Eine Kurzanleitung, wie Sie die Compliance-Anforderungen an PCs und Drucker erfüllen

27/09/2018Lesezeit 5 Minuten

Der Diebstahl von Kunden- oder Unternehmensdaten kann für jedes Unternehmen katastrophale Folgen haben. Die daraus resultierende Rufschädigung, der Verlust an Kunden sowie der finanzielle Schaden sind nur die Spitze des Eisbergs. Unternehmen müssen gegebenenfalls eine enorme Geldstrafe zahlen, die ihnen durch die strengen neuen Compliance-Richtlinien auferlegt werden. Da Firewalls keinen ausreichenden Schutz mehr bieten, müssen die Unternehmen die Sicherheit über mehrere Ebenen ausweiten. Dazu gehört jedes einzelne Netzwerk-Endgerät, also nicht nur die PCs, sondern auch alle Drucker. Ziel ist es, die Schutzmaßnahmen so zu stärken, dass alle Compliance-Vorgaben eingehalten werden.

In der heutigen, von Technologie beherrschten Welt führt die rasante Ausbreitung der Geräte zu komplexen Infrastrukturen mit vielen unterschiedlichen Systemen und Plattformen. Das ist vor allem eine Folge der Mitarbeiter-Forderungen, auf die die Unternehmen reagieren müssen. Doch mit jedem einzelnen Gerät werden Unternehmensdaten erfasst und ausgegeben – und damit ist jedes Gerät ein Sicherheitsrisiko. Die korrekte Daten-Kontrolle und –Sicherheit darf die Geschäftsabläufe nicht beeinträchtigen. Das ist eine der größten Herausforderungen, der sich alle Unternehmen heute stellen müssen. Und da immer häufiger die Daten außerhalb der Firewalls aufbewahrt und bearbeitet werden, ist der Schutz des Netzwerks zunehmend schwerer.

Die Zunahme von Cyberangriffen hat zu einer Welle an strengen Datensicherheits-Vorschriften geführt, die für alle Unternehmen auf der ganzen Welt von Bedeutung sind. Neue Richtlinien, wie die EU-Datenschutz-Grundverordnung (DSGVO), sind nicht nur für Unternehmen mit Sitz in der EU relevant, sondern gelten auch für alle Organisationen, die Daten von EU-Bürgern sammeln.

Die EU-DSGVO warnt die Unternehmen vor erheblichen Geldstrafen, falls sich nach einem Angriff herausstellt, dass die Regeln nicht eingehalten wurden. Diese Strafen fallen zusätzlich zu den finanziellen Schäden an, die durch die Datenpanne selbst entstanden sind. Andere Richtlinien, wie die Directive on security of network and information systems (NIS-Richtlinie), umfassen neue Netzwerk- und Informationssicherheitsanforderungen für die Betreiber von wichtigen Dienstleistungen und für die Digital-Service Provider (DSPs). Alle Organisationen müssen bestimmte sicherheitsrelevante Vorfälle an die zuständigen Behörden oder an die Computer Security Incident Response Teams (CSIRTs) melden.

Hauptforderungen der EU- DSGVO

Unternehmen, die Daten in der EU sammeln, müssen die folgenden Auflagen erfüllen

Wenn eine Organisation personenbezogene Daten in der EU sammelt und verwendet, muss sie DSGVO-Compliant sein. Das gilt insbesondere für die Daten von Personen, die Waren oder Dienstleistungen einkaufen, sowie für die Daten, die beim Monitoring des Kundenverhaltens anfallen und ausgewertet werden. Beispielsweise, wenn Ihr Unternehmen die Online-Aktivitäten für eine bessere Kundenansprache nutzt. Jedes einzelne Gerät, das auf die Kundendaten zugreifen kann, muss sicher sein – und zwar auch dann, wenn Ihr Unternehmen seinen Sitz außerhalb der EU hat.

Unternehmen müssen die IT-Dokumentation sorgfältig pflegen

Es ist sehr zeitaufwändig, alle Anforderungen an die Dokumentationspflege zu erfüllen, eine Folgenabschätzung durchzuführen und Verstöße zu melden. Jedes Mal, wenn ein neues Gerät zum Netzwerk hinzugefügt wird, sollte es Ihren Sicherheits-Bestimmungen entsprechen und von einem SIEM-Tool (Systems Information and Event Management) überwacht werden. So lassen sich Probleme nachverfolgen, Mängel beseitigen und Compliance-Berichte erstellen.

Unternehmen müssen Dateneinbrüche innerhalb von 72 Stunden melden

Unternehmen müssen die jeweils zuständige Datenschutz-Behörde unverzüglich – falls möglich – innerhalb von 72 Stunden über Datenvorfälle informieren. Wenn sie diese Frist nicht einhalten, müssen sie eine überzeugende Begründung liefern. Diese neue Anforderung wurde eingeführt, um die Rechte des Einzelnen darüber zu stärken, wie seine persönlichen Daten verwendet werden und um sicherzugehen, dass die Organisationen, die diese Daten besitzen beim Datenschutz auch die korrekten Regeln, Tools und Produkte zur Überwachung, der Risikoidentifizierung und der Angriffsabwehr verwenden.

Unternehmen müssen eine hohe Strafe zahlen, wenn sie nicht compliant sind

Die neue EU-DSGVO führt eine abgestufte Vorgehensweise bezüglich der Strafen ein. Die Höhe der Geldstrafe wird an der Schwere des Verstoßes gemessen. Die zu bezahlende Höchststrafe kann bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens betragen1.

Drei Tipps, wie Sie Ihre PCs und Drucker compliant machen

Wenn es um den Schutz von PCs und Druckern geht, gibt es einige praktische Schritte, um sicherzustellen, dass Ihre Endgeräte die neuen Vorschriften erfüllen.

1. Vorbereitung auf einen Compliance-Audit

Um sich auf einen Compliance-Audit vorzubereiten, sollte IT sicherstellen, dass die gesamte IT-Infrastruktur effektiv überwacht werden kann. Dazu gehören alle Endgeräte, wie PCs und Drucker. Des Weiteren sollten alle Endgeräte, inklusive des gesamten Druckerparks, regelmäßig auf die Einhaltung aller Vorschriften überprüft werden.

2. Durchführung eines kompletten Audits

IT muss jedes Gerät identifizieren können, das auf die Unternehmens- und Kundendaten zugreifen kann. Dabei sind die jeweils eingebauten Sicherheitsebenen zu bewerten. Es ist auch empfehlenswert, ein Sicherheitsmanagement-Tool für alle Systeme zu verwenden, das neue Geräte sofort identifiziert und automatisch die Sicherheitseinstellungen des Unternehmens einrichtet.

3. Führen Sie Security-by-Design ein

IT muss die richtigen Vorschriften so implementieren, dass alle Compliance-Anforderungen von vornherein erfüllt sind – auch wenn neue Geräte oder Dienste dem Netzwerk hinzugefügt werden. Stellen Sie sicher, dass Sie alle Geräte überwachen können, einschließlich aller Drucker. Füttern Sie Ihr Schwachstellen-Analyse- und Überwachungs-Programm (beispielsweise ein SIEM-Tool) mit allen Anomalien oder Sicherheits-Vorfällen.

Möchten Sie mehr über die Implementierung von Sicherheits-Ebenen erfahren, in der alle Endpunkte Ihres Netzwerkes berücksichtigt sind?

Dann hier klicken.

 

 

1 http://www.eugdpr.org/the-regulation.html

2 https://autoriteitpersoonsgegevens.nl/en

 

Tektonika Staff 20/09/2018 Lesezeit 4 Minuten

Ist die Datenübertragung an Ihren Drucker sicher?

Es war noch nie einfach, die Daten vor Hackern, vor internen Bedrohungen oder vor böswilligen Dritten zu schützen. Durch das Internet der Dinge (IoT)...

  1. 1

Tektonika Staff 13/09/2018 Lesezeit 4 Minuten

Drei Sicherheitsmaßnahmen, um Ihre Drucker-Palette zu überwachen

Das immer größer werdende Internet bietet den Unternehmen ungeahnte Möglichkeiten bei der Kommunikation und bei den Geschäftsaktivitäten.

Tektonika Staff 06/09/2018 Lesezeit 8 Minuten

Expertentipps zur Endgeräte-Sicherheit: So bleiben Sie compliant

Mit einer Branchenerfahrung von 21 Jahren gehört Jason O'Keeffe zu einem der weltweit führenden Experten für IT-Sicherheitsmaßnahmen.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * gekennzeichnet Required fields are marked *