape their customers‘ product and service experience. Social networking, music and video streaming services, online shopping, payments, banking, and mobility services are just a few of the many applications that have become an integral part of consumers‘ everyday lives.
The continuing growth of the digital economy is also reflected in the volume of data: it is estimated that more than 50 zettabytes of data are generated, processed, and transferred worldwide every year, and the trend is still rising sharply. However, the uniquely high quality of the user experience has a downside: digital networking exposes data to exceedingly high risk of disclosure, loss or theft, but security measures are sometimes inadequate, not least because companies do not want to compromise the user experience with rigid security measures. This tug-of-war between usability and security puts the actual owners of the data at risk of breached confidentiality and privacy. Data protection regulations, such as the GDPR, ensure that the rights of individuals are mapped and enforced in the digital world. They call on companies to expand the technical capabilities to secure data, forming the element that balances user experience and security.“
***
***
Charles Smith, Consultant Solution Engineer, Data Protection, Barracuda Networks
„Many attackers also target backups.“
„Data protection is critical for businesses for two reasons. First, companies need to ensure that customer and corporate data, including valuable intellectual property and financial data, is safe and secure and complies with national and international data protection regulations, such as the GDPR in Europe. Otherwise, in the event of a data breach, there is a risk of heavy fines, loss of customer trust and damage to brand reputation. Keeping data private also helps counter the threat of data theft and ransomware attacks. Ransomware attacks continue to evolve, and cybercriminals often steal data and threaten to expose it if the ransom demand is not paid, also threatening financial loss and reputational damage. Ensure that all data types are protected with end-to-end encryption. The same encryption is also important for backed-up data, as many attackers also target backups.“
***
Chris Meidinger, Technical Director, EMEA, Beyond Identity
„Protecting data: Eliminate Passwords“
„The spate of successful attacks makes it clear that effective data security can no longer be built on passwords. Passwords are the cybercriminal’s best friend: stolen credentials were misused in nearly 70 percent of security incidents in EMEA, Verizon’s latest Data Breach Investigations Report shows.
With hijacked passwords – whether tapped via simple social engineering techniques, sophisticated phishing attacks, or directly from memory – cybercriminals walk into corporate networks through the front door. To protect themselves and their data, many companies have deployed additional measures such as multi-factor authentication (MFA), but the result is just another step for the attacker. With traditional MFA, cybercriminals need only steal an MFA code in addition to the classic password, or possibly trick the user into clicking at the right moment. Meanwhile, effective hackers have standardized these attack steps.
Effective, long-term protection of corporate data requires the strategic elimination of classic passwords. Many IT managers are taking the approach of gradually reducing the proportion of logins using passwords. A good start has been made where attackers have a particularly easy game, because they are often only one stolen password away from sensitive data: In SaaS and cloud apps. Salesforce or Microsoft 365 in particular often involve data that is particularly worth protecting.
For implementation, the open standards of the FIDO (Fast IDentity Online) Alliance are proving their worth. The common, vulnerable MFA techniques – whether one-time passwords/TOTP, push messages, SMS or magic links – are obsolete. A login based on FIDO stands out as passwordless and phishing-resistant. If additional contextual data is used, access can be granted and capped on a contextual and risk-based basis. MDM, EDR, XDR, VPN and other systems are often already in place in the enterprise and produce valuable data that is ideally suited for this purpose. So in the end, zero-trust authentication forms. Reliable identities are absolutely essential to Zero Trust and one of the fundamental pillars of effective, modern data security.“
***
***
Bogdan Botezatu, Director Threat Research & Reporting at Bitdefender
„If you protect identities, you protect data“
„Data protection is not just the responsibility of the state, authorities or IT providers. Professional users and ordinary consumers also have a duty. The protection of access data plays a central role here, because cybercriminals rightly see it as the first door opener for accessing sensitive information: To exploit hijacked digital identities for further cyber espionage, as an occasion for an extortion attempt through their publication or as a starting point for fraudulent actions.
A 2022 survey of 1,000 German end users by Bitdefender shows that the necessary identity protection is not always considered by users when it comes to cyber defense. Many consumers apparently do not yet consider dedicated privacy protection tools to be that important. Fifty-seven percent of those surveyed do use general online security or antivirus solutions – which in itself is low. But specific functionalities are part of the IT security repertoire for far fewer respondents: only 31% used a password manager, a full 13% used an identity theft solution and 12% used a dedicated service to protect digital identities or data.
There is no doubt about the need for such tools. The vehicle for identity theft remains opportunistic or targeted phishing – whether via mail, social chat services or SMS. Sniffing out credentials via malicious links is the tool of choice for those running phishing campaigns. The attacks target both private and professional users, systems and data.
Cybersecurity solutions for private users, such as those that check their digital footprint and provide recommendations for action to protect their digital identity, but also for companies, such as (Extended) Endpoint Detection and Response (XDR), support the defense and are essential in this regard. But the attention of the human user also remains crucial. This is because the user ultimately takes the active part in opening a link and starting the download of malicious code. Appropriate technology and common sense offer sufficient protection. So data protection is also a private matter.“
***
Paul Smit, Director Professional Services at ForeNova
„Data protection must happen in the right place and at the right time“
„Data protection is a social, geopolitical and economic responsibility for IT security managers of private and government organizations. Profit-seeking cybercriminals are now seeking access to sensitive data for this reason as well: Ransomware actors extort large ransoms because victims must comply with data protection obligations. According to a 2022 ForeNova and Cybersecurity Insiders survey of 236 professional users in the U.S. and Canada, one in three organizations was affected by ransomware. In 18 percent of those cases, attackers threatened to expose data.
These attacks, with targeted exfiltration as an effective threat vector, require multi-step preparation such as infecting a system, networking with a command-and-control server, and finding content that requires a ransom. That’s why victim IT needs a layered, multi-stage defense: one pillar is monitoring network traffic to detect hackers‘ maneuvers early. Spotting these inconspicuous clues is important because often malware code behaves inconspicuously at first as part of an APT attack after infecting the system. Fileless malware attackers camouflage their actions with legitimate tools. This approach also generates traces in the data traffic. Another pillar is protection at the endpoint. These systems prevent or stop ongoing exfiltration on the spot. Artificial intelligence detects small deviant patterns of traffic on the network or system behavior at the endpoint.
No less important is a cyber defense that is itself privacy-compliant: a network detection and response analyzes in real time only the metadata of a network traffic – not the content. Such analysis can take place in a service provider’s data center in Europe. An EDR also unfolds its protection without looking at the data content – for example, by automatically detecting malware signatures or behavior. If content in a phishing email indicates malware, the EDR arguably acts in a legitimate interest of the company.“
***
***
Michael Kretschmer, Vice President DACH, Fortra
„Data protection must not be thwarted by bureaucracy“
„Being able to comply with data protection requirements in digital, automated processing means companies need to strengthen their digital data security measures. With the growing amount of digital data and multiple ways of sharing and storing it, the risks of accidental disclosure, loss or even theft are exceedingly numerous. Organizations address this challenge by identifying what types of data enter their organization, are processed, and are exchanged, and by what means. They then implement security measures – such as encryption, data loss prevention or access restrictions – along the processing cycle that are appropriate to the sensitivity level of the data.
Although awareness of data protection and data security risks is extremely high among German companies, implementation of stronger security measures is sometimes rather sluggish. For example, funds allocated for this purpose are not available on an ad-hoc basis and in line with the risk situation, but only gradually on an annual basis. Or, in the medium term, there is a lack of qualified IT personnel and resources to implement and permanently support additional data security measures and solutions. Data protection is thus slowed down by bureaucratic processes that originated in non-digital times. In the long run, it is therefore desirable that companies not only include data protection in their long-term planning, but also ensure that they can provide the resources required at short notice to respond quickly to a changing security situation.“
***
Dr. Christian Polster, Managing Director RADAR Cyber Security
„Protecting data securely“
„Data protection is a high good – on a par with the right to freedom. Data shapes the way we live together. They deserve special protection, at all times and with every counterpart: whether state, natural persons or companies. European Data Protection Day is also the annual reminder that data security is an important prerequisite for the ongoing digital transformation and networking. This applies not only to all areas of traditional IT, but must also increasingly apply to the control, monitoring and consolidation of machine-networked systems (OT).
In times like these, design, production, customer data and other critical information are the crown jewels of every company in every industry. Data protection is therefore very closely intertwined with cybersecurity to protect these assets, which ideally is based on continuous and holistic monitoring of IT and OT infrastructures by European technology and experts, all without the possibility of access from third countries.“
Sridhar Iyengar, Managing Director, Zoho Europe
„Raising awareness about the protection of personal data is urgently needed because, according to the latest security index from the ‚Deutschland sicher im Netz‘ (DsiN) initiative, consumers feel increasingly unsafe when surfing the Internet. This is due to the rising number of cyberattacks, but also to the fact that third-party cookies track users click and scroll. The activities, preferences and data collected in this way have high value for interested parties. After all, companies can use the data to identify and anticipate trends, predict outcomes, or create personalized experiences for returning customers; that’s perfectly legitimate.
But, no matter how useful the insights may be: Collecting personal data without transparency and consent from the individual is theft. Such shady actions are completely unnecessary, by the way, because consumers today are well aware that we live in a Data Economy and support this development. According to a recent survey, 45 percent of German consumers think that sharing personal data is essential for the smooth functioning of a modern society. For 44 percent, their personal data is even an asset they can use to negotiate better prices and deals with companies, but transparency in the collection of data (74 percent) and trust in the company (36 percent) are important to them.
This is where companies need to start. They must not squander this trust by violating consumers‘ privacy, but must think about how they can protect this asset entrusted to them in every action they take. After all, data protection is not the sole responsibility of the individual in question, but also and above all of companies. It must be clear to everyone that data protection is more than just a feature; it is non-negotiable and the basis of a trusting customer relationship.“
Elke Steinegger, Area Vice President and General Manager Germany at Commvault
„Cyber criminals are becoming more sophisticated every day and cyber attacks continue to increase,“ comments Elke Steinegger, Area Vice President and General Manager Germany at Commvault. „The average number of weekly cyber attacks is around 1,200 worldwide, and it is no longer a question of whether an attacker gains illegal access to an organization’s IT infrastructure, but rather when it happens and what the consequences of the attack are. Fortunately, organizations are not defenseless against cyberattacks. For example, a new form of defense is currently establishing itself with ‚Cyber Deception ‚, which takes companies one step further in protecting their data from attackers. They become manipulators themselves and play tricks on the attackers by directing them to supposedly attractive fake targets instead of revealing their own data to them. Of course, companies should also take basic measures against cybercriminals. Unfortunately, many organizations are still lacking the necessities.“
Sebastian Schmerl, Director Security Services EMEA at Arctic Wolf
„Probably the most important takeaway from the Day of Action should be that data privacy and security are not just someone else’s problems, but that you can influence what happens to our personal data with your own individual choices,“ said Dr. Sebastian Schmerl, Director Security Services EMEA at Arctic Wolf. „It is important for consumers to remain vigilant. We encounter ‚data collectors‘ on a daily basis because selling this information is a lucrative business model. For example, almost all online platforms and social media apps that seem free at first glance have their very own price: often their business model is designed to provide users with advertising and keep them in the apps as long as possible to do so, or/and to resell the personal data collected along with information about preferences and consumption habits. So these apps don’t always work in the best interest of users and, on closer inspection, turn out to be data octopuses that collect a lot of detailed and sensitive data.“
But data protection goes further than privacy settings and deciding whether or not to use web services or apps; for enterprises in particular, protecting against data theft by cyber criminals is an unavoidable topic on the agenda. Security operations provider Arctic Wolf has compiled four practical tips for everyone on the occasion of European Data Protection Day on January 28:
Pay attention to (cyber) hygiene!
Showering, brushing teeth, combing hair: For most people, hygiene is an important part of their everyday routine. The situation is often different when it comes to „cyber hygiene. This term refers to precautionary measures to protect oneself from hackers and cyber attacks – from data theft to breaking into business or private customer accounts. However, everyone can take simple measures to improve their own IT hygiene, such as assigning secure passwords, using a password manager or activating multi-factor authentication, i.e. using several factors at once to increase the security level. This is, for example, a password in combination with the fingerprint on the smartphone or a push message with a PIN. In addition to better securing access to devices, apps and customer accounts, the relevant security updates should also be carried out regularly and accounts checked for suspicious logins or unknown device access.
Watch out for scammers!
Although cybercriminals have developed increasingly sophisticated malware in recent years, classic phishing and other forms of online fraud also remain highly popular. User data is captured for criminal activities of all kinds – from extortion and the sale of data to the use of other people’s identities for criminal activities. That’s why it’s important to remain vigilant against all types of social engineering and phishing attempts, i.e., specifically: don’t open any suspicious text messages, never click on links in e-mails with unknown senders, don’t give out personal data to unknown or suspicious phone callers, or under no circumstances reply to direct messages in apps that simply sound too good to be true. It is not uncommon for attackers to try to lure their victims with the promise of a big prize, for example, even if they have not entered any sweepstakes. As in the vast majority of cases, the same applies here: Better safe than sorry!
Inform yourself!
Smartphone apps, desktop applications and end devices can be real data collectors. Inform yourself about what details your apps and devices collect – often, location information is usually the least of your worries – because often apps and services ask via so-called service grants, the permissions to query a great many personal data records e.g. at Google, Microsoft, or similar accounts. The terms and conditions, but also online reviews on the privacy of the apps and the privacy features on the respective end device can provide information about what data is collected. An app collects information that you do not want to share? Then you should check whether the privacy settings can be adjusted. If this is not an option, you should delete the app and use the browser version instead or, if necessary, refrain from using it altogether.
Get active!
As citizens, we have a variety of ways to get involved democratically – including in matters of data protection! The European General Data Protection Regulation (GDPR) already regulates many data protection concerns – especially in connection with personal data. However, individuals, as well as groups, can raise concerns if they see a need for further action, contact their county’s MPs and put forward proposals for legislative changes so that data collectors can be held accountable and stop collecting (unnecessary) data in the future. Such collective initiatives can have a much more lasting and holistic impact than, say, banning individual apps.
If these four tips are taken to heart and the rules of cyber hygiene are followed, the risk of data circulating online without the owners‘ knowledge or falling into the wrong hands is reduced.
Todd Moore, VP Encryption Products at Thales
Comprehensive data protection laws now exist around the world. While each of them is worded differently, there are many commonalities in terms of rights, obligations and enforcement provisions for businesses. Legislative efforts have intensified over the past two years, with many data protection laws passed and adopted. This trend continued through 2022, with regions such as the Middle East, Asia-Pacific and states in the U.S. introducing or amending data privacy laws.
The everlasting impact of the GDPR.
Gartner estimates that by 2023, 75 percent of the world’s population will live in countries with modern data protection regulations. The International Association of Privacy Professionals (IAPP), in collaboration with the Westin Research Center, has created an interactive map showing countries with data protection laws.
The IAPP has also published a charting tool for many of the world’s privacy laws, including those in the U.S. and the EU. This comprehensive tool is a good demonstration of the commonalities between different data protection laws around the world and the impact that the GDPR is having.
Three trends for data protection policy today
The main changes in data protection and data governance can be summarized in three trends:
– Increasing regulatory complexity
Keeping up with the rapid changes in regulations and laws is a major problem for companies and data protection officers. By using standardized and well-documented security best practices, data protection and compliance teams can proactively keep pace with regulatory changes. Incorporating flexibility and agility into the architecture of enterprise systems helps adapt to these new standards.
– A rapidly evolving data and technology landscape.
Organizations sometimes see compliance as a barrier to innovation as new technologies and data use techniques continue to emerge. However, adopting a „privacy by design“ approach can help companies comply with regulations and still achieve excellence.
– Growing stakeholder awareness
Business operations, ethics and governance are highly scrutinized by stakeholders such as customers, employees and investors. As a result, transparency and buy-in are very important. In the coming years, the ability to gain consumer trust through transparent communication will be a strategic differentiator for companies.
The evolution of data privacy goes beyond regulatory compliance to an era of integrated data management and trusted data use. In addition, data privacy is becoming more prominent in boardrooms and among stakeholders. This gives compliance teams the opportunity to convincingly demonstrate how data privacy efforts are being integrated across the enterprise to achieve new goals.
Key global data privacy milestones in 2023.
There are four major events coming up in 2023:
1. U.S. laws going into effect.
The California Privacy Rights Act or the Virginia Consumer Data Protection Act went into effect this year. Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring or the Colorado Privacy Act will take effect by July 1, 2023, and the Utah Consumer Privacy Act will take effect by December 31.
At the federal level, the American Data Privacy and Protection Act (ADPPA) is the most significant federal privacy law in the U.S. since the U.S. Privacy Act of 1974. The ADPPA takes a fairly comprehensive approach to privacy that incorporates many of the directives of the GDPR.
2. moving away from third-party cookies.
Third-party cookies will no longer be used after December 31, 2023. This represents a significant change from current approaches to targeted advertising and personalization, but also creates new opportunities for businesses and marketers.
3. cross-border data transfers and the data protection framework.
In July 2020, the Court of Justice of the European Union (CJEU) found that the EU-US Privacy Shield framework was inadequate. Although the case related to data transfers between the EU and the US, the implications are global. The European Data Protection Board (EDPB) has issued guidance clarifying next steps, and companies will need to reevaluate their procedures for handling international data transfers.
In October 2022, the Biden administration published the EU-U.S. Privacy Framework, which was met with mixed reactions. The European Commission must now adopt an adequacy decision, which is not expected before spring 2023.
4. new EU directives
The EU Data Governance Act (DGA) will facilitate access to and sharing of data with the public sector for the public good. This will add another layer of complexity as organizations seek to understand their data and what is required to enable compliant data transfers. The EU GDPR came into force on June 23, 2022, and will apply from September 2023 after a 15-month grace period.
In addition, in February 2022, the European Commission proposed the EU Data Protection Regulation (EU Data Act), which „will give consumers and businesses even more control over what can happen to their data by clarifying who can access data and on what terms,“ as Margrethe Vestager, Commission Vice President for a Europe fit for the digital age, stated in a press release.
These new guidelines show that it is increasingly important to have a single source of trust for data cataloging and mapping. The company’s focus on this strategic direction will pay off once these new commitments are fully in place.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de