SECURITY REIMAGINED UNTERSCHIEDLICHER BEREITSCHAFTSGRAD FÜR NEUEN EU-DATENSCHUTZ

Transkript

1 in Zusammenarbeit mit UNTERSCHIEDLICHER BEREITSCHAFTSGRAD FÜR NEUEN EU-DATENSCHUTZ Französische, deutsche und britische Unternehmen im Unklaren über gesetzliche Anforderungen für Umfrage von IDG Connect im Auftrag von FireEye Position: Entscheidungsträger Segment: Europäische Unternehmen Art: Allgemeine Information Region: Großbritannien, Frankreich, Deutschland SECURITY REIMAGINED

2 2. GRAFISCHER ÜBERBLICK Unternehmen besser für neue NIS-Richtlinie gerüstet 50% 25% 0% 39% 20% NIS 44% 37% DS-GV 27% 18% A B C D A - Alle erforderlichen Maßnahmen umgesetzt B - Meisten erforderlichen Maßnahmen umgesetzt C - Einige erforderliche Maßnahmen umgesetzt 9% 6% D - Keine erforderlichen Maßnahmen umgesetzt In den nächsten zwei bis drei Jahren steht eine grundlegende Reform der EU-Datenschutzgesetzgebung bevor zum einen in Form der Richtlinie zur Netzund Informationssicherheit (NIS), zum anderen durch die Datenschutz-Grundverordnung (DS-GV). Wie die Infografik zeigt, haben viele Unternehmen aus Frankreich, Deutschland und Großbritannien bei der Implementierung geeigneter Sicherheitsmaßnahmen noch einen weiten Weg vor sich. Kosten und Komplexität als wichtigste Herausforderungen Meldeverfahren Richtlinienkomplexität Implementierungskosten Bedarf an neuen Investitionen in Hardware/Software Beschaffung von Know-how Zertifizierung von Systemen, Prozessen und Richtlinien Meldefristen 8% 18% 23% 23% 12% 11% 5% Investitionen in neue Hardware und Software stellen die größte Herausforderung für IT-Abteilungen bei der Erfüllung der neuen EU-Vorgaben im Bereich Cybersicherheit dar, dicht gefolgt von Implementierungskosten und komplexeren Sicherheitsrichtlinien.

3 2a. Planungsverantwortung GRAFISCHER ÜBERBLICK für die Umsetzung der NIS-Richtlinie und Datenschutz-Grundverordnung Mitglied der IT-Abteilung Mitglied der Rechtsabteilung Externer IT-Berater Cybersicherheitsexperte Externer Rechtsbeistand Externer Cybersicherheitsberater 62% 36% 34% 31% 29% 26% Interne IT-Teams tragen die Hauptlast bei der Umsetzung der NIS-Richtlinie sowie der Datenschutz- Grundverordnung einschließlich der Ausarbeitung konformer Richtlinien und Meldeverfahren.

4 3. EINLEITUNG Es stehen grundlegende Änderungen im europäischen Datenschutzrecht bevor: Für die kommenden zwei bis drei Jahre plant die Europäische Union den Erlass neuer Gesetze, welche die Implementierung von Sicherheitsrichtlinien sowie die Meldung schwerwiegender Sicherheitsvorfälle für Unternehmen der einzelnen Mitgliedstaaten von Grund auf neu regeln sollen. Die Richtlinie zur Netz- und Informationssicherheit (NIS) soll 2015 in Kraft treten, muss jedoch noch durch den Rat der Europäischen Union und das Europäische Parlament verabschiedet werden. Zudem gibt es Bestrebungen, die Datenschutzgesetze der einzelnen EU-Mitgliedstaaten in Form einer gemeinsamen Datenschutz-Grundverordnung zu vereinheitlichen. Die Einführung ist für das Frühjahr 2015 vorgesehen, rechtlich verpflichtend soll sie ab 2017 sein. Die NIS-Richtlinie wird strengere Sicherheitsanforderungen und Meldepflichten für eine große Bandbreite von Privatunternehmen mit sich bringen. Die Richtlinie sieht vor, dass Betreiber kritischer Infrastrukturen in den Bereichen Energie, Finanzdienstleistungen, Gesundheit, Transport und öffentliche Verwaltung angemessene Maßnahmen zur Eindämmung von Sicherheitsrisiken ergreifen und schwerwiegende Sicherheitsvorfälle der zuständigen nationalen Behörde melden müssen, beispielsweise einem IT-Notfallteam (auch Computer Emergency Response Team bzw. kurz CERT genannt). Ziel ist es, zentrale Anlaufstellen für Angelegenheiten des Datenschutzes in den einzelnen Mitgliedstaaten zu schaffen. Der Gesetzesentwurf richtete sich ursprünglich auch an Anbieter von Diensten der Informationsgesellschaft (z. B. App Stores, Clouddienste, Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, Suchmaschinen und soziale Netze). Diese Idee wurde jedoch verworfen, da Branchenverbände erhebliche Bedenken anmeldeten und das Europäische Parlament den Vorschlag als unverhältnismäßig und nicht praktikabel kritisierte. Stattdessen sollen derartige Unternehmen ermutigt werden, auftretende Sicherheitsvorfälle auf freiwilliger Basis zu melden. Einige Aspekte der NIS-Richtlinie richten sich direkt an die Regierungen der Mitgliedstaaten. Diese sollen nationale NIS- Strategien implementieren und die dafür zuständige Behörde benennen. Des Weiteren sollen Kooperationsmechanismen zum Austausch von Sicherheitsinformationen und bewährten Verfahren innerhalb der Europäischen Union entwickelt werden und frühzeitig vor Sicherheitsrisiken warnen. Obwohl die Richtlinie vom Europäischen Parlament bereits im März 2014 verabschiedet wurde, liegt der aktuelle Gesetzesentwurf unter Einhaltung der geltenden Verfahrensbestimmungen derzeit dem Europäischen Rat vor, welcher zur Vornahme weiterer Änderungen berechtigt ist.

5 3a. EINLEITUNG Die Datenschutz-Grundverordnung bezweckt eine EU-weit einheitliche Regelung des Datenschutzes. Bisher wurden die Datenschutzverordnungen der Europäischen Union länderspezifisch mit teils erheblichen Abweichungen umgesetzt. Betroffen sind alle in Europa tätigen Unternehmen unabhängig davon, ob die von ihnen verarbeiteten Daten innerhalb der EU gespeichert werden. Auch der Begriff der personenbezogenen Daten wurde erweitert und umfasst nun -Adressen, IP-Adressen von Computern sowie Posts in sozialen Netzwerken. Neben bereits in der NIS-Richtlinie enthaltenen Forderungen nach höheren Bußgeldern und der Errichtung nationaler One-Stop Shops für Datenschutz soll die Grundverordnung neue Regelungen für den Umgang mit personenbezogenen Daten von EU-Bürgern definieren. Für Unternehmen ergeben sich folgende Pflichten: - Nutzer müssen über auftretende Datenlecks ohne ungerechtfertigte Verzögerung (innerhalb von 72 Stunden) informiert werden. - Endnutzer können eine Kopie ihrer personenbezogenen Daten in einem portablen Format anfordern, {MQ}um die Übertragung in ein anderes EDV-System zu ermöglichen. - Recht auf Löschung: Der Endnutzer kann verlangen, dass alle seine personenbezogenen Daten gelöscht werden, sofern keine rechtmäßigen Gründe für ihre Einbehaltung vorliegen. - Zur Erhebung personenbezogener Daten ist die Einwilligung des Nutzers erforderlich, die zudem jederzeit zurückgenommen werden kann. - Um personenbezogene Daten in Ländern außerhalb des Europäischen Wirtschaftsraums zu verarbeiten, die über keine angemessenen Datenschutzregelungen verfügen, muss eine behördliche Genehmigung eingeholt werden. - Ernennung eines Datenschutzbeauftragten (gilt voraussichtlich nur für Unternehmen, die mehr als 250 Mitarbeiter beschäftigen und/oder Daten von mehr als Betroffenen pro Jahr verarbeiten, sowie für staatliche Behörden). - Die Kontaktdaten des für die Verarbeitung Verantwortlichen müssen veröffentlicht werden. - Effektive Datenschutzregelungen müssen in Geschäftsprozesse eingebettet und bei der Entwicklung von Produkten und Dienstleistungen angewendet werden ( Privacy by Design ). IDG Connect führte eine Umfrage unter Unternehmen aus Frankreich, Deutschland und Großbritannien durch, die jeweils mehr als 500 Mitarbeiter beschäftigten. Von den 260 Befragten waren 31 % IT-Manager und 20 % IT-Leiter. Weitere 27 % nahmen innerhalb ihrer IT- Organisation Führungspositionen wie Chief Information Officer, Chief Technology Officer oder Chief Security Officer ein. Ein Großteil der Befragten (20 %) war in der Software- und IT-Serviceindustrie tätig. 11 % kamen aus dem Elektronikbereich, 8 % aus der industriellen Fertigungsbranche und jeweils 7 % aus dem Finanz- und Gesundheitswesen. Die vorliegende Studie untersucht die Erwartungshaltung und den Kenntnisstand europäischer Unternehmen im Hinblick auf die neue EU-Datenschutzgesetzgebung. Im Fokus stehen insbesondere die zu erwartenden Auswirkungen auf den Geschäftsbetrieb sowie die Frage, wie Unternehmen in Frankreich, Deutschland und Großbritannien auf die neue Rechtslage reagieren.

6 4. UNTERNEHMEN BESSER FÜR NEUE NIS- RICHTLINIE GERÜSTET ALS FÜR DATENSCHUTZ- GRUNDVERORDNUNG Laut der Umfrage sehen sich Unternehmen geringfügig besser für die NIS-Richtlinie als für die Datenschutz-Grundverordnung gerüstet: 76 % der Befragen gaben an, dass entweder alle oder die meisten Maßnahmen zur Einhaltung der NIS-Vorgaben umgesetzt wurden, verglichen mit 64 % bei der Datenschutz- Grundverordnung. Davon war ein weitaus größerer Anteil (39 %) der Ansicht, alle NIS-Anforderungen erfüllen zu können; im Falle der Datenschutz-Grundverordnung waren dies lediglich 20 %. Dennoch steht noch viel Arbeit bevor: 18 % bzw. 27 % der Befragten gaben an, dass lediglich einige der erforderlichen Maßnahmen umgesetzt wurden. 6 % respektive 9 % der Befragten waren überzeugt, dass die geplanten Gesetzesentwürfe auf sie keine Anwendung finden, und haben folglich noch keine der Maßnahmen umgesetzt. Sowohl die Richtlinie zur Netz- und Informationssicherheit als auch die Datenschutz-Grundverordnung liegen noch nicht in ihrer endgültigen Fassung vor, die aktuellen Entwürfe werden zudem weithin als zu vage kritisiert (vgl. Frage 5 in Abschnitt 8). Deshalb entsteht der Eindruck, dass einige IT-Abteilungen ihren Kenntnisstand zu optimistisch einschätzen oder nach außen hin zwar große Zuversicht beim Thema Compliance demonstrieren, diese aber im Falle eines Sicherheitsvorfalls schnell erschüttert wird. Laut der Umfrage sehen sich Unternehmen in Deutschland besser auf die NIS-Richtlinie vorbereitet als solche in anderen europäischen Ländern: 46 % der Unternehmen sind der Ansicht, dass alle erforderlichen Vorkehrungen getroffen wurden; in Frankreich sind dies nur 38 % der Unternehmen, in Großbritannien 34 %. Weitere 36 % gaben an, dass ein Großteil der Maßnahmen implementiert wurde (ähnliche Werte in Frankreich und Großbritannien). Ebenso war nur eine geringe Zahl der Deutschen der Meinung, ihr Arbeitgeber hätte keinerlei Maßnahmen in Reaktion auf die bevorstehende Datenschutz- Grundverordnung ergriffen 6 % verglichen mit 12 % der Franzosen und 8 % der Briten. Diese Zahlen deuten auf ein höheres Vertrauen in bestehende Datenschutzstrategien hin. Ein möglicher Grund für diese Zuversicht ist, dass Datenschutz in Deutschland einen hohen Stellenwert einnimmt. Das Bundesdatenschutzgesetz (BDSG) wurde bereits im Jahr 1970 verabschiedet. Jedes Bundesland verfügt zusätzlich über eigene Datenschutzgesetze. Diese gelten für alle Unternehmen - außer Telekommunikationsdienstleister, die innerhalb der Landesgrenzen geschäftlich tätig sind. Diese werden durch Regierungsbehörden überwacht. Großteil der Unternehmen nicht ausreichend auf neuen EU-Datenschutz vorbereitet 50% 39% 44% NIS DS-GV 25% 20% 37% 27% A - Alle erforderlichen Maßnahmen umgesetzt B - Meisten erforderlichen Maßnahmen umgesetzt C - Einige erforderliche Maßnahmen umgesetzt 0% 18% 9% 6% D - Keine erforderlichen Maßnahmen umgesetzt A B C D

7 5. FURCHT VOR GELDBUSSEN, RECHTSKOSTEN UND GESCHÄFTSVERLUST Viele Unternehmen (58 %) sind angesichts der hohen Geldbußen besorgt, die ihnen im Falle eines Verstoßes gegen die neuen Verordnungen drohen. Die Datenschutz- Grundverordnung sieht Höchststrafen von 100 Millionen Euro bzw. 5 % des globalen Jahresumsatzes vor je nachdem, welcher Betrag höher ist. Im Vergleich dazu muten frühere Strafzahlungen verschwindend gering an. Viele Unternehmen (58 %) sind angesichts der hohen Geldbußen besorgt, die ihnen im Falle eines Verstoßes gegen die neuen Verordnungen drohen. Die Datenschutz- Grundverordnung sieht Höchststrafen von 100 Millionen Euro bzw. 5 % des globalen Jahresumsatzes vor je nachdem, welcher Betrag höher ist. Im Vergleich dazu muten frühere Strafzahlungen verschwindend gering an. Die französische Datenschutzbehörde CNIL (Commission Nationale de l informatique et des Libertes) verurteilte Google 2014 aufgrund der fehlenden Transparenz seiner neuen Datenschutzrichtlinie zur Zahlung von Euro. Laut der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) variiert die Zahl der gemeldeten Sicherheitsvorfälle in den einzelnen Mitgliedstaaten jedoch teilweise erheblich und hängt in starkem Maße von der lokalen Gesetzgebung ab. Länder, die bisher vergleichsweise viele Sicherheitsvorfälle meldeten und wenige Geldbußen verhängten, könnte die neue NIS-Richtlinie besonders hart treffen. Strafzahlungen stellen dabei nicht das einzige finanzielle Risiko dar: Die Mehrheit der Befragten schätzt Imageschäden (57 %), die entgangene Geschäftschancen oder verlorenen Umsatz nach sich ziehen (58 %), als ebenso gravierend ein. Die Gefahr, das Vertrauen der Kunden zu verlieren, und die mit Audits und Gerichtsverfahren verbundenen Rechtskosten werden mit einer Wichtigkeit von 54 % bzw. 53 % ebenfalls als bedeutende negative Konsequenzen eingestuft. Ein Hinweis, dass die Folgen eines Sicherheitsvorfalls meist durch internes IT-Personal ohne Hilfe von außen aufgearbeitet werden sollen, ist die geringe Sorge angesichts steigender Beratungskosten und der Notwendigkeit, umfassende Sicherheitsaudits durchzuführen (jeweils 40 %). Interessanterweise wird davon ausgegangen, dass höhere Rechtskosten erst in drei Jahren eine größere Rolle spielen werden als heute (38 % gegenüber 32 %). Aller Voraussicht nach gehen die Umfrageteilnehmer davon aus, dass Meldepflichten in Zukunft strenger gehandhabt werden und Anwaltskosten aufgrund der rechtlich prekären Situation steigen. In dieser Frage gab es nur wenige Abweichungen zwischen den drei Ländern, obwohl Unternehmen in Frankreich sich etwas besorgter angesichts höherer Geldbußen (61 %) zeigten und den gestiegenen Anforderungen an Sicherheitsaudits weniger Beachtung schenkten (32 %). Rufschäden und Vertrauensverlust geben Anlass zur Sorge Geschäfts-/Umsatzverluste Drohende Bußgelder Rufschädigung Vertrauensverlust und sinkende Kundenloyalität Rechtskosten Höhere Beratungskosten zur Bewältigung von Sicherheitsvorfällen Bedarf an der Durchführung umfangreicher Sicherheitsaudits 58% 58% 57% 54% 53% 40% 40%

8 6. Zwei ZWEI DRITTEL GLAUBEN, IHR UNTERNEHMEN SEI SICH DER KONSEQUENZEN DER GEPLANTEN EU- DATENSCHUTZREFORM BEWUSST Drittel (66 %) der Befragten glauben, dass ihr Unternehmen sich darüber im Klaren sei, welche Auswirkungen die Datenschutzreform auf bestehende Cybersicherheitsrichtlinien und Meldeverfahren habe, was erneut auf eine gewisse Nachlässigkeit schließen lässt. Etwas selbstkritischer zeigen sich die Briten: 60 % der Befragten sind der Ansicht, dass ihr Unternehmen die zukünftigen Anforderungen realistisch einschätzen kann. Dieselbe Meinung vertreten 69 % der Befragten in Frankreich und 68 % der Befragten in Deutschland. Ein Drittel (33 %) der Befragten gab an, ihr Unternehmen verfüge über ein unvollständiges Bild der Anforderungen, was als realistischere Sichtweise einzuschätzen ist. Klar ist: Noch immer herrscht viel Verwirrung über den Inhalt der geplanten Datenschutzgesetze, mögliche Überschneidungen und den Kreis der tatsächlich davon betroffenen Unternehmen. Das Ausmaß und die Vielzahl kürzlich gemeldeter Sicherheitsvorfälle deutet darauf hin, dass in den meisten Unternehmen regelmäßig Sicherheitslücken auftreten. Laut einem Bericht der Sicherheitsanbieter Risk Based Security und Open Security Foundation wurden 2013 weltweit mindestens Datenlecks bekannt, wobei 822 Millionen Datensätze mit personenbezogenen Informationen offengelegt wurden. Die Mehrheit der Sicherheitsvorfälle (75 %) war auf externe Hacker zurückzuführen, der Rest auf menschliches Versagen und Störfälle. Nur etwas über die Hälfte davon (53,4 %) war im privaten Sektor anzusiedeln, gefolgt von staatlichen Institutionen (19,3 %) sowie dem Gesundheits- (11,5 %) und Bildungswesen (8,2 %). Eine vom britischen Department of Business Innovation and Skills in Auftrag gegebene Umfrage ergab, dass 93 % der großen Konzerne und 87 % aller Kleinunternehmen 2013 einer Sicherheitsverletzung zum Opfer fielen. Bereits jetzt sind viele Unternehmen verpflichtet, auftretende Datenschutzverstöße unverzüglich zu melden. Mit Inkrafttreten der NIS-Richtlinie sowie der Datenschutz- Grundverordnung kommt auf IT-Abteilungen nochmals eine erheblich größere Belastung zu. Mangel an Klarheit lässt auf zu große Selbstsicherheit schließen 1% Kein Verständnis 33% Gewisses Verständnis 66% Volles Verständnis

9 7. POSITIVERE EINSTUFUNG DER NIS-GESETZGEBUNG Ein Ziel der NIS-Richtlinie ist es, Mindeststandards für den Datenschutz festzulegen sowie in möglichst vielen europäischen Unternehmen zentrale ITK- Sicherheitsrichtlinien zu etablieren, die in regelmäßigen Abständen überprüft werden können. Noch ist nicht klar, in welcher Form und durch wen diese Prüfung erfolgen soll. Geplant ist seitens der EU die Errichtung nationaler Behörden, die als zentrale Anlaufstelle in allen Fragen der Netz- und Informationssicherheit fungieren sollen. An die Stelle der bisherigen Praxis, bei der Sicherheitsvorfälle auf freiwilliger Basis gemeldet wurden und die Evaluierung von Sicherheitsverfahren nicht verpflichtend war, sollen regelmäßige Sicherheitsaudits treten. Die Teilnehmer der IDG-Umfrage sehen dem mit gemischten Gefühlen entgegen: Viele (45 %) würden die Maßnahmen begrüßen, wenn hierdurch weniger starre und leichter durchführbare Sicherheitsprüfungen ermöglicht werden (nur 16 % der Befragten glauben, die Richtlinie hätte einen negativen oder gar keinen Einfluss). Ein völlig anderes Bild ergibt sich hingegen bei der Datenschutz- Grundverordnung. Laut dem vorliegenden Gesetzesentwurf müssen Behörden und Unternehmen, die pro Jahr Daten von mehr als Betroffenen verarbeiten, einen gesonderten Datenschutzbeauftragten ernennen, eine Risikoanalyse und eine Folgenabschätzung durchführen. Zudem muss die Einhaltung der Regeln regelmäßig durch die nationale Datenschutzbehörde überprüft werden. Im Gegensatz zur NIS-Richtlinie waren hinsichtlich der Datenschutz- Grundverordnung nur 22 % der Befragten der Ansicht, dass diese einen positiven Effekt haben werde. 17 % befürchteten gar negative Konsequenzen. Auch hier sind geringfügige regionale Abweichungen zu beobachten.eine relativ große Zahl der Befragten in Großbritannien (26 %) und Frankreich (24 %) sehen die Datenschutz- Grundverordnung durchweg positiv, in Deutschland liegt die Zahl der Befürworter bei 17 %. Mit 7 % sind dort auch die meisten Arbeitnehmer besorgt, dass die geplante Grundverordnung sich negativ auf die Compliance- Bestimmungen und Sicherheitsrichtlinien ihres Unternehmens auswirken könne. Die deutsche Skepsis könnte damit zusammenhängen, dass hier sowohl auf Bundes- als auch Länderebene bereits seit langem strikte Datenschutzbestimmungen einzuhalten sind. Bestehende Sicherheitsrichtlinien deutscher Unternehmen könnten deshalb in besonderem Maße auf den Prüfstand gestellt werden. Im Allgemeinen halten sich jedoch Optimismus (stark positiver bzw. gering positiver Einfluss) und Pessimismus (stark negativer bzw. gering negativer Einfluss) in den drei europäischen Ländern im Hinblick auf die Datenschutz-Grundverordnung ungefähr die Waage. Unterschiedliche Erwartungen hinsichtlich Compliance und Richtlinienverfahren NIS DS-GV 45% 39% 43% 22% 10% 18% 6% 12% 0% 5% Stark positiver Einfluss Gering positiver Einfluss Kein Einfluss Gering negativer Einfluss Stark negativer Einfluss

10 8. UNKLARHEIT BEZÜGLICH NEUER EU-DATENSCHUTZ- BESTIMMUNGEN Nach der Genehmigung des Gesetzesentwurfs zur NIS- Richtlinie im März 2014 verhandelt das EU-Parlament derzeit den konkreten Inhalt mit Vertretern der 28 EU- Mitgliedstaaten. Über den Entwurf zur Datenschutz-Grundverantwortung wurde zwar in der ersten Lesung vom EU- Parlament im März 2014 eine Einigung erzielt, verabschiedet wurde er jedoch noch nicht. Für die nächsten zwei Jahre sind weitere Verhandlungen zwischen Parlament, Europäischer Gemeinschaft und Europäischem Rat angesetzt. Der genaue Zeitpunkt der Ratifizierung ist ungewiss. Bisher kann zumindest mit Sicherheit festgehalten werden, dass die NIS- Richtlinie auf Unternehmen Anwendung findet, die kritische Infrastruktur bereitstellen. Dies betrifft insbesondere die Bereiche Energie, Gesundheit, Transport und Finanzdienstleistungen. Der Wirkungsradius könnte jedoch zu einem späteren Zeitpunkt noch ausgedehnt werden. Die neuen Regelungen könnten laut EU für jede Branche gelten, bei der die Störung oder Zerstörung \[kritischer Infrastruktur] erhebliche Auswirkungen auf einen Mitgliedstaat hätte. Selbst bei einer Umsetzung von NIS- Richtlinie und Datenschutz-Grundordnung wird das Europäische Parlament Unternehmen lediglich allgemeine Leitlinien zur Hand geben. Die Veröffentlichung konkreter technischer Standards, die im Rahmen von Compliance-Programmen von großem Nutzen wären, oder die Etablierung von Zertifizierungsverfahren ist vorerst nicht geplant. Angesichts der Tatsache, dass rund um die neue EU-Datenschutzgesetzgebung noch viele Fragen zu beantworten sind und derzeit nur wenig praktisches Wissen zu möglichen Compliance- Anforderungen verfügbar ist, verwundert es nicht, dass 42 % der Befragten sich nicht (20 %) oder nur teilweise darüber im Klaren sind, wie die Bestimmungen der geplanten Datenschutzreform eingehalten werden können. Diese Situation ist fatal für IT-Abteilungen, die bereits mit der Umgestaltung ihrer Datensicherheitsstrategie begonnen haben, da aktuell niemand mit Gewissheit sagen kann, ob die implementierten Verfahren und Lösungen auch tatsächlich konform mit den späteren Gesetzen sein werden. Weiter Unklarheit über erforderliche Sicherheitsanpassungen 40% 38% 42% 30% 20% 20% Klarheit über alle Compliance-Aspekte Klarheit über einige Compliance-Aspekte 10% Keine klaren Richtlinien 0

11 Laut 9. COMPLIANCE-KOSTEN IN MILLIARDENHÖHE EU-Schätzungen belaufen sich die Gesamtkosten zur Umsetzung der Vorgaben der NIS-Richtlinie branchenübergreifend auf ein bis zwei Milliarden Euro. Kleine und mittlere Unternehmen müssen mit Ausgaben in Höhe von bis Euro rechnen. Das Europäische Parlament hofft, dass Unternehmen diese Zusatzkosten durch die erwartete gesteigerte Nachfrage nach sicheren ITK-Produkten und -Services kompensieren können. Gleichzeitig soll das Vertrauen der Verbraucher gestärkt und Investitionen in digitale Services gefördert werden. Europäische Unternehmen blicken besorgt auf die drohende Kostenexplosion: Zum einen müssen Hardware, Software und Services auf den neuesten Stand gebracht werden, zum anderen entstehen Kosten für Rechtsbeistände und Beratungsdienstleistungen. Fast zwei Drittel (64 %) der Teilnehmer der IDG-Umfrage rechnen mit zusätzlichen Ausgaben für hardware- und softwarespezifische Sicherheitslösungen, 23 % sehen dies sogar als größte Herausforderung. Die Implementierungskosten werden von 58 % als wichtiger Faktor betrachtet, wiederum 23 % sehen hier das Hauptproblem. Offensichtlich hegen IT- Abteilungen keine Illusionen hinsichtlich der Zusatzkosten für Evaluierung, Beschaffung, Tests, Implementierung und Wartung, die bei der Realisierung adäquater Systeme, Prozesse und Richtlinien anfallen könnten. Über die Hälfte der Befragten (56 %) zeigt sich besorgt angesichts der hohen Komplexität, die voraussichtlich mit der Einführung entsprechender Compliance- Richtlinien einhergeht (18 % sehen dies als größte Herausforderung). Weiterhin verweisen 47 % der Befragten auf mögliche Probleme, an das rechtliche und sicherheitstechnische Know-how zu gelangen, das für ein Verständnis der Definitionen und Anforderungen des EU-Rahmenwerks erforderlich sei. Nicht wenige Unternehmen werden deshalb auf externe Berater zurückgreifen, um Systeme, Prozesse und Richtlinien zu zertifizieren. Obwohl Fristen und Verfahren zur Meldung von Sicherheitsvorfällen im Vergleich als geringste Herausforderung angesehen werden, sehen 42 % der Befragten in diesem Bereich noch Handlungsbedarf. Kauf und Installation von Sicherheitshardware/-software als wichtigste Herausforderung 44% 58% 64% 56% 47% 39% Zertifizierung von Systemen, Prozessen und Richtlinien Implementierungskosten Investitionen in Hardware/Software Richtlinienkomplexität Beschaffung von Know-how Meldefristen

12 10. INTERNES IT- PERSONAL TRÄGT HAUPTLAST FÜR DATENSCHUTZ Ein Großteil der Unternehmen (62 %) geht davon aus, dass ihre IT-Abteilung für die Bewertung der neuen Datenschutzanforderungen sowie das Verfassen entsprechender Compliance- und Melderichtlinien zuständig sein wird. Der Grad der Einbeziehung kann dabei je nach Unternehmensgröße und verfügbarem Personal stark variieren. Dabei spielt es eine untergeordnete Rolle, ob Wissen und Fertigkeiten der Mitarbeiter der Aufgabe auch wirklich gewachsen sind. Über ein Drittel (36 %) rechnet damit, dass Mitglieder der internen Rechtsabteilung mit dem Projekt betraut werden. Die bereits zuvor geäußerten Bedenken angesichts potenziell hoher Rechts- und Beratungskosten werden durch die geringe Anzahl von Befragten (29 %) untermauert, die voraussichtlich externe Rechtsberater ins Boot holen werden. Die Verfügbarkeit des internen Personals ist natürlich ein entscheidender Faktor. Das bestätigen auch solche Umfrageteilnehmer, die davon ausgehen, dass ihre Unternehmen auf externe IT-Berater zurückgreifen müssen (34 %). Eine geringere Anzahl von Unternehmen wird sich voraussichtlich an Cybersicherheitsspezialisten (31 %) oder externe Cybersicherheitsberater (26 %) wenden. Diese Zahlen lassen darauf schließen, dass IT-Abteilungen diese Aufgaben weniger mit einem grundlegenden Verständnis der geplanten Datenschutzbestimmungen als mit praktischem Wissen zur Implementierung sicherheitskonformer Hardware und Software verbinden. Gleichzeitig zeigt sich hier möglicherweise ein Anzeichen für den anhaltenden Fachkräftemangel, welcher die Einstellung qualifizierter Cybersicherheitsexperten oder -berater erschwert. In dieser Frage lassen sich starke regionale Abweichungen beobachten: In Deutschland planen über drei Viertel (76 %), ihrem internen IT-Team die Verantwortung zu übertragen, in Frankreich hingegen nur knapp die Hälfte (49 %). Deutsche Unternehmen scheinen hinsichtlich ihres Know-hows zum Thema Datenschutz ein gesundes Selbstbewusstsein zu besitzen, was wiederum auf eine größere Vertrautheit und Erfahrung mit gesetzlichen Datenschutzregelungen zurückzuführen sein könnte. Untermauert wird diese Annahme auch durch die geringfügig höhere Anzahl der Befragten (39 %) in Deutschland, die einem Mitglied ihrer internen Rechtsabteilung die Aufgabe übertragen würden, die Anforderungen der neuen EU-Datenschutzgesetzgebung auszuloten (Großbritannien 35 %, Frankreich 34 %). Wer wird in Ihrem Unternehmen dafür verantwortlich sein, die neuen EU-Datenschutzregelungen auszuwerten und entsprechende Compliance- und Melderichtlinien zu implementieren? 62% 36% 34% 31% 29% 26% Mitglied der IT-Abteilung Mitglied der Rechtsabteilung Externer IT-Berater Cybersicherheitsexperte Externer Rechtsbeistand Externer Cybersicherheitsberater

13 11. INTERNETBASIERTE ADVANCED MALWARE AUF DEM VORMARSCH Cyberkriminelle entwickeln kontinuierlich neue Taktiken und Malware-Varianten, um in vorhandene Sicherheitssysteme einzudringen. Deshalb verwundert es nicht, dass die Prognosen der Umfrageteilnehmer für die Bedrohungslandschaft der Zukunft der heutigen Bedrohungslage stark ähneln. Advanced Persistent Threats (APTs) sind dabei zunehmend auf dem Vormarsch. Hierunter sind sorgfältig getarnte und langfristig geplante Hacker- Angriffe zu verstehen, die konkrete Ziele wie staatliche Institutionen oder Großkonzerne aus geschäftlichen oder politischen Motiven ins Visier nehmen. Ein prominentes Beispiel ist der Wurm Stuxnet. Bei APTs wird für gewöhnlich ein Schadcode in das Zielsystem eingeschleust unbemerkt von vorhandenen Sicherheitstools. Die Malware bleibt anschließend über einen längeren Zeitraum im Netzwerk aktiv und kann sich so weiter im Verborgenen ausbreiten. Gleichzeitig werden sensible Informationen ausspioniert und die Grundlage für zukünftige Exploits gelegt. Unter den genannten APT-Arten wird internetbasierte Advanced Malware (Verbreitung beispielsweise via , Phishing oder Social Engineering) als am gefährlichsten eingestuft (bei insgesamt 31 % der Befragten).Physische Advanced Malware, bei der Cyberkriminelle sich physischen Zugang zu Systemen wie Bankautomaten oder Kassensystemen verschaffen, wurde ebenfalls sowohl heute als auch in zwei Jahren als realistische Bedrohung eingeschätzt (insgesamt 24 %). Dem Missbrauch vertrauenswürdiger Verbindungen Hacker nutzen gestohlene Anmeldedaten von Endnutzern, Mitarbeitern oder Geschäftspartnern, um in Unternehmensnetzwerke einzudringen wurde mit ebenfalls 24 % eine fast identische Relevanz beigemessen.zero-day-angriffe, bei denen Sicherheitslücken innerhalb von 24 Stunden von Hackern ausfindig gemacht und ausgenutzt werden, wurden von 23 % der Befragten (21 % in zwei Jahren) als bedrohlich bewertet. In jüngster Vergangenheit in den Schlagzeilen waren hier der Heartbleed Bug, der das Open- Source-Webprotokoll OpenSSL infizierte, sowie eine im April 2014 aufgedeckte Sicherheitslücke in allen Versionen des Microsoft Internet Explorer. Kein erwarteter Wandel der Bedrohungslandschaft in den nächsten zwei Jahren Heute In zwei Jahren 30% Internetbasierte Advanced Malware-Infizierung 31% 23% Physische Advanced Malware-Infizierung 25% 24% 23% Externer Missbrauch vertrauenswürdiger Verbindungen Zero-Day-Angriffe 21% 23%

14 12. Die FAZIT Ergebnisse der vorliegenden Umfrage zeigen einen unterschiedlichen Grad an Bereitschaft unter den betroffenen Unternehmen aus Frankreich, Deutschland und Großbritannien. Viele sind noch nicht ausreichend auf die geplante NIS-Richtlinie und Datenschutz-Verantwortung vorbereitet oder haben keinen Überblick über mögliche Auswirkungen auf aktuelle Sicherheitsrichtlinien und Meldeverfahren. Der Vorschlag der Europäischen Union, die Höchststrafe für schwerwiegende Sicherheitsverletzungen auf 100 Millionen Euro beziehungsweise 5 % des Jahresumsatzes eines Unternehmens anzuheben, schürt Ängste angesichts der in Zukunft drastischen Konsequenzen von Datenverlusten. Geldbußen und negative Auswirkungen auf den Geschäftsbetrieb stehen hier an erster Stelle, dicht gefolgt von Rufschädigung, Vertrauensverlust und Rechtskosten, wodurch fast ebenso viele Unternehmen ihre Rentabilität oder gar ihre finanzielle Existenz gefährdet sehen. Trotz der gefürchteten finanziellen Konsequenzen gaben nur 39 % der Unternehmen in Frankreich, Deutschland und Großbritannien an, bereits alle erforderlichen Maßnahmen zur Einhaltung der NIS-Richtlinie getroffen zu haben. Die übrigen Umfrageteilnehmer sehen sich hier noch in einem Entwicklungsstadium. Noch alarmierender gestaltet sich die Lage im Hinblick auf die geplante Datenschutz- Grundverordnung, dessen genaue Bestimmungen jedoch noch vom Europäischen Parlament abgesegnet werden müssen. Ein Drittel der Befragten gestand ein, die Auswirkungen der neuen EU-Datenschutzgesetzgebung auf vorhandene Datenschutz- und Sicherheitsstrategien nur teilweise zu überblicken, während eine ähnlich geringe Zahl (38 %) der Ansicht ist, die EU informiere Unternehmen in ausreichendem Maße über konkrete Compliance-Anforderungen. Da die EU mit hoher Wahrscheinlichkeit keine konkreten technischen Standards veröffentlichen wird, die als Grundlage für Compliance- Programme dienen könnten, sowie keine Einführung von Zertifizierungsverfahren geplant ist, herrscht bei der Einschätzung vorhandener Datensicherheitssysteme und der Ermittlung von Verbesserungspotenzial noch große Unsicherheit. Die meisten Unternehmen sind sich jedoch einig, dass zusätzliche Investitionen in Hardware, Software und die Umsetzung von Richtlinien erforderlich sind, um die neuen Regelungen zuverlässig einhalten zu können, und sehen hierin eine erhebliche Herausforderung. Die Durchführung entsprechender Initiativen wird aufgrund einer befürchteten hohen Komplexität von vielen als problematisch angesehen, da es an internem Know-how zu den relevanten Datenschutzbestimmungen und -anforderungen mangelt. Statt interner oder externer Berater und Rechtsanwälte sollen dennoch überwiegend nicht ausreichend qualifizierte IT-Mitarbeiter dafür sorgen, dass ihr Unternehmen für die neuen EU-Datenschutzregelungen gerüstet ist. Vielen Unternehmen bleibt allerdings angesichts des anhaltenden Fachkräftemangels im Bereich globale Cybersicherheit sowie der Furcht vor zu hohen Beratungskosten auch oft keine andere Wahl. Trotz der genannten Problematiken sind 84 % der Befragten der Ansicht, dass die NIS-Richtlinie einen spürbaren positiven Einfluss auf ihre vorhandenen Compliance-Richtlinien und -Verfahren haben werde und somit insgesamt eine konstruktive Maßnahme darstellt. Dies trifft nur teilweise auf die Datenschutz-Grundverordnung zu, der 17 % der Befragten negative Auswirkungen zutrauen ein klares Anzeichen, dass viele IT-Abteilungen das geplante Gesetz als zu restriktiv ansehen. Über IDG Connect IDG Connect wurde 2005 gegründet und nutzt den Zugang zu Daten von 38 Millionen Entscheidungsträgern in Unternehmen, um Technologievermarkter mit passenden Zielgruppen in allen Ländern der Erde zusammenzuführen. Um ein völlig unterschiedliches globales IT-Publikum mit korrekt lokalisiertem Messaging anzusprechen, veröffentlicht IDG Connect zudem marktspezifische Thought-Leadership- Studien im Auftrag seiner Kunden und betreibt Recherchen für B2B- Vermarkter aus aller Welt. Weitere Informationen unter