Warnung: “GDPR Extortion” könnte Ihr Geschäft verletzt, Hier ist was zu tun!

Die meisten in den USA ansässigen Unternehmensführer sind mit der GDPR (EU-Allgemeine Datenschutzverordnung) zumindest etwas vertraut. Obwohl diese breite Palette von Datenvorschriften darauf abzielt, die Privatsphäre der Bürgerinnen und Bürger in der Europäischen Union zu schützen, wird sie auch die US-Unternehmen erheblich betreffen. Es wird auch wahrscheinlich zu einer neuen und kostspieligen Cyberkriminalität führen: “GDPR-Erpressung”.

Wie werden sich die datenschutzbasierten Unternehmen in den USA auf die EU-basierte Datenvorschriften auswirken? Was ist GDPR Erpressung? Wie können sich Unternehmen schützen? Das sind die Fragen, die ich in diesem Artikel ansprechen werde.

GDPR In einer Nutshell

Als umfassendste Reihe von Datenschutzbestimmungen in der Geschichte (99 Artikel, genauer gesagt in 11 Kapiteln) sorgt die GDPRweltweit für Augenbrauen und Ängste.

Das liegt daran, dass die Erfassung von Kundendaten Unternehmen in allen Branchen dabei hilft, Marketing, Vertrieb, Kundenservice und viele andere Anstrengungen zu verbessern. Nun müssen Unternehmen dank GDPR viel sorgfältiger Daten sammeln.

GDPR gibt EU-Bürgern etwas, was es in den USA nicht gibt: Das Recht auf Privatsphäre von Persönlichkeitsdaten. Welche Regelungen sind in diesem Regelwerk enthalten? Obwohl GDPR recht komplex wird, hier ein kurzer Überblick.

Das Recht eines EU-Bürgers auf Datenschutz überwiegt nun das Interesse eines Unternehmens an der Erhebung seiner Daten. Daher hat jeder EU-Bürger im Rahmen von GDPR:

Das Recht zu entscheiden, ob ihre Daten erhoben werden dürfen oder nicht

Das Recht, alle Daten zu sehen, die über sie gesammelt wurden

“Das Recht, vergessen zu werden,” was bedeutet, dass ihre Daten auf Anfrage von Google und anderen Suchmaschinen degelistet werden müssen

Und schließlich – das Recht, das das GDPR-Erpressphänomen hervorgebracht hat, das das Recht ist, innerhalb von 72 Stunden über Datenverstöße informiert zu werden (z. B. Verstöße durch Hacker)

Wie wirkt sich GDPR auf US-Unternehmen aus?

Bevor ich in das eintauchte, was GDPR-Erpressung ist, muss ich betonen, warum US-Unternehmen hier nicht im klaren sind.

Wenn Ihr in den USA ansässiges Unternehmen den EU-Bürgern Dienstleistungen anbietet oder personenbezogene Daten über EU-Bürger erhebt, müssen Sie sich an die GDPR-Vorschriften halten. Einige der US-Industrien, die am ehesten unter GDPR fallen, sind Reisen, Gastfreundschaft, SaaS und E-Commerce. Allerdings sollte jedes Unternehmen mit einem US-amerikanischen Unternehmen mit einem Markt in der EU Vorbereitungen treffen, um die Anforderungen zu erfüllen.

Welche Folgen hat es, wenn die GDPR-Anforderungen nicht erfüllt werden? Die Geldbuden könnten bis zu 20 Millionen Euro betragen, obwohl noch nicht klar ist, wie solche EU-Zahlungen in den USA durchgesetzt werden.

Doch die Folgen für die Nichteinhaltung der GDPR-Compliance reichen weit über schwächende Gebühren hinaus. Auch Unternehmen mit einem großen EU-Kundenbasis könnten mit einem Markt von mehr als 510 Millionen Menschen ihr gutes Ansehen verlieren.

Angesichts der Androhung von achtstelligen Zahlungen auf der einen Seite und der Möglichkeit, das Vertrauen der EU-Kunden zu opfern, bleibt vielen US-Unternehmen nichts anderes übrig, als ihren Rahmen für das Datenmanagement auf die Einhaltung von GDPR zu übertragen.

GDPR

Als ob die steilen Folgen, die mit der Nichteinhaltung von GDPR verbunden sind, nicht besorgniserregend genug wären, haben die Staats-und Regierungschefs der EU und der USA einen weiteren Grund, den Schlaf zu verlieren: “GDPR Erpressung”.

Der wahnsinnige Schlag von Führungskräften, die sich auf GDPR vorbereiten, sorgt für einen perfekten Sturm für Cyberkriminelle. Wenn ein Unternehmen nicht gDPR-konform ist und seine Geräte nicht patzen und ungeschützt sind, kann sich ein Hacker Zugang zu den Daten der Unternehmen verschaffen und ein ominöses Ultimatum stellen: Entweder zahlt man dem Hacker eine bestimmte Summe Geld oder die Daten werden durchgesickert – ein Szenario, das auch lea D zu lähmenden Bußgeldern.

Eine gehackte Firma wird an dieser Stelle eine Wahl haben. Entweder die Verbrecher beschwichtigen oder das ICO (Information Commissioner es Office) über den Datenbruch informieren, und zwar per GDPR-Anforderungen.

Cyberkriminelle wissen, dass viele Unternehmen sich dafür entscheiden werden, die Hacker zu bezahlen, anstatt noch größeren GDPR-Bußgeldern zu begegnen. In dem Versuch, öffentlichen Aufschrei zu vermeiden, werden Unternehmensführer oft einen Cyberkriminellen bezahlen und versuchen, EU-Bürger über den Datenbruch im Dunkeln zu lassen.

Widerstand Cyberkriminelle

Trotz der Versuchung, einen Hacker zu bezahlen, sollte ein Unternehmen, das einem Cyberkriminalität zum Opfer gefallen ist, seinen Boden behaupten, anstatt mit Kriminellen zu verhandeln. Am besten ist es, das ICO über den Verstoß zu informieren und mit ihnen zusammenzuarbeiten, um den Schaden zu mildern. Warum? Es gibt mindestens vier Gründe.

1. Es gibt keine Garantie dafür, dass Hacker bis zum Ende des Deals leben und dem Opfer die Kontrolle über ihre Daten geben.

2. Die Bezahlung der Hacker ermutigt sie, zurückzukommen und das gleiche Unternehmen noch einmal zu erpressen.

3. Der Dank an Cyberkriminelle ermutigt sie, immer wieder fortschrittliche Technologien zur Erpressung von noch mehr Unternehmen auf der ganzen Welt zu entwickeln.

4. Es gibt einen ethischen Grund, sich Cyberkriminellen zu widersetzen. Die Menschen verdienen es zu wissen, wann ihre persönlichen Daten illegal abgerufen wurden.

Patch your Entire IT Environment

Der beste Schutz vor GDPR-Erpressung ist es, Hacker daran zu hindern, in Ihr System einzusteigen. Cyberkriminelle sind immer auf der Suche nach Unternehmen mit nicht verpatzten und schutzbedürftigen Geräten, und das aus gutem Grund. Selbst Unternehmen, die so groß sind wie Equifax , wurden wegen nicht gepatchtem Server verletzt.

Patching ist die Reparatur von Systemschwächen, die nach der Veröffentlichung von Hardware und Software aufgedeckt wurden. Es klingt einfach genug, aber der Prozess ist beängstigend und komplex.

Denken Sie an alle Komponenten, die gepatcht werden müssen. Server und Router, Betriebssysteme, Anwendungen, E-Mail-Clients, Desktops und Laptops, mobile Endgeräte, Firewalls, Office-Suiten und vieles mehr. Und wie jeder IT-Profi zustimmen wird, können allein die Server eines Unternehmens zu einem quirligen Kopfschmerz werden .

Zum Beispiel ist es üblich, dass ein Unternehmen zwei oder mehr Server-Betriebssysteme wie Linux und Windows betreibt. Darüber hinaus betreiben viele Unternehmen mehrere Versionen dieser Betriebssysteme, darunter zahlreiche Linux-Distributionen.

Aufgrund der Komplexität und mit so vielen Komponenten, die zu offenen Fenstern für Cyberkriminelle werden könnten, setzen intelligente Unternehmen einen Patch-Management-Prozess ein, um den Überblick zu behalten. Die Cloud Management Suitebeispielsweise ermöglicht es IT-Managern, jedes von ihrem Unternehmen genutzte Geräte-und Softwarepaket unabhängig von den Betriebssystemen kontinuierlich zu patchen.

Erzieher Ihre Mitarbeiter

Da viele Hacker Zugang zu riesigen Mengen an persönlichen Kundendaten erhalten, indem sie Mitarbeiter einfach ausgrenzen, ist es entscheidend, Ihre Mitarbeiter über Cyberkriminalmethoden aufzuklären. Für Mitarbeiter und Führungskräfte sollte ein verpflichtendes “Social Engineering” gehalten werden. Einige wichtige Themen, vor denen die Mitarbeiter gewarnt werden sollen, sind:

Klassisches Social Engineering, zum Beispiel, wenn jemand einen Mitarbeiter anruft, der behauptet, IT zu sein, und nach Passwörtern oder anderen sensiblen Informationen fragt

Gelegenheit Social Engineering, wie wenn ein Cyberkrimineller einen mit Malware beladenen USB auf einem Parkplatz abwirft und darauf wartet, dass ein Mitarbeiter ihn findet und benutzt.

E-Mail-Phishing, mit E-Mails, die legitim erscheinen, aber tatsächlich betrügerische Links oder Malware enthalten

Hilfreich ist auch, die Mitarbeiter über GDPR und GDPR-Erpressung aufzuklären. GDPR-konform zu werden (als nächstes diskutiert) kann ein mühsamer Prozess sein, daher gilt: Je mehr Wissen Ihre Mitarbeiter über ihre Bedeutung haben, desto besser.

Werden Sie GDPR kompatibel

Abgesehen davon, dass Hackern der Zugang zu den sensiblen Daten eines Unternehmens verwehrt wird, sollte jedes Geschäft mit einem EU-Markt GDPR-konform werden. Obwohl der Prozess arbeitsintensiv ist, lohnt es sich.

Unternehmen, die die Zeit und Mühe aufwenden, um die GDPR-Anforderungen zu erfüllen, beweisen der Europäischen Kommission und anderen maßgeblichen Organen, dass sie sich um die Datenschutzrechte der EU-Bürger kümmern. Solche Bemühungen dürften etwaige aufgezwungene Gebühren oder andere Folgen eines Datenbruchs minimieren.

Ehrliche Unternehmen, die sich für Compliance einsetzen, finden es leichter, ihren Markt zu gewinnen. Ob in den USA oder in der EU, die Verbraucher legen Wert auf Ehrlichkeit.

Unternehmen, die alles in ihrer Macht Stehende tun, um globale Vorschriften zu erfüllen und transparent zu agieren, sind schnell dabei, einen Wettbewerbsvorteil zu erlangen.

Bild: Shutterstock

Von Itai Elizur, ursprünglich veröffentlicht von Small Business Trends.