Nur zwei Fünftel der britischen Unternehmen melden Datenverletzungen rechtzeitig

Cyber Security News

Heute ist es drei Jahre her, dass die GDPR in Europa eingeführt wurde, aber britische Unternehmen erfüllen immer noch nicht einige der grundlegendsten Berichtsanforderungen, warnt CrowdStrike.

Der Sicherheitsanbieter befragte zwischen dem 30. April und dem 10. Mai eine Stichprobe von 500 Entscheidungsträgern in britischen Unternehmen, um die Akzeptanz der Gesetzgebung und des Data Protection Act 2018, der ihre Prinzipien in britisches Recht umsetzt, besser zu verstehen.

Leider ergab die Umfrage, dass nur 42 % der britischen Unternehmen, die eine Datenschutzverletzung erlitten haben, den Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde melden, wie es das Gesetz verlangt.

Die Studie fand einen allgemeinen Mangel an Bewusstsein und Sichtbarkeit an anderer Stelle: 67 % der Befragten gaben an, dass sie sich für den Fall, dass sie Opfer einer Sicherheitsverletzung werden, “vorbereitet” sehen, aber nur etwa ein Drittel (36 %) hat tatsächlich spezifische Protokolle für den Umgang mit den Folgen eines solchen Vorfalls vorbereitet.

Mehr als ein Fünftel (22 %) gab an, dass sie entweder nicht wissen oder nicht glauben, dass die GDPR nach dem Brexit für Großbritannien gilt.

Darüber hinaus wissen zwei Drittel der Unternehmen entweder nicht (41 %) oder unterschätzen (25 %) den Höchstbetrag, den das Information Commissioner’s Office (ICO) gegen fehlbare Unternehmen verhängen kann: 4% des weltweiten Jahresumsatzes oder 17 Millionen Pfund, je nachdem, welcher Betrag höher ist.

Zeki Turedi, EMEA CTO bei CrowdStrike, erklärte gegenüber Infosecurity, dass viele Unternehmen nur schwer verstehen, was eine Datenverletzung überhaupt ist und wie viel Zeit sie haben, um sie zu melden.

“Einige Unternehmen sind sich zum Beispiel nicht bewusst, dass das einfache Senden vertraulicher Informationen über eine Person an eine falsche E-Mail-Adresse die Notwendigkeit einer GDPR-Meldung auslösen kann”, argumentierte er.

“Der CISO spielt hier eine entscheidende Rolle, nicht nur um das Unternehmen von vornherein zu schützen, sondern auch um sicherzustellen, dass das Unternehmen seine rechtlichen Anforderungen bei Verstößen versteht und in der Lage ist, diese zu erfüllen. Die Studie unterstreicht die anhaltende Notwendigkeit, Unternehmen über die Anwendung der GDPR und deren Auswirkungen aufzuklären.”

Neben der Rolle des CISOs in diesem Bereich schreibt die GDPR den meisten großen Organisationen auch vor, ein Data Protection Office (DPO) zu ernennen, das sich um solche Fragen kümmert.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com