Auf die Plätze, fertig, Comply. Sind australische Unternehmen bereit für das System der meldepflichtigen Datenverletzungen?

Nur noch wenige Tage bis zum Inkrafttreten der australischen Regelung für meldepflichtige Datenverstöße (NDB). Neue Untersuchungen zeigen, dass fast die Hälfte der australischen Unternehmen noch nicht die für die Einhaltung der neuen Gesetzgebung erforderlichen unternehmensinternen Cyber-Sicherheitskontrollen und -richtlinien implementiert haben.

Nur 17 Prozent der australischen IT-Entscheidungsträger, die an der iTnews-Mimecast-Umfrage teilnahmen, gaben an, dass sie auf das neue NDB-System vorbereitet sind und sich sicher fühlen, dass sie es bereits erfüllen können. Weitere 38 Prozent sagten, sie seien zuversichtlich, dass sie bis zum Stichtag bereit sein werden.

Die übrigen gaben an, dass sie sich nicht sicher seien, ob sie die Vorschriften einhalten würden, dass es "auf Messers Schneide stehe" oder dass sie nicht viel über die Gesetzgebung wüssten.

Diese Gesetzgebung erlegt allen Unternehmen mit einem Umsatz von 3 Millionen Dollar und mehr strenge Offenlegungspflichten auf - und kann Geldstrafen in Höhe von 360.000 Dollar für Einzelpersonen und 1,8 Millionen Dollar für Organisationen verhängen, die Datenschutzverletzungen nicht angemessen offenlegen und daraufhin handeln.

Die Gesetzgebung gilt auch für alle kleineren Unternehmen, die Gesundheitsdienstleistungen erbringen, Verträge mit der Regierung des Commonwealth abschließen, mit personenbezogenen Daten handeln und für andere. Das bedeutet, dass jedes Unternehmen, unabhängig von seiner Größe, bereit sein sollte, die Richtlinien zu befolgen und die richtigen Cybersicherheitsinstrumente zu implementieren, um Datenlecks vorzubeugen und die Daten kontinuierlich zu schützen.

Die Verhinderung von Datenlecks ist ein integraler Bestandteil der Entwicklung einer robusten Cyber-Resilienz-Strategie , in der ein angemessenes Cybersicherheitsmanagement und entsprechende Kontrollen implementiert werden, um sicherzustellen, dass Unternehmen vor potenziellen Online-Sicherheitsverletzungen geschützt sind - und sich im Falle eines Datenlecks schnell wieder erholen können.

In Anbetracht der Bedeutung von E-Mails für die Unternehmen von heute konzentrieren sich viele Organisationen natürlich auf E-Mail-Schutzsoftware als Kernelement ihrer Cyber-Resilienzpläne. Etwa 77 Prozent der Befragten gaben an, dass sie in E-Mail-Schutz investieren, der Schutz vor Ransomware und gezieltem Phishing sowie Schutz für Organisationen bietet, die auf Microsoft Office 365 migrieren.

Das Gesamtbild übersehen

Ein wirklich wirksames Schutzsystem erfordert auch den Schutz anderer Teile des Unternehmens - und in dieser Hinsicht erweisen sich die australischen Unternehmen als weniger sorgfältig.

Bewährte Verfahren legen nahe, dass die Einhaltung der Top-4-Leitlinien des Australian Signals Directorate (ASD) und Essential Eight die Cyber-Resilienz drastisch verbessern und die Einhaltung der NDB-Verpflichtungen erleichtern kann. Allerdings gaben nur 64 Prozent der Unternehmen an, dass sie das in den Richtlinien empfohlene Patch-Management anwenden, um Software-Schwachstellen zu beheben, die ausgenutzt werden könnten.

Noch weniger nutzten andere von der ASD empfohlene Schutzmaßnahmen wie Application Whitelisting und Zugriffskontrolle. Dieser Mangel an grundlegenden Schutzmaßnahmen lässt Unternehmen auf verlorenem Posten stehen, wenn sie versuchen, zu verhindern, dass Ransomware, bösartige E-Mail-Anhänge, Advanced Persistent Threats und Whaling ihre Datensicherheit verletzen - und sie möglicherweise Sanktionen im Rahmen der NDB-Regelung ausgesetzt sind.

Cloud-E-Mail-Sicherheit Lösungen bieten eine schnelle Möglichkeit zur Verbesserung des Datenschutzes und der NDB-Compliance - aber sie sind nur ein Teil des Gesamtbildes, wenn es um den Schutz sensibler personenbezogener Daten geht.

Abgesehen von dem potenziellen direkten finanziellen und rufschädigenden Schaden, den ein Unternehmen nach einer Datenschutzverletzung erleidet, können die Kosten und der Zeitaufwand für die Wiederherstellung verheerend sein. Aus diesem Grund sind die Ergebnisse der iTnews-Mimecast-Umfrage ein Weckruf für jedes australische Unternehmen - und werden die Bedenken noch verstärken, da wir uns dem Termin für die Umsetzung der noch strengeren Kontrollen der Allgemeinen Datenschutzverordnung (GDPR) der Europäischen Union im Mai nähern.