|
|
Änderung des Bundesdatenschutzgesetzes: Verschärfte Mitteilungspflicht bei Datendiebstahl art of defence rät: Unternehmenssysteme erneut überprüfen und absichern (14.08.09) - Zum 1. September tritt die verschärfte Informationspflicht beim Verlust von sensiblen Daten in Kraft - für IT-Leiter und Compliance-Verantwortliche in Unternehmen ein guter Anlass, die Sicherheit der IT-Infrastruktur erneut unter die Lupe zu nehmen. Darauf weist das auf IT-Sicherheit spezialisierte Unternehmen art of defence hin. Besonderes Augenmerk sollten Verantwortliche dabei auf Informationssysteme legen, die über das Internet zugänglich sind und Informationen wie Kreditkarten- und Bankdaten oder personenbezogene Daten enthalten. Dazu gehören beispiels-weise Online-Shops oder CRM- und ERP-Systeme, auf die Mitarbeiter im Außendienst oder von einem anderen Standort aus zugreifen.
Anzeige
Solche Web-Applikationen sind häufig Einfallstor für Angriffe. Deshalb sollte für sie ein adäquater Schutz durch eine Web Application Firewall (WAF) eingerichtet werden. "Hyperguard" von art of defence prüft eingehende Anfragen an die Web-Anwendung und erkennt Angriffe, die zu einem Auslesen von Daten aus dem System führen. Dr. Georg Heß, Geschäftsführer von art of defence, sagt: "Es mag sein, dass in der Praxis die Spielräume des Gesetzes weit ausgelegt werden. Im ersten Schritt jedoch gilt: Datenverluste müssen gemeldet werden. Das alleine verhindert zwar sicherlich noch keinen Angriff; aber mit einem Imageschaden muss bei einem Angriff ab sofort jeder rechnen. Unternehmen und öffentliche Stellen, die mit sensiblen Daten agieren, sollten die Änderung deswegen als Weckruf verstehen und sich um die Absicherung ihrer öffentlich zugänglichen Informationssysteme kümmern." Lesen Sie zum Thema "Compliance und Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de) Die Verschärfung der Informationspflicht resultiert aus
dem geänderten Bundesdatenschutzgesetz, das zum Die Daten, die das Gesetz meint, sind neben Bank- oder Kreditkarteninformationen auch personen-bezogene Angaben wie ethnische Herkunft oder Gewerkschaftszugehörigkeit sowie Daten zur Gesundheit oder zu strafbaren Handlungen. Unternehmen oder öffentliche Stellen müssen demnach alle Betroffenen informieren, wenn ihre Daten von Unbefugten eingesehen wurden. Vorgesehen ist entweder eine direkte Benachrichtigung oder - wenn eine Benachrichtigung anders nicht möglich ist - durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen. Die Gesetzesänderung ist Teil eines größeren Pakets an datenschutzrechtlichen Vorschriften, das der Bundestag kurz vor der Sommerpause verabschiedet hat. (art of defence: ma) |
||
|
