UK Datenschutz- und Sicherheitspolitik im Wandel
Neue Datenschutz- und Sicherheitsvorschriften sind auf dem Weg - ein Umstand, den britische Sicherheitsexperten mit gemischten Gefühlen betrachten.
Wichtige Punkte
- Die britische Regierung ist dabei, ihre Datenschutz- und Sicherheitsvorschriften für das Internet der Dinge neu zu formulieren.
- Die britischen Unternehmen sind generell skeptisch, dass neue Vorschriften mehr Sicherheit bedeuten.
- Gleichzeitig steigt das Compliance-Risiko angesichts der Unsicherheiten bei den Vorschriften.
Cybersicherheit und Datenschutz waren Teil des Pomps, mit dem das britische Parlament im Mai eine neue Sitzungsperiode eröffnete. Die Rede der Königin, die die legislative Agenda für das kommende Jahr festlegt, versprach ein neues Gesetz zur Datenreform, das sich mit dem Datenschutz befasst, und ein Gesetz zur Produktsicherheit und Telekommunikationsinfrastruktur, das das Internet der Dinge (IoT) abdeckt. Beide werden in den kommenden Monaten zusammen mit anderen Sicherheitsmaßnahmen zur Umsetzung der im Dezember veröffentlichten Nationalen Cyber-Strategie ausgearbeitet und erörtert.
Die Initiativen der Regierung kommen zu einem Zeitpunkt, an dem drei Viertel der britischen Sicherheitsexperten [kl1] davon ausgehen, dass ihre Unternehmen in diesem Jahr unter den negativen Auswirkungen eines Cyberangriffs per E-Mail zu leiden haben werden. Dies geht aus der Umfrage von Mimecast State of Email Security 2022 hervor.
Die Umfrage ergab jedoch auch, dass britische Cybersicherheitsexperten relativ wenig Vertrauen darin haben, dass regulatorische Maßnahmen wie Mindestsicherheitsstandards helfen werden. Weniger als ein Viertel [kl2] der Befragten gab an, dass eine solche Maßnahme das Risiko von Cyberangriffen auf ihr Unternehmen deutlich verringern würde, und etwa ein Drittel erwartete eine moderate Verbesserung. Die meisten Umfrageteilnehmer aus dem Vereinigten Königreich gaben an, dass eine Regulierung die Kosten für den Schutz ihrer Unternehmen erhöhen und gleichzeitig ihre Freiheit einschränken würde, ihr eigenes bestes Vorgehen zu bestimmen.
UK Datenschutzverordnung: Ein bewegliches Ziel
Einzelheiten des vorgeschlagenen Gesetzes über die Datenreform sind noch nicht verfügbar, aber ein Hintergrunddokument der Regierung, das die Rede der Königin begleitete, deutet darauf hin, dass das Gesetz beabsichtigt, die Belastung der britischen Unternehmen durch die Einhaltung der Vorschriften zu verringern, indem "ein flexiblerer, ergebnisorientierter Ansatz für den Datenschutz entwickelt wird, der dazu beiträgt, eine Kultur des Datenschutzes zu schaffen, anstatt 'Abhak-Übungen' zu machen."[1]
Das neue Gesetz würde das derzeitige britische Datenschutzgesetz und die allgemeine Datenschutzverordnung (UK GDPR, nach dem Vorbild der EU GDPR ) ersetzen, die im Hintergrundbericht als hochkomplexe, präskriptive Gesetze beschrieben werden, die zu viel Papierkram verursachen. Nach den geltenden Gesetzen sind Unternehmen verpflichtet, die persönlichen Daten von Kunden, Mitarbeitern und anderen Personen vor Datenschutzverletzungen zu schützen und die Erfassung, Speicherung, Verwendung und Weitergabe dieser Daten einzuschränken. Einzelpersonen haben das Recht, Unternehmen aufzufordern, ihre Daten zu korrigieren oder zu löschen.
Die Regierung schätzt, dass mit dem flexibleren Regulierungsansatz des neuen Gesetzes die gleichen Ziele im Bereich des Verbraucherschutzes erreicht werden können und die Unternehmen über einen Zeitraum von zehn Jahren mehr als 1 Milliarde Pfund (1,25 Milliarden US-Dollar) an Kosten für die Einhaltung der Vorschriften einsparen können. Einige britische Unternehmen befürchten jedoch, dass die Notwendigkeit, sowohl die britischen als auch die EU-Datenschutzvorschriften einzuhalten, die Einhaltung der Vorschriften für europaweit tätige Unternehmen komplexer und kostspieliger machen könnte, wenn das neue Gesetz zu weit vom EU-Modell der Datenschutz-Grundverordnung abweicht.
Reregulierung der Sicherheit für IoT, Apps und mehr
Ein Entwurf des Gesetzes über Produktsicherheit und Telekommunikationsinfrastruktur, der Ende letzten Jahres veröffentlicht wurde,[2] würde Hersteller, Importeure und Vertreiber von intelligenten Geräten verpflichten, Mindestsicherheitsstandards einzuhalten.
In der ersten Hälfte des vergangenen Jahres gab es nach Angaben der Regierung 1,5 Milliarden Angriffsversuche auf anschlussfähige Produkte. "Persönliche Daten sind verloren gegangen, und kompromittierte Geräte wurden für Angriffe auf Unternehmen, Regierungen und kritische Infrastrukturen verwendet", heißt es in der Hintergrundinformation zur Rede der Königin. "Dieser Gesetzentwurf ist ein wichtiger Hebel, um diese Organisationen vor solchen Angriffen zu schützen". Das britische National Cyber Security Centre veröffentlichte im Mai den Entwurf von Sicherheitsgrundsätzen für Gerätehersteller und kündigte an, dass es im Laufe des Jahres einen Entwurf von Leitlinien für Gerätebenutzer erstellen wird.[3]
Unabhängig davon hat das Ministerium für Digitales, Kultur, Medien und Sport (DCMS) im Mai eine öffentliche Konsultation über einen freiwilligen Kodex für Sicherheitspraktiken für App-Store-Betreiber und App-Entwickler gestartet ( National Cyber Strategy ). "Ein Kodex würde der Regierung die Möglichkeit geben, die Anforderungen in der Zukunft vorzuschreiben, falls die Risiken, die von bösartigen und unsicheren Apps ausgehen, nicht durch Maßnahmen der Interessengruppen gemildert werden können oder falls sich die Risiko- und Bedrohungslandschaft so entwickelt, dass dies notwendig ist", so das Ministerium in seinem Aufruf zur Rückmeldung zu dem Vorschlag.[4]
Ebenfalls im Einklang mit der nationalen Strategie hat das DCMS vor kurzem seine Cyber Security Breaches Survey 2022 veröffentlicht, in der der bisherige Erfolg der bestehenden Regierungsinitiativen gemessen wird. Die Ergebnisse des von der Regierung unterstützten Zertifizierungsprogramms Cyber Essentials, mit dem Unternehmen zertifiziert werden, die bewährte Verfahren in Bereichen wie dem Schutz vor Malware anwenden, zeigen, dass das Bewusstsein und die Akzeptanz gering sind.
Dennoch ergab die Umfrage, dass die Cybersicherheit bei den Vorständen und Führungskräften der Unternehmen eine höhere Priorität hat als je zuvor. 82 % von ihnen stuften die Cybersicherheit 2022 als ziemlich hohe bis sehr hohe Priorität ein, verglichen mit 77 % im Jahr 2021. Der eigentliche Grund für ihre Besorgnis: Fast vier von zehn britischen Unternehmen wurden 2021 Opfer eines Cyberangriffs, in der Regel durch Phishing-E-Mails.[5]
Umgang mit der sich ändernden Cyber-Regulierung
Laut einem von Mimecast gesponserten Bericht von Osterman Research ist der Aufbau eines flexiblen Rahmens der Schlüssel zur Einhaltung verschiedener und sich ändernder Vorschriften, wie z. B. der Datenschutzbestimmungen. Andernfalls könnten den Unternehmen aufgrund unflexibler Datenschutzkontrollen hohe Kosten entstehen, da sich die Vorschriften ständig weiterentwickeln. Weitere empfohlene Schritte zur Vorbereitung auf die sich ändernden Datenschutzbestimmungen sind:
- Planen Sie den erforderlichen Zeit- und Arbeitsaufwand ein. Dazu gehört auch, dass Unternehmen, die die bestehenden Vorschriften noch nicht einhalten, ihren Rückstand aufholen.
- Ausweitung der organisatorischen Beteiligung an der Einhaltung der Vorschriften. "Jeder Mitarbeiter hat eine Rolle zu spielen", so Osterman.
- Einführung neuer Lösungen zur Verbesserung der Compliance. Beispiele sind Datenarchivierungs- und Suchfunktionen.
- Verstärkung des Schutzes vor Datenschutzverletzungen. Daten können nicht privat sein, wenn sie nicht geschützt sind.
- Stärkung des Schutzes von Dritten. Partner und andere externe Organisationen, die Zugang zu den Daten Ihres Unternehmens haben, sind zunehmend eine Ursache für Datenschutzverletzungen.
- Schulung der Mitarbeiter. Dadurch kann die Wahrscheinlichkeit von Fehlern und vorsätzlichem Datendiebstahl verringert werden.
Eine umfassende Cyber-Resilienz-Strategie kann die Einhaltung verschiedener Datenschutz- und Sicherheitsvorschriften verbessern, wie im Bericht State of Email Security hervorgehoben wird. Fast ein Drittel [kl3] der befragten britischen Sicherheitsexperten gab an, dass sich die mangelnde Vorbereitung auf den Umgang mit dem Internet negativ auf die Einhaltung von Vorschriften ausgewirkt hat.
Die Quintessenz
Die Vorschriften zur Cybersicherheit und zum Datenschutz werden im Vereinigten Königreich ständig weiterentwickelt. Diese Ungewissheit birgt für die Unternehmen ein erhebliches Risiko bei der Einhaltung der Vorschriften. Lesen Sie mehr über die Risiken, mit denen Unternehmen weltweit konfrontiert sind, und die Maßnahmen, die sie ergreifen, um diese Risiken zu minimieren, im Bericht von Mimecast State of Email Security 2022 .
[1] "The Queen's Speech 2022," Büro des Premierministers
[2] "Product Security and Telecommunications Infrastructure (PSTI) Bill: Factsheets," Britische Regierung
[3] "Laying the New Foundations for Enterprise Device Security," UK National Cyber Security Centre
[4] "App Security and Privacy Interventions," Department for Digital, Culture, Media and Sport
[5] "Cyber Security Breaches Survey 2022," Department for Digital, Culture, Media and Sport
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!