2020 hat sich in jeder Hinsicht als ein herausforderndes Jahr erwiesen. Mit der Gesundheitskrise, die durch die COVID-19-Pandemie ausgelöst wurde, die die Weltwirtschaft störte und viele Sektoren lahmlegte, war Cybersicherheit vielleicht das Letzte, woran jemand dachte. Doch viele böswillige Akteure nutzten das Chaos aus, um Schaden anzurichten und von der Lockerung der Cybersicherheitsaufwendungen zu profitieren. Infolgedessen war 2020 ein herausragendes Jahr für Datenschutzverletzungen und Geldbußen.
Die überstürzte Einführung von weit verbreiteten Home Office Richtlinien in allen Geschäftsbereichen schuf große Lücken in der Cybersicherheit, was zu einem Anstieg der Sicherheitsvorfälle führte. Laut dem Cybersecurity-Unternehmen Malwarebytes‘ Enduring from Home: COVID-19’s Impact on Business Security report, war das Fehlverhalten von Mitarbeiter im Home Office die Ursache von fast 20 % der Cybersecurity-Vorfälle im Jahr 2020. Von den Unternehmen, die auf die Umfrage geantwortet haben, sahen sich 24 % auch mit unerwarteten Kosten konfrontiert, die direkt mit Cyberangriffen und Sicherheitsverletzungen in Verbindung stehen, die aufgrund der Arbeit von zu Hause aus entstanden sind.
Der Bericht zeigte auch einen besorgniserregenden Trend unter Remote-Mitarbeitern, ihre persönlichen Geräte anstelle der vom Unternehmen zur Verfügung gestellten zu verwenden. 27,7 % der Befragten gaben an, dass sie ihre persönlichen Geräte mehr nutzen als die von ihrem Arbeitsplatz zur Verfügung gestellten Geräte, wobei weitere 31,2 % zugaben, dass sie manchmal persönliche Geräte für die Arbeit nutzen. Nur 39,1 % nutzten strikt nur die vom Arbeitgeber zur Verfügung gestellten Geräte, um ihre Aufgaben zu erfüllen.
Einige der wesentlichen Faktoren in Bezug auf die Homo Office Arbeit betrafen die Tatsache, dass die Geräte zu Hause stärker exponiert sind und Unbefugte Zugriff darauf haben könnten, die Schwierigkeit der Verwaltung von Geräten bei der Homearbeit, Schatten-IT und eine geringere Effektivität des IT-Supports, der aus der Ferne geleistet wird. Und das alles in einer Situation, in der nur 61 % der Unternehmen ihren Mitarbeitern arbeitsbezogene Geräte zur Verfügung stellten und 45 % keine Sicherheits- und Online-Datenschutzanalysen der Software-Tools durchführten, die sie für die Umstellung auf die Arbeit von zu Hause aus implementierten.
Die Hauptursachen für Datenverletzungen
Laut dem Bericht „Cost of a Data Breach 2020“ von IBM und dem Ponemon Institute, für den 3200 Mitarbeiter von 524 Organisationen in 17 Ländern und Regionen befragt wurden, wurden 52 % aller Datenschutzverletzungen durch böswillige Außenstehende verursacht, weitere 25 % durch Systemfehler und 23 % durch menschliches Versagen. Persönlich identifizierbare Kundeninformationen (PII), die 80 % aller Datenschutzverletzungen ausmachten, waren die Art von Datensätzen, die am häufigsten verloren gingen oder gestohlen wurden. Dies ist kaum überraschend, da PII aufgrund ihrer Sensibilität die wertvollste Art von Daten sind. Folglich sind sie auch die Art von Daten, die am häufigsten durch Datenschutzbestimmungen geschützt werden.
Kompromittierte Zugangsdaten und Cloud-Fehlkonfigurationen waren für 19 % der böswilligen Datenverletzungen verantwortlich, weitere 16 % entfielen auf Schwachstellen in der Software Dritter. Menschliches Versagen war auch nicht die einzige Art und Weise, wie Mitarbeiter zu Datenverletzungen beitrugen. Böswillige Insider waren die Ursache für 7 % der Datenschutzverletzungen, weitere 17 % entfielen auf Social-Engineering- und Phishing-Angriffe, die direkt auf Mitarbeiter abzielten.
Es zeigte sich auch, dass Mitarbeiter in einigen Branchen nachlässiger sind als in anderen. An der Spitze der Liste steht die Unterhaltungsbranche, in der 34 % aller Datenschutzverletzungen durch unvorsichtige Mitarbeiter verursacht wurden, gefolgt von der öffentlichen Hand und dem Konsumgütersektor, wo menschliches Versagen für 28 % der Datenschutzverletzungen verantwortlich war. In der Gesundheitsbranche war trotz strenger Vorschriften die Nachlässigkeit von Mitarbeitern für 27 % aller Datenverletzungen verantwortlich. Am anderen Ende des Spektrums, im Transportwesen, wurden nur 13 % der Datenschutzverletzungen durch menschliches Versagen verursacht, während es im Einzelhandel und in der Technik 17 % waren.
DSGVO-Bußgelder steigen weiter an
Während die Durchsetzung einiger Datenschutzbestimmungen, wie z. B. HIPAA in den USA, aufgrund der Pandemie gelockert wurde, haben die europäischen Datenschutzbehörden ihre Arbeit ungehindert fortgesetzt. Dieses Jahr hat eine Reihe von Rekord Bußgeldern wegen Nichteinhaltung der EU-Datenschutzgrundverordnung gebracht. Bislang wurden in diesem Jahr 281 Bußgelder in Höhe von über 162 Millionen Euro verhängt.
Am schlimmsten traf es Google, dessen Einspruch gegen die 50-Millionen-Euro-Strafe der französischen Datenschutzbehörde CNIL vom höchsten Gericht des Landes abgewiesen wurde. Die schwedische Datenschutzbehörde verhängte gegen den Tech-Giganten eine weitere Strafe in Höhe von 7 Millionen Euro, weil er das Recht des Einzelnen auf Vergessenwerden nicht beachtet hatte.
Im Oktober 2020 wurde die zweitgrößte jemals verhängte DSGVO-Strafe in Höhe von ca. 35 Millionen Euro von der Hamburger Datenschutzbehörde gegen den Bekleidungseinzelhändler H&M verhängt, weil er Meetings mit Mitarbeitern aufgezeichnet hatte, in denen sensible Informationen offengelegt wurden, und diese dann intern unter Managern geteilt hatte.
British Airways wurde zu einer Geldstrafe in Höhe von 22 Millionen Euro verurteilt, weil das Unternehmen eine Datenpanne, von der 400.000 Kunden betroffen waren, aufgrund mangelhafter Cybersicherheitsmaßnahmen nicht verhindern konnte. Marriott wurde unterdessen zu einer Geldstrafe in Höhe von 20,4 Millionen Euro für die spektakuläre Datenpanne verurteilt, die 83 Millionen Gästedaten betraf und eine Folge der mangelnden Sorgfaltspflicht nach der Übernahme der Starwood Group war, die die Ursache des Vorfalls war.
Zusammengefasst:
Während sich Unternehmen den Schwierigkeiten der COVID-19-Pandemie stellen, ist es wichtig, dass sie die Cybersicherheit nicht vernachlässigen. Böswillige Akteure sind immer auf der Suche nach Gelegenheiten, davon zu profitieren, und dieses Jahr war nicht anders. Gleichzeitig haben sich die Datenschutzbehörden aufgrund der aktuellen Umstände zwar nachsichtiger gezeigt, aber nicht davor zurückgeschreckt, horrende Strafen zu verhängen, wenn eine grobe Vernachlässigung der Datenschutzanforderungen festgestellt wurde.
All dies zeigt, dass die Cybersicherheit, die bis vor wenigen Jahren von vielen Unternehmen als nachrangig betrachtet wurde, heute ein wesentlicher Bestandteil des Geschäftsbetriebs ist, und es wird keine Zeit mehr geben, in der es akzeptabel ist, sie zu vernachlässigen.
