Warnung: „DSGVO-Erpressung“ könnte Ihrem Unternehmen schaden, hier ist, was zu tun ist!

Veröffentlicht: 2019-01-12

Die meisten in den USA ansässigen Unternehmensführer sind mit der DSGVO (EU-Datenschutz-Grundverordnung) zumindest einigermaßen vertraut. Obwohl diese breite Palette von Datenschutzbestimmungen dem Schutz der Privatsphäre der Bürger in der Europäischen Union dient, wird sie auch US-Unternehmen erheblich beeinträchtigen . Es wird wahrscheinlich auch zu einer neuen und kostspieligen Cyberkriminalität führen: „DSGVO-Erpressung“.

Wie werden sich EU-basierte Datenvorschriften auf Unternehmen in den USA auswirken? Was ist DSGVO-Erpressung? Wie können sich Unternehmen schützen? Dies sind die Fragen, auf die ich in diesem Artikel eingehen werde.



DSGVO in Kürze

Als umfassendste Datenschutzverordnung der Geschichte (99 Artikel in 11 Kapiteln, um genau zu sein) sorgt die DSGVO weltweit für Aufsehen und Besorgnis.

Das liegt daran, dass die Erfassung von Kundendaten Unternehmen in allen Branchen hilft, Marketing, Vertrieb, Kundenservice und viele andere Bemühungen zu verbessern. Dank der DSGVO müssen Unternehmen Daten jetzt viel sorgfältiger sammeln.

Die DSGVO gibt EU-Bürgern etwas, das es in den USA nicht gibt: das Recht auf Privatsphäre. Welche Arten von Vorschriften sind in diesem Gesetzespaket enthalten? Obwohl die DSGVO ziemlich komplex wird, hier ein kurzer Überblick.

Das Recht eines EU-Bürgers auf Datenschutz überwiegt nun das Interesse eines Unternehmens an der Erhebung seiner Daten. Daher hat jeder EU-Bürger gemäß der DSGVO:

  • Das Recht zu wählen, ob ihre Daten gesammelt werden dürfen oder nicht
  • Das Recht, alle über sie gesammelten Daten einzusehen
  • „Das Recht auf Vergessenwerden“, d. h. ihre Daten müssen auf Anfrage von Google und anderen Suchmaschinen entfernt werden
  • Und schließlich – das Recht, das das Phänomen der DSGVO-Erpressung hervorgebracht hat, das Recht, innerhalb von 72 Stunden über Datenschutzverletzungen informiert zu werden (z. B. durch Hacker verursachte Verletzungen).

Wie wirkt sich die DSGVO auf US-Unternehmen aus?

Bevor ich darauf eintauche, was DSGVO-Erpressung ist, muss ich betonen, warum US-Unternehmen hier nicht klar sind.

Wenn Ihr in den USA ansässiges Unternehmen Dienstleistungen für EU-Bürger anbietet oder personenbezogene Daten über EU-Bürger sammelt, müssen Sie die DSGVO-Vorschriften einhalten. Zu den US-Branchen, die am wahrscheinlichsten unter die DSGVO fallen, gehören Reisen, Gastgewerbe, SaaS und E-Commerce. Jedes US-amerikanische Unternehmen mit einem Markt in der EU sollte jedoch Vorbereitungen treffen, um die Anforderungen zu erfüllen.

Welche Konsequenzen hat die Nichteinhaltung der DSGVO-Anforderungen? Die Geldstrafen könnten bis zu 20 Millionen Euro (22,7 Millionen US-Dollar) betragen, obwohl noch nicht klar ist, wie solche EU-Zahlungen in den USA durchgesetzt werden sollen.

Die Folgen einer Nichteinhaltung der DSGVO-Konformität gehen jedoch weit über lähmende Gebühren hinaus. Auch Unternehmen mit einem großen EU-Kundenstamm könnten mit einem Markt von mehr als 510 Millionen Menschen ihren guten Ruf verlieren.

Angesichts drohender achtstelliger Zahlungen einerseits und der Möglichkeit, das Vertrauen der EU-Kunden andererseits zu opfern, haben viele US-Unternehmen keine andere Wahl, als ihr Datenmanagement-Framework auf die Einhaltung der DSGVO umzustellen.

DSGVO-Erpressung

Als ob die gravierenden Folgen der Nichteinhaltung der DSGVO nicht schon besorgniserregend genug wären, haben EU- und US-Wirtschaftsführer noch einen weiteren Grund, den Schlaf zu verlieren: „DSGVO-Erpressung“.

Der wahnsinnige Ansturm von Führungskräften, die sich auf die DSGVO vorbereiten, sorgt für einen perfekten Sturm für Cyberkriminelle. Wenn ein Unternehmen nicht DSGVO-konform ist und seine Geräte ungepatcht und ungeschützt sind, kann ein Hacker Zugriff auf die Daten des Unternehmens erhalten und ein ominöses Ultimatum stellen: Entweder zahlen Sie dem Hacker einen bestimmten Geldbetrag oder die Daten werden durchgesickert – ein Szenario, das auch zu lähmenden Geldstrafen führen würde.

Ein gehacktes Unternehmen hat an dieser Stelle die Wahl. Beschwichtigen Sie entweder den oder die Kriminellen oder informieren Sie das ICO (Information Commissioner's Office) gemäß den Anforderungen der DSGVO über die Datenschutzverletzung.

Cyberkriminelle wissen, dass sich viele Unternehmen dafür entscheiden werden, die Hacker zu bezahlen, anstatt noch höhere DSGVO-Bußgelder zu zahlen. Um einen öffentlichen Aufschrei zu vermeiden, zahlen Unternehmensführer außerdem häufig Cyberkriminelle und versuchen, EU-Bürger über die Datenschutzverletzung im Dunkeln zu lassen.

Widerstehen Sie Cyberkriminellen

Trotz der Versuchung, einen Hacker zu bezahlen, sollte ein Unternehmen, das Opfer einer Cyberkriminalität geworden ist, sich behaupten, anstatt mit Kriminellen zu verhandeln. Die beste Vorgehensweise besteht darin, das ICO über den Verstoß zu informieren und mit ihm zusammenzuarbeiten, um den Schaden zu mindern. Wieso den? Es gibt mindestens vier Gründe.

  1. Es gibt keine Garantie dafür, dass Hacker ihr Ende des Deals einhalten und dem geschädigten Unternehmen die Kontrolle über ihre Daten geben.
  2. Die Bezahlung der Hacker ermutigt sie, zurückzukehren und dieselbe Firma noch einmal zu erpressen.
  3. Cyberkriminellen nachzugeben, ermutigt sie, fortschrittliche Technologien zu entwickeln, um noch mehr Unternehmen auf der ganzen Welt zu erpressen.
  4. Es gibt einen ethischen Grund, sich Cyberkriminellen zu widersetzen. Menschen verdienen es zu wissen, wenn auf ihre personenbezogenen Daten illegal zugegriffen wurde.

Patchen Sie Ihre gesamte IT-Umgebung

Der beste Schutz vor der DSGVO-Erpressung besteht darin, Hacker daran zu hindern, in Ihr System einzudringen. Cyberkriminelle sind aus gutem Grund immer auf der Suche nach Unternehmen mit ungepatchten und anfälligen Geräten. Sogar Unternehmen so groß wie Equifax wurden wegen ungepatchter Servern angegriffen.

Patching ist das Beheben von Systemschwächen, die nach der Freigabe von Hard- und Software aufgedeckt wurden. Es klingt einfach genug, aber der Prozess ist entmutigend und komplex.

Denken Sie an alle Komponenten, die gepatcht werden müssen. Server und Router, Betriebssysteme, Anwendungen, E-Mail-Clients, Desktops und Laptops, mobile Geräte, Firewalls, Office-Suiten und mehr. Und wie jeder IT-Experte zustimmen wird, können allein die Server eines Unternehmens zu Problemen beim Patchen führen.


Es ist beispielsweise üblich, dass ein Unternehmen zwei oder mehr Serverbetriebssysteme wie Linux und Windows ausführt. Darüber hinaus führen viele Unternehmen mehrere Versionen dieser Betriebssysteme aus, darunter zahlreiche Linux-Distributionen.

Aufgrund der damit verbundenen Komplexität und der vielen Komponenten, die für Cyberkriminelle zu offenen Fenstern werden könnten, implementieren intelligente Unternehmen einen Patch-Management-Prozess, um alles automatisch nachzuverfolgen. Die Cloud Management Suite beispielsweise ermöglicht es IT-Managern, jedes Gerät und jedes Softwarepaket, das ihr Unternehmen verwendet, unabhängig von ihren Betriebssystemen kontinuierlich zu patchen.

Informieren Sie Ihre Mitarbeiter

Da viele Hacker durch einfaches Überlisten von Mitarbeitern Zugriff auf riesige Mengen an persönlichen Kundendaten erhalten, ist es von entscheidender Bedeutung, Ihre Mitarbeiter über Methoden der Cyberkriminalität zu schulen. Für Mitarbeiter und Führungskräfte sollte ein verpflichtendes „Social Engineering“ durchgeführt werden. Einige wichtige Themen, vor denen Mitarbeiter gewarnt werden sollten, sind:

  • Klassisches Social Engineering, etwa wenn jemand einen Mitarbeiter anruft und behauptet, er sei von der IT und nach Passwörtern oder anderen sensiblen Informationen gefragt
  • Gelegenheits-Social Engineering, beispielsweise wenn ein Cyberkrimineller einen mit Schadsoftware geladenen USB-Stick auf einem Parkplatz ablegt und darauf wartet, dass ein Mitarbeiter ihn findet und verwendet
  • E-Mail-Phishing, bei dem es sich um E-Mails handelt, die legitim erscheinen, aber tatsächlich betrügerische Links oder Malware enthalten

Es ist auch hilfreich, Mitarbeiter über die DSGVO und die DSGVO-Erpressung aufzuklären. Die Umsetzung der DSGVO-Konformität (wird als nächstes besprochen) kann ein mühsamer Prozess sein. Je mehr Kenntnisse Ihre Mitarbeiter über ihre Bedeutung haben, desto besser.

Werden Sie DSGVO-konform

Abgesehen davon, dass Hackern der Zugriff auf sensible Daten eines Unternehmens verwehrt wird, sollte jedes Unternehmen mit einem EU-Markt DSGVO-konform werden. Obwohl der Prozess arbeitsintensiv ist, lohnt es sich.

Unternehmen, die die Zeit und Mühe aufwenden, um die DSGVO-Anforderungen zu erfüllen, weisen der Europäischen Kommission und anderen maßgeblichen Stellen nach, dass ihnen die Datenschutzrechte der EU-Bürger am Herzen liegen. Solche Bemühungen werden wahrscheinlich die auferlegten Gebühren oder andere Folgen einer Datenschutzverletzung minimieren.

Ehrliche Unternehmen, die auf Compliance hinarbeiten, haben es leichter, ihren Markt zu erobern. Ob in den USA oder in der EU, Verbraucher legen Wert auf Ehrlichkeit.

Unternehmen, die alles in ihrer Macht Stehende tun, um globale Vorschriften einzuhalten und transparent zu handeln, verschaffen sich schnell einen Wettbewerbsvorteil.

Bild: Shutterstock