Eine Kurzanleitung zur Compliance-Sicherung Ihrer PCs und Drucker

0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
1584 Aufrufe  

Erhöhen Sie die Sicherheit Ihrer PCs und Drucker, um Ihre Daten besser zu schützen und die neuen Bestimmungen einzuhalten.

Datenschutzverstöße in Bezug auf Kunden- oder Unternehmensdaten können für Unternehmen jeglicher Größe katastrophale Folgen haben. Die daraus resultierende Rufschädigung, Schädigung der Kunden sowie der finanzielle Schaden sind nur die Spitze des Eisbergs. Unternehmen müssen gegebenenfalls eine enorme Geldstrafe zahlen, die ihnen durch die strengen neuen Compliance-Richtlinien auferlegt werden. Da Firewalls keinen ausreichenden Schutz mehr für Ihre Daten bieten, müssen Unternehmen den Schutz auf mehrere Ebenen, bis hin zu jedem Netzwerk-Endgerät – von PCs bis hin zu Druckern – ausweiten, um ihre Abwehr zu stärken und den Anforderungen zur Einhaltung der Vorschriften gerecht zu werden.

In der heutigen technisierten Welt führt die Verbreitung von Geräten zu komplexen Infrastrukturen mit zahlreichen Geräten und Plattformen, da sich die Unternehmen weiterhin darauf konzentrieren, mit der Mobilität Schritt zu halten und den Anforderungen ihrer Beschäftigten gerecht zu werden. Jedes einzelne dieser Geräte ist ein Eingangs- und Ausgangspunkt für Unternehmensdaten und kann mit Sicherheitsrisiken einhergehen. Eine der größten Herausforderungen, der sich Unternehmen heute stellen müssen, ist es, herauszufinden, wie Daten kontrolliert und gesichert werden können, ohne dass Geschäftsvorgänge unterbrochen werden müssen. Daten werden immer häufiger außerhalb der Firewall-Grenzen aufbewahrt und bearbeitet, sodass den Netzwerkverantwortlichen die Datensicherung noch weiter erschwert wird.

Die Zunahme von Cyberangriffen führte zu einer Welle von strengen Datensicherheitsrichtlinien, die für Unternehmen auf der ganzen Welt von Bedeutung sind. Neue Richtlinien wie die EU-Datenschutz-Grundverordnung (DSGVO) ist nicht nur für Unternehmen mit Sitz in der EU relevant, sondern gilt auch für alle Organisationen, die Daten von EU-Bürgern sammeln.

Die EU-DSGVO enthält an Unternehmen gerichtete Warnungen vor erheblichen Geldstrafen, falls nach einem Angriff herausgefunden werden sollte, dass die Vorschriften nicht eingehalten worden sind. Diese Strafen fallen zusätzlich zu der finanziellen Schädigung an, die durch die Datenpanne selbst entstanden ist. Andere Richtlinien, wie die Directive on security of network and information systems (NIS-Richtlinie), umfassen neue Netzwerk- und Informationssicherheitsanforderungen für Betreiber wichtiger Dienstleistungen und für digitale Service Provider (DSPs). Organisationen müssen bestimmte sicherheitsrelevante Vorfälle an die zuständige Behörde oder Computer Security Incident Response Teams (CSIRTs) melden.

Einige Länder führen diese Richtlinien sogar ein, bevor sie dies müssen. Im Januar 2016 haben beispielsweise die Niederlande das Breach Notification Law eingeführt, das zur Meldung von Verstößen an eine neue unabhängige Datenschutzbehörde verpflichtet. Bei Verstoß können administrative Geldstrafen in Höhe von bis zu 810.000 Euro oder 10 % des Jahresnettoumsatzes verhängt werden. Der Druck ist enorm.

Unternehmen, die Daten in der EU sammeln, müssen diese Bestimmungen erfüllenWenn eine Organisation persönliche Daten sammelt und verwendet, muss sie die Vorschriften ebenfalls einhalten. Dies gilt auch für Personen, die Waren und Dienstleistungen einkaufen, sowie für die Beobachtung des Kundenverhaltens zur Verwendung dieser Daten. So zum Beispiel, wenn Ihr Unternehmen Online-Aktivitäten für eine bessere Kundenansprache nachverfolgt. Jedes einzelne Gerät, das auf Kundendaten zugreifen kann, muss sicher sein, auch wenn Ihr Unternehmen seinen Sitz außerhalb der EU hat.

Unternehmen müssen die Dokumentation sorgfältig pflegen

Es ist sehr zeitaufwändig, alle Anforderungen an die Dokumentationspflege zu erfüllen, eine Folgenabschätzung durchzuführen und Verstöße zu melden. Wenn ein neues Gerät zu einem Netzwerk hinzugefügt wird, sollte es immer Ihren Bestimmungen entsprechend gesichert werden und von einem SIEM-Tool (Systems Information and Event Management) überwacht werden, um Probleme nachzuverfolgen, die Wiederherstellung zu ermöglichen und die Erstellung von Compliance-Berichten zu unterstützen.

Unternehmen müssen Verstöße innerhalb von 72 Stunden melden

Unternehmen müssen die Data Protection Association (Verband für Datenschutz) unverzüglich und – wenn möglich – innerhalb von 72 Stunden informieren. Wenn sie dies nicht tun, muss hierfür eine überzeugende Begründung geliefert werden. Diese neue Anforderung wurde eingeführt, um die Rechte des Einzelnen, Informationen über den Verbleib und die Verwendung seiner persönlichen Daten zu erhalten, zu stärken und um sicherzugehen, dass die Organisationen, die über diese Daten verfügen, auch die korrekten Vorgänge, Tools und Produkte zur Überwachung, Risikoidentifizierung und Angriffsabwehr verwenden, um die Kundendaten zu schützen.

Unternehmen müssen eine hohe Strafe zahlen, wenn sie diese Vorschrift nicht einhalten

Die neue Vorschrift führt eine abgestufte Vorgehensweise bezüglich der Strafen ein und die Höhe der Geldstrafe wird an der Schwere des Verstoßes gemessen. Die zu bezahlende Höchststrafe kann bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes eines Unternehmens betragen1. Wie schon erwähnt, wurden in einigen Ländern, wie den Niederlanden, sogar noch höhere Strafen eingeführt – bis zu 11 % des Jahresumsatzes

Wie können IT-Teams sicherstellen, dass alle PCs und Drucker die Verordnung erfüllen?

Beim Schutz von PCs und Druckern gibt es bei der Vorbereitung auf die Einführung dieser neuen Vorschriften einige praktische Schritte, die unternommen werden können, um sicherzustellen, dass Ihre Endgeräte die Vorschriften erfüllen.

  1. Vorbereitung auf eine Compliance-Prüfung
    Um sich auf eine Compliance-Prüfung vorzubereiten, sollten IT-Teams überprüfen, ob sie ihre gesamte IT-Infrastruktur effektiv überwachen können, einschließlich aller Endgeräte wie PCs und Drucker. Des Weiteren sollten sie regelmäßige Überprüfungen durchführen, um alle Endgeräte, einschließlich der gesamten Druckerflotte, entsprechend den Vorschriften zu verwenden.
  2. Durchführung einer kompletten Prüfung
    IT-Teams müssen jedes Gerät identifizieren, das auf die Unternehmens- und Kundendaten zugreifen kann, und die jeweils eingebaute Sicherheitsstufe bewerten. Es ist auch empfehlenswert, ein Sicherheitsmanagement-Tool für Flotten zu verwenden, das sofort neue Geräte identifiziert und automatisch die Einstellungen der Unternehmenssicherheitsrichtlinien anwendet.
  3. Annahme integrierter Sicherheit
    IT-Teams müssen die richtigen IT-Richtlinien implementieren, sodass Compliance-Anforderungen von vornherein erfüllt sind, wenn neue Geräte oder Dienste in das Netzwerk aufgenommen werden. Stellen Sie sicher, dass Sie alle Geräte überwachen können, einschließlich aller Drucker, und geben Sie Auffälligkeiten oder Informationen zu Vorfällen in Ihr netzwerkweites Schwachstellen-Analyse- und Überwachungstool, wie beispielsweise ein SIEM-Tool, ein.
Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.