Meldepflicht von Datenpannen und Datendiebstahl


EU-Vorschrift zur 24-Stunden-Meldefrist bei Cyber-Attacken trat in Kraft
Die Flut an Diebstahls- und Missbrauchsfällen in der letzten Zeit zeigt deutlich, dass Unternehmen noch mehr in Datenschutzmaßnahmen investieren müssen

(25.09.13) - Eine neue Verordnung der Europäischen Union zur Meldepflicht von Datenpannen und Datendiebstahl trat am 25. August 2013 offiziell in Kraft. Fürs Erste wird die neue Regelung nur für Telekombetreiber Internet-Provider gelten. Diese Unternehmen müssen demnach Diebstahl, Verlust oder unbefugten Zugriff auf persönliche Daten der Kunden – einschließlich E-Mails, Verbindungsdaten und IP-Adressen – an die zuständigen Behörden melden. Die Frist zur Meldung beträgt dabei 24 Stunden nachdem das Datenleck erkannt wurde.

Ralph Kreter, Director Central Europe and Middle East bei LogRhythm, kommentiert:

"Die Flut an Diebstahls- und Missbrauchsfällen in der letzten Zeit zeigt deutlich, dass Unternehmen noch mehr in Datenschutzmaßnahmen investieren müssen, um das Vertrauen der Verbraucher wiederherzustellen. Als diese neuen EU-Regelungen vergangenes Jahr erstmals diskutiert wurden, sahen viele die vorgeschlagenen Sanktionen und Fristen als zu streng an. Sie hätte vielen Unternehmen aber bereits eine Warnung sein können und als Anstoß dienen sollen, um die Cyber-Abwehrstrategie neu zu regeln und zu verbessern. Leider ist dies aber bei vielen offensichtlich noch nicht geschehen.

Wie während jeder anhaltenden Krise, kommt irgendwann die Zeit, wenn weniger Worte und mehr Taten erforderlich sind – und es wäre möglich, dass diese neue Regulierung der letzte Aufruf zum Handeln für Unternehmen ist, die noch immer dem aktuellen Stand der Technik hinterherhinken und fahrlässig Kundendaten mit unzureichenden Sicherheitsmaßnahmen in Gefahr bringen. Angesichts des gut dokumentierten hohen Niveaus heutiger Cyber-Krimineller können Unternehmen nicht mehr tatenlos zusehen und davon ausgehen, dass sie immun gegen Angriffe wären. Da das Risiko einer Rufschädigung und der Verlust von Kunden bisher für viele noch kein Grund zum Handeln waren, wird vielleicht die Drohung mit hohen Geldstrafen helfen.

Unternehmen, die angesichts der letzten Fälle in Panik verfallen, sollten zuerst einen Schritt zurücktreten und einen objektiven Blick auf ihre Sicherheitsrichtlinien werfen. Die von den neuen Regelungen vorgegebene straffe Meldefrist erlaubt sicherlich keine Fehler und Unternehmen sollten deshalb eine Strategie fahren, die ihnen klare Einblicke in jede einzelne Aktivität im Netzwerk erlaubt. Netzwerk-Daten werden häufig ineffizient verarbeitet, was unter dem Druck der 24-Stunden-Frist zu ungenauen Informationen über das Datenleck führen kann. Dieser Druck hat in den USA bereits zu dem Effekt geführt, dass Unternehmen in der Eile und aufgrund von zu wenig Informationen über die tatsächlichen Vorgänge im Netzwerk die Schwere des Vorfalls lieber über- statt untertrieben haben. Solche Lektionen im Bereich Cyber-Security müssen aber – über alle Industriesektoren hinweg – gelernt werden. Denn auch wenn die neuen Vorschriften im Moment noch ziemlich begrenzt sind, ist es nur eine Frage der Zeit, bevor ein universelles Regelwerk nicht nur vorgeschlagen, sondern auch durchgesetzt wird."
(LogRhythm: ra)

LogRhythm: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Datenschutz und Informationsfreiheit

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Louisa Specht-Riemenschneider ihren Tätigkeitsbericht vorgestellt. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist mit Blick auf die digitale Transformation und Zukunftstechnologien wie Künstlicher Intelligenz eines der wichtigsten in Deutschland. Der vorgelegte Tätigkeitsbericht zeigt den eingeschlagenen und dringend notwendigen Perspektivwechsel der BfDI, die Datenschutz und verantwortungsvolle Datennutzung gleichermaßen in den Blick nimmt."

  • Bitkom zum "AI Continent Action Plan" der EU

    Die EU-Kommission hat den "AI Continent Action Plan" vorgestellt, mit dem Europa bei Künstlicher Intelligenz zu den aktuell führenden Nationen USA und China aufschließen will. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Mit dem AI Continent Action Plan verschiebt die EU den Fokus von KI-Regulierung auf KI-Förderung - und dafür ist es höchste Zeit. Die europäischen Staaten können nur gemeinsam zu den führenden KI-Nationen USA und China aufschließen und die Grundlagen für eine wettbewerbsfähige, europäische KI schaffen. Eine KI aus Europa würde einen entscheidenden Beitrag zu Europas digitaler Souveränität leisten. Die aktuelle geopolitische Lage und die angespannten Handelsbeziehungen zu den USA machen dies notwendiger denn je."

  • Rückschlag im Kampf gegen Korruption

    Transparency Deutschland kritisiert den Koalitionsvertrag von Union und SPD als unzureichend im Hinblick auf Korruptionsbekämpfung und -prävention sowie Transparenz. Keine der drei Kernforderungen, die die Antikorruptionsorganisation bereits im Wahlkampf an die künftige Bundesregierung formuliert hatte, wurde im Koalitionsvertrag berücksichtigt. In der nächsten Legislaturperiode bleiben damit gravierende Defizite bestehen - und der Handlungsbedarf verschärft sich.

  • Nachhaltigkeit in der Unternehmensstrategie

    Die Europäische Kommission hat am 26.02.25 mit der Omnibus-Richtlinie ein neues Paket von Vorschlägen zur Vereinfachung der EU-Nachhaltigkeitsvorschriften und zur Steigerung der Wettbewerbsfähigkeit vorgelegt. Stefan Premer, Principal Sustainability Consultant - Global Lead Climate Strategy bei Sphera, Anbieterin von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen, erläutert unten seine Sicht zu diesen Vorschlägen.

  • Risiken frühzeitig zu kontrollieren

    Die Regulierung von KI ist ein zentrales politisches und wirtschaftliches Thema - doch während Europa auf Vorschriften setzt, treiben die USA und China die Umsetzung voran. Die EU versucht mit dem AI-Act, Risiken frühzeitig zu kontrollieren, doch der technologische Fortschritt lässt sich nicht per Gesetz erzwingen. Unternehmen müssen Verantwortung übernehmen, indem sie Transparenz fördern und Vertrauen schaffen - nicht nur aus ethischen Gründen, sondern auch für wirtschaftliche Vorteile.

Einheitliches europäisches Bitstromprodukts Geheimdienste und mangelnde Datensicherheit

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen