Warnung: „DSGVO-Erpressung“ könnte Ihrem Unternehmen schaden, hier ist, was zu tun ist!
Veröffentlicht: 2019-01-12Die meisten in den USA ansässigen Unternehmensführer sind mit der DSGVO (EU-Datenschutz-Grundverordnung) zumindest einigermaßen vertraut. Obwohl diese breite Palette von Datenschutzbestimmungen dem Schutz der Privatsphäre der Bürger in der Europäischen Union dient, wird sie auch US-Unternehmen erheblich beeinträchtigen . Es wird wahrscheinlich auch zu einer neuen und kostspieligen Cyberkriminalität führen: „DSGVO-Erpressung“.
Wie werden sich EU-basierte Datenvorschriften auf Unternehmen in den USA auswirken? Was ist DSGVO-Erpressung? Wie können sich Unternehmen schützen? Dies sind die Fragen, auf die ich in diesem Artikel eingehen werde.
DSGVO in Kürze
Als umfassendste Datenschutzverordnung der Geschichte (99 Artikel in 11 Kapiteln, um genau zu sein) sorgt die DSGVO weltweit für Aufsehen und Besorgnis.
Das liegt daran, dass die Erfassung von Kundendaten Unternehmen in allen Branchen hilft, Marketing, Vertrieb, Kundenservice und viele andere Bemühungen zu verbessern. Dank der DSGVO müssen Unternehmen Daten jetzt viel sorgfältiger sammeln.
Die DSGVO gibt EU-Bürgern etwas, das es in den USA nicht gibt: das Recht auf Privatsphäre. Welche Arten von Vorschriften sind in diesem Gesetzespaket enthalten? Obwohl die DSGVO ziemlich komplex wird, hier ein kurzer Überblick.
Das Recht eines EU-Bürgers auf Datenschutz überwiegt nun das Interesse eines Unternehmens an der Erhebung seiner Daten. Daher hat jeder EU-Bürger gemäß der DSGVO:
- Das Recht zu wählen, ob ihre Daten gesammelt werden dürfen oder nicht
- Das Recht, alle über sie gesammelten Daten einzusehen
- „Das Recht auf Vergessenwerden“, d. h. ihre Daten müssen auf Anfrage von Google und anderen Suchmaschinen entfernt werden
- Und schließlich – das Recht, das das Phänomen der DSGVO-Erpressung hervorgebracht hat, das Recht, innerhalb von 72 Stunden über Datenschutzverletzungen informiert zu werden (z. B. durch Hacker verursachte Verletzungen).
Wie wirkt sich die DSGVO auf US-Unternehmen aus?
Bevor ich darauf eintauche, was DSGVO-Erpressung ist, muss ich betonen, warum US-Unternehmen hier nicht klar sind.
Wenn Ihr in den USA ansässiges Unternehmen Dienstleistungen für EU-Bürger anbietet oder personenbezogene Daten über EU-Bürger sammelt, müssen Sie die DSGVO-Vorschriften einhalten. Zu den US-Branchen, die am wahrscheinlichsten unter die DSGVO fallen, gehören Reisen, Gastgewerbe, SaaS und E-Commerce. Jedes US-amerikanische Unternehmen mit einem Markt in der EU sollte jedoch Vorbereitungen treffen, um die Anforderungen zu erfüllen.
Welche Konsequenzen hat die Nichteinhaltung der DSGVO-Anforderungen? Die Geldstrafen könnten bis zu 20 Millionen Euro (22,7 Millionen US-Dollar) betragen, obwohl noch nicht klar ist, wie solche EU-Zahlungen in den USA durchgesetzt werden sollen.
Die Folgen einer Nichteinhaltung der DSGVO-Konformität gehen jedoch weit über lähmende Gebühren hinaus. Auch Unternehmen mit einem großen EU-Kundenstamm könnten mit einem Markt von mehr als 510 Millionen Menschen ihren guten Ruf verlieren.
Angesichts drohender achtstelliger Zahlungen einerseits und der Möglichkeit, das Vertrauen der EU-Kunden andererseits zu opfern, haben viele US-Unternehmen keine andere Wahl, als ihr Datenmanagement-Framework auf die Einhaltung der DSGVO umzustellen.
DSGVO-Erpressung
Als ob die gravierenden Folgen der Nichteinhaltung der DSGVO nicht schon besorgniserregend genug wären, haben EU- und US-Wirtschaftsführer noch einen weiteren Grund, den Schlaf zu verlieren: „DSGVO-Erpressung“.
Der wahnsinnige Ansturm von Führungskräften, die sich auf die DSGVO vorbereiten, sorgt für einen perfekten Sturm für Cyberkriminelle. Wenn ein Unternehmen nicht DSGVO-konform ist und seine Geräte ungepatcht und ungeschützt sind, kann ein Hacker Zugriff auf die Daten des Unternehmens erhalten und ein ominöses Ultimatum stellen: Entweder zahlen Sie dem Hacker einen bestimmten Geldbetrag oder die Daten werden durchgesickert – ein Szenario, das auch zu lähmenden Geldstrafen führen würde.
Ein gehacktes Unternehmen hat an dieser Stelle die Wahl. Beschwichtigen Sie entweder den oder die Kriminellen oder informieren Sie das ICO (Information Commissioner's Office) gemäß den Anforderungen der DSGVO über die Datenschutzverletzung.
Cyberkriminelle wissen, dass sich viele Unternehmen dafür entscheiden werden, die Hacker zu bezahlen, anstatt noch höhere DSGVO-Bußgelder zu zahlen. Um einen öffentlichen Aufschrei zu vermeiden, zahlen Unternehmensführer außerdem häufig Cyberkriminelle und versuchen, EU-Bürger über die Datenschutzverletzung im Dunkeln zu lassen.
Widerstehen Sie Cyberkriminellen
Trotz der Versuchung, einen Hacker zu bezahlen, sollte ein Unternehmen, das Opfer einer Cyberkriminalität geworden ist, sich behaupten, anstatt mit Kriminellen zu verhandeln. Die beste Vorgehensweise besteht darin, das ICO über den Verstoß zu informieren und mit ihm zusammenzuarbeiten, um den Schaden zu mindern. Wieso den? Es gibt mindestens vier Gründe.
- Es gibt keine Garantie dafür, dass Hacker ihr Ende des Deals einhalten und dem geschädigten Unternehmen die Kontrolle über ihre Daten geben.
- Die Bezahlung der Hacker ermutigt sie, zurückzukehren und dieselbe Firma noch einmal zu erpressen.
- Cyberkriminellen nachzugeben, ermutigt sie, fortschrittliche Technologien zu entwickeln, um noch mehr Unternehmen auf der ganzen Welt zu erpressen.
- Es gibt einen ethischen Grund, sich Cyberkriminellen zu widersetzen. Menschen verdienen es zu wissen, wenn auf ihre personenbezogenen Daten illegal zugegriffen wurde.
Patchen Sie Ihre gesamte IT-Umgebung
Der beste Schutz vor der DSGVO-Erpressung besteht darin, Hacker daran zu hindern, in Ihr System einzudringen. Cyberkriminelle sind aus gutem Grund immer auf der Suche nach Unternehmen mit ungepatchten und anfälligen Geräten. Sogar Unternehmen so groß wie Equifax wurden wegen ungepatchter Servern angegriffen.
Patching ist das Beheben von Systemschwächen, die nach der Freigabe von Hard- und Software aufgedeckt wurden. Es klingt einfach genug, aber der Prozess ist entmutigend und komplex.
Denken Sie an alle Komponenten, die gepatcht werden müssen. Server und Router, Betriebssysteme, Anwendungen, E-Mail-Clients, Desktops und Laptops, mobile Geräte, Firewalls, Office-Suiten und mehr. Und wie jeder IT-Experte zustimmen wird, können allein die Server eines Unternehmens zu Problemen beim Patchen führen.