Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

Einhaltung des New York SHIELD Act

New York's SHIELD Act requires businesses to protect private information with reasonable safeguards. Learn how ImmuniWeb helps you meet its technical-safeguards requirements.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung des New York SHIELD Act
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
die Einhaltung des New York SHIELD Act

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung des New York SHIELD Act

What Is the New York SHIELD Act?

Der SHIELD Act hat die Meldepflichten bei Datenschutzverletzungen in New York (Section 899-aa) erweitert und erstmals eine affirmative Datensicherheitsanforderung (Section 899-bb) eingeführt: Jedes Unternehmen, das private Informationen von New Yorker Einwohnern hält, muss angemessene Schutzmaßnahmen zum Schutz dieser Informationen entwickeln, implementieren und aufrechterhalten.

Das Gesetz beschreibt administrative, technische und physische Sicherheitsmaßnahmen. Zu den Beispielen für technische Sicherheitsmaßnahmen gehören die Risikobewertung bei der Netzwerk- und Softwarearchitektur sowie das regelmäßige Testen und Überwachen der Wirksamkeit wichtiger Kontrollen.

See how ImmuniWeb helps you meet the SHIELD Act's reasonable technical safeguards - testing and monitoring the apps that hold private information. Request a demo· or run a free Community Edition test.

Who Must Comply with SHIELD Act?

Der SHIELD Act gilt für:

  • Any person or business that owns or licenses computerized private information of New York residents.
  • Unternehmen außerhalb von New York, die private Informationen von Bewohnern New Yorks halten (extraterritoriale Reichweite).
  • Für alle Branchen und Unternehmensgrößen – mit einem weniger aufwändigen Standard, der an ihre Größe und Komplexität angepasst ist.

Any business running web and mobile applications that hold private information of NY residents must secure and test them.

Key SHIELD Act Requirements for Application Security

Application security sits within the reasonable technical safeguards of Section 899-bb:

  • Assess risks in software design: assess risks in network and software design and in information processing, transmission and storage.
  • Detect, prevent and respond: detect, prevent and respond to attacks or system failures.
  • Schlüsselkontrollen testen und überwachen: Testen und überwachen Sie regelmäßig die Wirksamkeit von Schlüsselkontrollen, Systemen und Verfahren.

SHIELD Act Security Requirements in Depth

Section 899-bb - Reasonable Technical Safeguards

Abschnitt 899-bb erwartet von Unternehmen, dass sie Risiken in Netzwerk- und Softwaredesign bewerten und Angriffe erkennen, verhindern und darauf reagieren. Penetrationstests und Schwachstellenscans von Web- und mobilen Anwendungen sind praktische Methoden, um Risiken im Softwaredesign zu bewerten und zu validieren, dass die Kontrollen gegen reale Angriffe standhalten.

Testing and Monitoring Key Controls

Das Gesetz schreibt explizit die regelmäßige Prüfung und Überwachung der Wirksamkeit von Schlüsselkontrollen, Systemen und Verfahren vor. Kontinuierliches Scanning und periodische Penetrationstests, ergänzt durch die Überwachung der Angriffsfläche, operationalisieren diese Anforderung.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Die Anwendungsrisiken, die der SHIELD Act von Ihnen zu adressieren erwartet, decken sich eng mit den OWASP Top 10:

  • Broken Access Control — Benutzer greifen auf Daten oder Aktionen zu, die ihnen nicht zustehen.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
  • Insecure Design — missing security controls by design, not just by bug.
  • Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Vulnerable & Outdated Components — unpatched libraries and frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — unvertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
  • Server-Side Request Forgery (SSRF) — der Server wird dazu gebracht, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

So gestalten Sie die Anwendungssicherheit für den SHIELD Act mit ImmuniWeb

  1. Kartieren Sie Ihre Angriffsfläche. Erstellen Sie mit ImmuniWeb Discovery eine Bestandsaufnahme internetzugänglicher Apps, die private Informationen enthalten.
  2. Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
  3. Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
  4. Testen Sie wichtige Kontrollen regelmäßig und beheben Sie Schwachstellen anhand umsetzbarer Berichte ohne False Positives.
  5. Keep testing continuously with Continuous in CI/CD.
  6. Überwachen Sie Datenlecks mit der Dark Web-Überwachung von Discovery.

How ImmuniWeb Helps You Achieve SHIELD Act Compliance

ImmuniWeb helps businesses implement and evidence the reasonable technical safeguards Section 899-bb requires.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Assess software-design risks Identifizieren Sie Schwachstellen in Apps und Software. On-Demand, Neuron, Discovery
Erkennen & Reagieren Angriffe erkennen, verhindern und darauf reagieren. Neuron, Continuous, Discovery
Testen der Schlüsselkontrollen Regelmäßig testen und die Wirksamkeit der Kontrollen überwachen. On-Demand, Neuron, MobileSuite, Neuron Mobile

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps your attack surface and monitors the dark web - evidencing the SHIELD Act's reasonable technical safeguards.

SHIELD Act gegenüber internationalen Rahmenwerken

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Framework – Anwendungssicherheitsperspektive – Wie ImmuniWeb abbildet
New York SHIELD Act Reasonable technical safeguards (899-bb) Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring
CCPA Kalifornien Angemessene Sicherheit Dieselben Tests decken beide ab
NYDFS Part 500 500.5 Pentest und Assessments Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventory of internet-facing apps holding private information
  • Webanwendungen, die nach OWASP Top 10 getestet wurden
  • Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
  • Software-Design-Risiken bewertet und behoben
  • Regelmäßige Tests und Überwachung der Key Controls
  • Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
  • Breach-notification process and exposure monitoring in place

Warum die Einhaltung des SHIELD Act wichtig ist

Der SHIELD Act wird vom Generalstaatsanwalt von New York durchgesetzt, der bei Nichteinhaltung angemessener Sicherheitsvorkehrungen oder unzureichender Meldung von Datenschutzverletzungen zivilrechtliche Sanktionen einklagen kann. Da er für jedes Unternehmen gilt, das vertrauliche Informationen von New Yorker Einwohnern hält, ist sein Geltungsbereich weitreichend – er erstreckt sich weit über in New York ansässige Unternehmen hinaus.

Because web and mobile applications are a leading breach vector, demonstrably testing and monitoring them is one of the clearest ways to meet the SHIELD Act's reasonable technical safeguards.

Häufig gestellte Fragen

  • Q
    Was ist das New York SHIELD Act?
    A
    Der Stop Hacks and Improve Electronic Data Security Act (2019), der das New Yorker Gesetz zur Benachrichtigung bei Datenschutzverletzungen erweiterte und eine Datensicherheitsanforderung hinzufügte (GBL 899-bb).
  • Q
    Who enforces the SHIELD Act?
    A
    Der Generalstaatsanwalt von New York.
  • Q
    Wer muss den SHIELD Act einhalten?
    A
    Jede Person oder jedes Unternehmen, das computergestützte private Informationen von New York-Einwohnern besitzt oder lizenziert, einschließlich Unternehmen außerhalb von New York.
  • Q
    What does Section 899-bb require?
    A
    Reasonable administrative, technical and physical safeguards - including assessing software-design risks and regularly testing and monitoring the effectiveness of key controls.
  • Q
    Does the SHIELD Act require security testing?
    A
    Der Standard für angemessene technische Sicherheitsvorkehrungen wird in der Praxis durch Penetrationstests, Schwachstellenscans und die Überwachung von Systemen, die personenbezogene Daten enthalten, erfüllt.
  • Q
    Wie hilft ImmuniWeb bei der Einhaltung des SHIELD Act?
    A
    Durch das Testen und Absichern von Web- und mobilen Anwendungen, die private Informationen enthalten, sowie durch die Überwachung der Attack Surface auf Exposition.
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
die Einhaltung des New York SHIELD Act

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten