Ihre Daten sind in Gefahr: Warum Compliance allein kein effektiver Schutz ist

Der Schutz sensibler, privater und unternehmenseigener Daten sollte zu den wichtigsten Zielen jeder Cybersicherheitsstrategie gehören. Andernfalls drohen schwerwiegende, wenn nicht katastrophale Folgen wie hohe Strafgelder bei Complianceverstößen und – noch schlimmer – der Verlust des Vertrauens von Kunden. Die Liste an geltenden Vorschriften für den Datenschutz ist genauso lang wie komplex und es scheint, als würde mit jedem neuen Datenleck eine neue Richtlinie hinzukommen.

Die Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), der Richtlinie zu Netzwerk- und Informationssystemen (NIS2-Richtlinie) und des California Consumer Privacy Act (CCPA) ist ein absolutes Muss, reicht aber allein nicht aus, denn beim Datenschutz geht es um mehr als um das Vermeiden von Bußgeldern. Es geht um den Schutz der wichtigsten Assets einer Organisation: das in sie gesetzte Vertrauen, ihren Ruf und ihren Fortbestand. Anstatt sich nur damit zu beschäftigen, welche Vorschriften Sie einhalten müssen, sollten Sie sich also auch fragen: „Warum sollte der Schutz von Daten eine Priorität sein und über die Einhaltung von Complianceanforderungen hinausgehen?“

Datenschutz und Cybersicherheit – aktuelle Herausforderungen

Tatsache ist: Bei der Bewertung der Daten- und Cybersicherheit einer Organisation steht die Einhaltung von gesetzlichen Vorgaben heutzutage oft im Mittelpunkt. Organisationen müssen sich in einem komplexen und immer größer werdenden Netzwerk aus regulatorischen Vorschriften für den Datenschutz zurechtfinden, die in ihrem Land, ihrer Region und ihrer Branche gelten.

Vielerorts beginnt der Weg hin zur vollständigen Compliance bei grundlegenden Vorschriften wie der EU-DSGVO¹, die seit ihrer Einführung 2018 weltweit als Beispiel herangezogen wird. Doch auch regionale Regelwerke müssen berücksichtigt werden. In den USA gelten beispielsweise in mindestens 20 Bundesstaaten eigene Vorschriften. Der CCPA² ist hier wohl das bekannteste Beispiel. Angesichts seiner strikten Vorgaben – und der saftigen Strafen, die bei Nichteinhaltung drohen, – sind Organisationen gut beraten, sich damit vertraut zu machen und so auch eine Schädigung ihres Markenimage zu vermeiden.

Branchenspezifische Auflagen, z. B. HIPAA im Gesundheitswesen, verkomplizieren den Weg zur vollständigen Compliance zusätzlich. Zur Einhaltung all dieser unterschiedlichen Vorschriften investieren Organisationen Milliarden in Cybersicherheitstools und -services. Studien zufolge werden derartige Ausgaben in Zukunft weiter zunehmen: Laut aktuellen Prognosen dürfte der weltweite Markt für Datensicherheitssoftwarelösungen von $3,8 Milliarden im Jahr 2024 auf bis über $48 Milliarden im Jahr 2032 wachsen und weist eine jährliche Wachstumsrate von mehr als 37 % auf.³

Doch obwohl Compliance unverzichtbar ist, ist sie dennoch nur ein Teil des Gesamtbilds. Für wirklich effektive Datensicherheit müssen Organisationen über das reine Vermeiden von Bußgeldern und das Einhalten gesetzlicher Vorschriften hinausgehen. Ziel müssen der Fortbestand des Unternehmens und sein langfristiger Erfolg sein. Warum genau der ganzheitliche Schutz von Daten – über Compliancevorgaben hinaus – dafür so wichtig ist, verdeutlichen die folgenden Aspekte:

• Betriebliche Resilienz: Der Verlust oder die unbefugte Manipulation privater und sensibler Informationen können den gesamten Geschäftsbetrieb lahmlegen. Ein derartiger Vorfall führt unweigerlich zu Ausfallzeiten (ob zur Ursachenermittlung oder zur Schadensbegrenzung) und damit zu Störungen für Mitarbeiter, Partnerunternehmen und Kunden. Durch den effektiven Schutz von Daten kann sichergestellt werden, dass Systeme stets verfügbar sind und kostspielige Unterbrechungen vermieden werden.
• Finanzielle Verluste: Die finanziellen Folgen eines Datenlecks gehen weit über etwaige Bußgelder für Complianceverstöße hinaus. Organisationen müssen mit Umsatzverlusten aufgrund von Ausfällen, Strafzahlungen an Vertragspartner und hohen Kosten für die Angriffsabwehr und Schadensbehebung rechnen. Bei global agierenden Unternehmen summieren sich die an den einzelnen Standorten anfallenden Kosten und können schnell exorbitante Höhen erreichen.
• Rufschädigung: Datenverluste können den Ruf einer Organisation nachhaltig schädigen. Unternehmen, die ihrem Versprechen, personenbezogene Daten zu schützen, nicht nachkommen, können mit Kritik aus der Öffentlichkeit und Sanktionen rechnen, heißt es seitens der US-amerikanischen Federal Trade Commission (FTC). Keine Organisation möchte wegen Millionen an offengelegten sensiblen Daten Negativschlagzeilen machen – denn davon erholt sich das Markenimage nur schwer.
• Vertrauensverlust: Das in sie gesetzte Vertrauen zählt zu den wertvollsten Ressourcen einer Organisation. Doch es ist ebenso flüchtig. Mitarbeiter, deren personenbezogene Daten offengelegt wurden, oder Kunden, deren Daten nicht sorgfältig verarbeitet wurden, wenden sich schnell von Unternehmen ab. Die Folgen: finanzielle Verluste und eine Schädigung des Markenimage. Dieses Vertrauen wiederherzustellen, kann Jahre dauern.

Obwohl die Einhaltung von Compliancevorgaben maßgeblich für den Datenschutz ist, steht für Organisationen weit mehr auf dem Spiel. In puncto Datensicherheit geht es um die Geschäftskontinuität, finanzielle Stabilität und das Vertrauen, das Kunden und Mitarbeiter in die Organisation setzen.

Relevante Risiken und Schwachstellen

Die Motive von Cyberkriminellen sind vielfältig – finanzielle Bereicherung, geopolitische Einflussnahme oder einfach der Spaß an der Sache und dem Wettbewerb mit anderen Hackern. Eines haben jedoch fast alle gemeinsam: Sie nutzen dieselben bewährten Methoden. Ein näherer Blick auf diese unterstreicht, warum es beim Datenschutz um mehr als nur die Einhaltung von Vorgaben geht:

• Aushebelung schwacher oder inkonsistenter Zugriffskontrollen: Unzureichend verwaltete Zugriffskontrollen machen es Hackern besonders leicht, unerlaubt auf sensible Informationen wie personenbezogene Daten zuzugreifen. Mit gestohlenen oder kompromittierten Anmeldedaten umgehen Angreifer Sicherheitssysteme, und sogar die Multi-Faktor-Authentifizierung – einst das Nonplusultra in Sachen Sicherheit – kann heutzutage mit kreativen Methoden vermieden werden. Obwohl Compliancevorgaben „nur“ die Implementierung von Zugriffskontrollen vorschreiben, sind für wirklich effektiven Schutz noch weitere Maßnahmen erforderlich, darunter eine kontinuierliche Überwachung, regelmäßige Aktualisierung und robuste, aktive Verwaltung dieser Kontrollen. Nur so können Sie mit dynamischen Bedrohungen und neuen Angriffsmethoden Schritt halten.
• Ransomware: Ransomwareangriffe erfreuen sich heute unter Cyberkriminellen großer Beliebtheit, und zwar insbesondere in Sektoren wie dem Gesundheits- und Bildungswesen sowie dem öffentlichen Dienst, wo die Offenlegung sensibler Daten schwerwiegende Auswirkungen auf den Betrieb hat. Derartige Angriffe können Services – potenziell für längere Zeit – lahmlegen und das Vertrauen der Öffentlichkeit in die betroffenen Institutionen untergraben. Zwar sind in Complianceframeworks grundlegende Abwehrmaßnahmen vorgeschrieben, jedoch reichen diese zum Erzielen echter betrieblicher Resilienz nicht aus. Ransomwareangriffe zeigen, wie wichtig der Schutz von Daten für die kontinuierliche Verfügbarkeit von Diensten und die Wahrung des Vertrauens von Stakeholdern ist – und dass die Einhaltung einschlägiger Vorschriften allein in der Regel weder das eine noch das andere garantiert.
• Phishing und Social Engineering: Es wird immer schwieriger, Phishingangriffe, die oft auf ausgeklügelten Social Engineering-Taktiken basieren, als solche zu erkennen. Hacker erstellen E-Mails und Benachrichtigungen, die jenen vertrauenswürdiger Marken zum Verwechseln ähnlich sind, und bringen Benutzer so dazu, ihre Anmeldedaten einzugeben oder auf schädliche Links zu klicken. Die Kompromittierung von Geschäfts-E-Mails (BEC) nimmt stetig zu und Organisationen sind angehalten, den umfangreichen E-Mail-Verkehr, der täglich über ihre Systeme abgewickelt wird, zu überwachen. Phishingangriffe entwickeln sich rasant weiter und werden von Compliancechecklisten dementsprechend nicht vollständig abgedeckt. Um den entscheidenden Schritt vorauszubleiben, sollten Organisationen auf Verhaltensanalysen und Schulungen für Mitarbeiter setzen. Denn: Der Mensch ist oft das schwächste Glied bei der Sicherheit und Vorschriften allein werden das nicht ändern. Es braucht ein breiteres Bewusstsein und regelmäßige Trainings.
• Insiderbedrohungen: Insiderbedrohungen nehmen ebenfalls zu. Oft haben missmutige Mitarbeiter oder Auftragnehmer auch noch nach Ende ihres Arbeitsverhältnisses Zugang zu wichtigen Datenbanken. Einige missbrauchen ihre Kenntnis der Unternehmenssysteme, um Daten zu stehlen oder den Betrieb zu stören. Aus Compliancegründen müssen Zugriffe auf Systeme möglicherweise protokolliert werden. Insiderbedrohungen zeigen allerdings, dass es auch wichtig ist, Zugriffsrechte kontinuierlich zu prüfen und strengere Richtlinien für die Aufbewahrung von Daten zu implementieren. Für effektive Datensicherheit muss sichergestellt werden, dass Benutzer, die nicht länger für die Organisation arbeiten, keine Zugriffsrechte mehr haben, die sie für böswillige Zwecke ausnutzen könnten.
• Kompromittierung über Drittanbieter: Da Organisationen tendenziell immer enger mit externen Anbietern zusammenarbeiten, stellen die Systeme von Dritten ein attraktives Angriffsziel dar. Diese Partnerunternehmen haben oft privilegierte Zugriffsrechte für sensible Informationen, jedoch nicht immer entsprechend starke Sicherheitsmaßnahmen. Effektiver Datenschutz erfordert starke Sicherheit innerhalb Ihrer eigenen Organisation und darüber hinaus, im gesamten Ökosystem. Daher sollten Organisationen sich nicht nur auf ihre eigene Compliance konzentrieren, sondern auch die Sicherheitspraktiken ihrer Partner, Anbieter und Dienstleister bewerten, um von dort aus ausgehende Sicherheitsverstöße zu vermeiden.

Neben diesen Risiken verschärft die zunehmende Nutzung privater Mobilgeräte durch mobile und hybride Belegschaften die Bedrohungslage weiter. Hacker können nicht gesicherte Geräte oder Heimnetzwerke infiltrieren und sich dann als deren legitime Benutzer ausgeben, um sich Zugang zu Unternehmenssystemen zu verschaffen. Das sollten Sie beachten: Der großflächige Umstieg auf mobile Arbeitsweisen verlangt nach Sicherheitsmaßnahmen, die über herkömmliche Compliance hinausgehen. Organisationen müssen umfassende Lösungen für das Mobile Device Management (Verwaltung von mobilen Geräten, MDM) implementieren und ihre Angestellten über den wirksamen Schutz von Heimnetzwerken informieren.

Auch Edge Computing und das Internet der Dinge (IoT) tragen zur Vergrößerung der Angriffsfläche bei, denn viele IoT-Geräte verfügen aufgrund ihrer geringen Größe und Rechenleistung nicht über starke Sicherheitsfeatures. Da die Nutzung von IoT-Geräten weiter zunimmt, können sich Hacker über diese schlecht geschützten Assets Zugang zu größeren Systemen verschaffen. Das sollten Sie beachten: Compliancevorgaben stellen zwar generelle Anforderungen an die Sicherheit der IT-Infrastruktur; die spezifischen für IoT- und Edge-Geräte erforderlichen Sicherheitsprotokolle werden dabei jedoch meist nicht behandelt. Der Schutz dieser Endpunkte ist für umfassende Datensicherheit unerlässlich.

Doch selbst damit ist es noch nicht getan. Künstliche Intelligenz (Artificial Intelligence, AI) hat die Karten in der Cybersicherheitslandschaft neu verteilt und Hacker nutzen diese Technologie für automatisierte und großflächige Angriffe. Egal ob Phishing oder Identitätsdiebstahl, AI-gestützte Angriffe finden schneller und häufiger statt – und ihre Auswirkungen sind verheerend. Das sollten Sie beachten: Obwohl die Datensicherheit bei Compliancevorgaben ein Kernthema ist, werden die Geschwindigkeit und Komplexität von AI-Angriffen oft außer Acht gelassen. Organisationen sollten AI-gestützte Abwehrmechanismen implementieren, um mit der kontinuierlichen Weiterentwicklung der Angriffstechniken Schritt zu halten.

Wichtige Strategien und Maßnahmen für effektive Datensicherheit

Organisationen müssen den Datenschutz im Rahmen ihrer Cybersicherheitsstrategie zu einer Priorität machen – und zwar nicht nur um der Compliance willen. Die betriebliche Resilienz, das in sie gesetzte Vertrauen, ihr Ruf und die Kunden- bzw. Mitarbeitererfahrung stehen auf dem Spiel. Die folgenden Maßnahmen helfen, eine solide Basis für umgehenden Schutz zu schaffen:

1. Durchführung umfassender Tests
   Regelmäßige Audits und Schwachstellenbewertungen für die Datensicherheit sollten ein fester Bestandteil jeder Cybersicherheitsstrategie sein. Während Überprüfungen hinsichtlich der Compliance oft ohnehin Pflicht sind, lohnt es sich genauso, interne Überprüfungen aktuell bestehender Schwachstellen und der Abwehrbereitschaft durchzuführen. Solche Tests stellen sicher, dass Systeme vor dynamischen Bedrohungen geschützt sind und diesen standhalten.
2. Durchgängige Verschlüsselung
   Daten sollten immer verschlüsselt werden – sowohl während ihrer Übertragung als auch im Speicher, unabhängig davon, ob sie sich in einer Cloud- oder Edge-Umgebung oder im Rechenzentrum befinden. Dies gilt auch für Back-ups. Die genutzten Verschlüsselungsschlüssel müssen ordnungsgemäß und konsistent verwaltet werden. Die Verschlüsselung dient als letzte Verteidigungslinie und verhindert den Missbrauch gestohlener Daten.
3. Erstellung robuster Richtlinien
   Ein solides Framework für die Datensicherheit ist ein Muss. Zum Glück müssen Sie dabei nicht das Rad neu erfinden. Standards wie die DSGVO, HIPAA und PCI DSS bieten eine exzellente Vorlage. Sorgen Sie durch geeignete Richtlinien dafür, dass nur für den Geschäftsbetrieb relevante persönliche Daten (wie Kundendaten und Informationen für die Lohnabrechnung) erfasst und gespeichert werden. Jede Ausdehnung der Zugriffsrechte steigert das Risiko eines Datenlecks. Deswegen sollten Berechtigungen unbedingt so gering wie möglich gehalten werden.
4. AI als Hilfsmittel
   Da Angriffe immer häufiger auftreten und dynamischer werden, sollten Sie AI für den Schutz Ihrer Daten nutzen. Organisationen haben möglicherweise Schwierigkeiten damit, genügend qualifizierte Cybersicherheitsexperten und SOC-Analysten einzustellen. Hier kann AI Abhilfe schaffen und dank Automatisierung einen wichtigen Beitrag zur effizienten Erkennung und Abwehr von Bedrohungen leisten.

Für Fortgeschrittene: zusätzliche Maßnahmen für bessere Datensicherheit

Zusätzlich zur Implementierung der obenstehenden, kritischen Strategien sollten Sie die folgenden Maßnahmen in Betracht ziehen, um den Schutz Ihrer Daten weiter zu stärken:

• Schulungen für Endbenutzer: Menschliche Fehler sind die Hauptursache für Datenlecks, da Mitarbeiter die Datensicherheit oft unwissentlich untergraben. Regelmäßige Fortbildungen und Schulungen können diesem Risiko entgegenwirken und ein Bewusstsein für Phishingangriffe, Social Engineering und Best Practices zur Datenverwaltung schaffen.
• Reduzierung der Komplexität: Die Modernisierung veralteter Systeme und die Plattformisierung können mit komplexen Umgebungen einhergehende Sicherheitslücken schließen. Die Vereinfachung des Sicherheits-Stacks verkleinert die Angriffsfläche und steigert die Wirksamkeit von Datensicherheitskontrollen.
• Identifizierung von IT-Wildwuchs: IT-Wildwuchs entsteht, wenn Mitarbeiter oder Abteilungen nicht genehmigte Technologielösungen in die Organisation einbringen. Besonders gefährlich ist das, wenn Large Language Models (LLMs) oder AI-Tools entwickelt und für ihr Training unwissentlich personenbezogene oder private Daten herangezogen werden. Audits zum Aufspüren und Verwalten von IT-Wildwuchs sind für den Datenschutz unerlässlich.
• Ernennung eines Data Privacy Officers: Organisationen müssen stets über neue Bedrohungen, Vorschriften und Rechtsprechungen in puncto Datenschutz informiert sein. Schaffen Sie daher eine Vollzeitstelle für die Betreuung der Datensicherheit. Eine dedizierte Führungskraft sollte sich mit den neuesten Entwicklungen beschäftigen und sicherstellen, dass sich ändernde Vorschriften eingehalten werden.

Zu guter Letzt möchte ich Ihnen noch einen Tipp mitgeben: Wenn der Datenschutz in Ihrer Organisation eine Priorität ist, empfiehlt sich die Zusammenarbeit mit einem Cybersicherheitspartner, der bei der Datensicherheit über die Einhaltung von Complianceanforderungen hinausgeht und exzellente Produkte, Praktiken und Ansätze für den Datenschutz im gesamten Unternehmen bietet.

Lust auf mehr? Dann lesen Sie hier den Blogbeitrag von Palo Alto Networks zu den Prognosen für 2025.

¹„What is GDPR, the EU’s new data protection law?“, GDPR.EU, 2024
²„US Data Privacy Guide“, White & Case, 2024
³„Data Privacy Software Market Size, Share & Industry Analysis“, Forbes Business Insights, 2024