Die Grenzen zwischen beruflichem und privatem Leben verschieben sich durch die Nutzung von Apps zu Hause, im Büro und unterwegs immer weiter, Stichwort BYOD (Bring Your Own Device). Die Abhängigkeit von Apps wirft allerdings auch die Frage nach der Sorgfalt im Umgang mit sensiblen Daten auf, insbesondere vor dem Hintergrund der neuen EU-Datenschutz-Grundverordnung, die ab dem Mai kommenden Jahres in Kraft sein wird.

Viele CIOs betrachten die Umsetzung einer BYOD-Strategie in ihrem Unternehmen sehr kritisch. Sie befürchten die Vermischung geschäftlicher und privater Daten und steigende Risiken durch Malware. Für IT-Service-, Risiko- oder Compliance-Management können durch Schattensysteme gravierende Probleme entstehen. Lückenhafte Datensicherheitseinstellungen vergrößern Risiken, die ein standardisiertes professionelles IT-Management eigentlich eindämmen sollte.

Zugleich bereitet sich der europäische Datenschutz auf ein neues Zeitalter vor, das von einem vermehrten Austausch über Ländergrenzen hinweg bestimmt wird. Mit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 rückt das Thema Datensicherheit nun verstärkt in den Mittelpunkt. Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Firmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben. Sie berührt vielfältige Technologiebereiche wie Cloud, Mobility, Storage, Big Data Analytics, Testing, Enterprise-Content- und Information-Lifecycle-Management, das Drucken sowie IT-Sicherheit einschließlich IAM (Identity- und Access-Management) und fordert neue Lösungsansätze.

Marktbeobachter beklagen mangelnde Vorbereitung

Eine Umfrage des Analystenhauses IDC unter 700 Unternehmen unterschiedlicher Größen hat ergeben, dass sich nahezu 80 Prozent aller IT-Entscheider kaum über die Auswirkungen der DSGVO im Klaren sind oder davon noch nie etwas gehört haben. Von den 20 Prozent der Befragten, die über die DSGVO informiert sind, erfüllen wiederum lediglich 20 Prozent die neuen Anforderungen. 59 Prozent gaben an, gerade mit der Umsetzung begonnen zu haben, weitere 21 Prozent gaben zu, zwar davon zu wissen, aber noch gar nicht darauf vorbereitet zu sein.

Bei einer IDC-Umfrage gaben nur 20 Prozent an, über die EU-DSGVO informiert zu sein, und selbst unter dieser Minderheit war der Grad der Vorbereitungen mangelhaft. Bild: A10 Networks

Dies ist in schwerer Fehler, denn im Vergleich zu vorherigen Bestimmungen müssen Organisationen nun wesentlich höhere Strafe zahlen, wenn sie nicht entsprechend reagieren. Durch die unmittelbare und übergreifende Geltung der Verordnung gibt es zudem keine nationalen Abschwächungen oder Schlupflöcher mehr. Ab Mai 2018 werden die jeweiligen Staatsregierungen also die Verordnung rasch und rigoros durchsetzen, sodass jene Unternehmen, die jetzt nicht handeln, schnell von ihren Versäumnissen eingeholt werden können.

Wer also glaubt, die Vorgaben der DSGVO nicht erfüllen zu müssen und keine Auswirkungen auf sein Unternehmen befürchtet, der irrt. Gerade in Deutschland kann schon der Ruf, nicht mit der nötigen Sorgfalt auf die Daten seiner Kunden zu achten, eine Marke sehr schnell zerstören. Außerdem treffen Verstöße gegen die DSVGO Unternehmen jeder Größenordnung empfindlich: Sie schlagen mit bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro zu Buche, je nachdem, welcher Betrag höher liegt. Die Bußgelder werden erhoben, wenn Unternehmen die Richtlinien nicht einhalten – selbst wenn kein konkreter Sicherheitsvorfall vorliegt.

Strikte Vorgaben zu Datenkontrolle und Reaktion

Um die Risiken enormer Kosten zu vermeiden, müssen Unternehmen sich an einige strikte Vorgaben halten. Die beiden wichtigsten betreffen die Datenkontrolle und die Reaktion auf Verletzungen der DSGVO.

Die DSGVO stärkt nicht nur die Rechte des Einzelnen zur Kontrolle über seine Daten, sondern insbesondere auch über die Datenübertragbarkeit. Alle Organisationen, die persönliche Daten bearbeiten, müssen gewährleisten, dass sie ausreichend gegen Verlust, Diebstahl, unberechtigten Zugriff etc. geschützt sind. Haben Angreifer trotz der Schutzmaßnahmen Erfolg und es kommt zum Datenverlust, muss das betroffene Unternehmen das Datenleck innerhalb von 72 Stunden melden. Besteht die Wahrscheinlichkeit, dass das Datenleck ein hohes Risiko für Einzelpersonen darstellt, sind diese Personen entsprechend zu informieren. Unternehmen, die personenbezogene Daten in der Cloud haben, sind künftig für eine Nichteinhaltung datenschutzrechtlicher Bestimmungen von Seiten der Cloud-Provider verantwortlich.

Datenschutzverletzungen schnell erkennen

Die schnelle Erkennung einer Verletzung der DSGVO ist also eine zentrale Herausforderung. Organisationen müssen Pläne für Datenschutzverletzungsszenarien erstellen und einen strukturierten Vorgang für die technische Behebung sowie für den Umgang mit Aufsichtsbehörden, Kunden und Medien etablieren. Die DSGVO schreibt außerdem fest, dass die Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, wenn die Kerntätigkeit des Unternehmens in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht.

Dies ist besonders relevant, da die neue Regelung von den Regelungen des alten Bundesdatenschutzgesetzes abweicht. Der Datenschutzbeauftragte sollte bei globalen Konzernen seinen Sitz in der EU haben, damit die schnelle Erreichbarkeit für Mitarbeiter, die Unternehmensführung sowie Betroffene gewährleistet werden kann. Es ist auch möglich, einen externen Beauftragten zu beschäftigen. Grundsätzlich stehen Unternehmen aber vor der Herausforderung, die Stelle adäquat zu besetzen, da dieser neben der erforderlichen Erfahrung im Datenschutz und fortschrittlichen IT-Kenntnissen auch juristisches Fachwissen vorweisen muss. Artikel 39 der DSGVO regelt die Aufgaben und Pflichten eines Datenschutzbeauftragten. Dazu zählen beispielsweise die Überwachung der Einhaltung der DSGVO und nationaler Sonderregelungen sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Datenschutz von Beginn an mit einbeziehen

In der DSGVO verankert ist der Datenschutz „By Design and by Default“, also durch Technik und durch datenschutzfreundliche Voreinstellungen. Das bedeutet erstens, dass bereits bei der Gestaltung eines neuen Systems, Prozesses, Services etc. der Datenschutz eine zentrale Rolle spielt: Organisationen müssen sie von Beginn an im Einklang mit den Vorgaben der DSGVO entwickeln und dies auch nachweisen können. Des Weiteren müssen sie Auswahlmöglichkeiten bieten, mit denen der Einzelne festlegen kann, in welchem Umfang er persönliche Daten preisgeben möchte. Die betroffenen Personen haben das Recht, Zugriff auf die mit ihnen verbundenen persönlichen Daten zu verlangen, die eine Organisation speichert oder verarbeitet. Der Zeitrahmen, um solchen Anfragen nachzukommen, wurde von 40 auf 30 Tage gesenkt, damit verbundene Bearbeitungsgebühren wurden abgeschafft.

Die IT-Sicherheitsbedrohungen sind vielfältig: DDoS-Angriffe zum Beispiel können Teil eines Angriffs mit dem Ziel eines Datendiebstahls sein. Bild: A10 Networks

Unternehmen stehen also vor der Herausforderung, bestehende Datenschutzmaßnahmen vollständig zu überarbeiten. Das Informations-Management muss sich dahingehend ändern, dass eindeutig geregelt ist, über welche Daten das Unternehmen verfügt, wer dafür verantwortlich ist, wo diese gespeichert und wie sie genutzt werden. Neue Herausforderungen betreffen auch die IT-Sicherheit, die in jedem Schritt innerhalb des Geschäftsprozesses eingebettet sein muss. Dazu gehört auch die Implementierung interner Standards für die Informationssicherheit wie zum Beispiel ISO 27001, da die DSGVO zum Großteil auf diesen Standard ausgerichtet ist.

Der Faktor Mensch

Abschließend dürfen Unternehmen aber nicht vernachlässigen, dass die größte Gefahr für Datenverluste im Unternehmen von den Mitarbeitern selbst ausgeht und nicht von Malware oder Hackern. Im Zuge der Umsetzung der DSGVO-Vorgaben ist es also unbedingt erforderlich, das Bewusstsein der Endanwender für Datensicherheit zu schärfen. Wir Menschen sind nun mal nicht perfekt und machen Fehler. In der Regel passiert es ungewollt, dass Mitarbeitern firmenrelevante Daten abhandenkommen. Ziel eines unternehmensweiten übergeordneten IT-Sicherheitskonzepts sollte also auf jeden Fall die Sensibilisierung der Mitarbeiter sein. Im Intranet könnte man beispielsweise als Orientierung die aktuellen Sicherheitsnormen bereitstellen und die Mitarbeiter durch regelmäßige Alerts auf Aktualisierungen hinweisen. Wichtig wäre es außerdem, regelmäßige interne und externe Schulungen durchzuführen, beispielsweise zu den geänderten Vorgaben, die die DSGVO mit sich bringt. Die Mitarbeiter müssen erfahren, was man von ihnen im Hinblick auf Datensicherheit erwartet und wie sie bei sicherheitskritischen Vorfällen reagieren sollten.

Datensicherheit lässt sich im Unternehmen nur dann verwirklichen, wenn alle Mitarbeiter erkennen und akzeptieren, dass sie ein bedeutender Faktor für den Erfolg des Unternehmens ist – und wenn die Mitarbeiter bereit sind, Sicherheitsvorgaben zu unterstützen und umzusetzen. Denn letzten Endes kann unachtsames Verhalten selbst das beste Sicherheitskonzept untergraben.

Heiko Frank ist Senior System Engineer bei A10 Networks, www.a10networks.com.