Computerwoche-Webinfosession
Datenschutz in der digitalen Transformation
Foto: wavebreakmedia - shutterstock.com
Geht es um Digitalisierung, sprechen Entscheider viel von neuen Geschäftsmodellen und Wertschöpfungsketten - zu Recht. Dass aber auch Datenschutz und IT-Sicherheit neu betrachtet werden müssen, erklärt eine Webinfosession der Computerwoche.
Die EU-Datenschutzgrundverordnung gibt dem Thema zusätzliche Relevanz. Markus J. Krauss, Senior Director Security bei CA Technologies und Sebastian Rohr, CTO der Apiida AG, sprechen über ganzheitliche Strategien für mehr Sicherheit. Sie erklären, wie Entscheider die Kontrolle für ihre IT-Infrastruktur zurückgewinnen und was ein gutes Security-Management ausmacht. Thomas Hafen von der Computerwoche moderiert die Webinfosession.
Mit den vielen verfügbaren Daten aus Industrie 4.0 mit ihren smarten Geräten durchzieht Digitalisierung alle Lebensbereiche bis ins Zuhause der Verbraucher, stellt Krauss fest. Rohr ergänzt: "Damit wird eine sehr viel größere Datenmenge erfasst - das stellt eine lohnende Beute für die bösen Jungs im Internet dar."
Doch der Gesetzgeber reagiert, und das bezieht sich nicht nur auf den Snowden-Effekt. "Wir hatten in Deutschland ja bereits das Bundesdatenschutzgesetz", so Krauss, "als neuer Meilenstein ist nun die EU-Ebene erreicht". Dabei betrifft die EU-Datenschutzgrundverordnung nicht nur die EU im engen Sinn, sondern alle Unternehmen weltweit, die mit EU-ansässigen Firmen operieren.
Nachholbedarf beim Mittelstand
Rohr fügt an, das sich auch beispielsweise Krankenhäuser und andere Organisationen danach richten müssen. Seine Beobachtung: "Die internen Prozesse in vielen Unternehmen sind noch nicht dafür ausgelegt." Da sich Unternehmen heute aber mit der Lieferkette verknüpfen, also näher an Partner und auch an Kunden heranrücken, brauchen sie ein ganzheitliches Sicherheits-Management. Dazu zählen folgende Fragen: was sind die Risiken für mein Unternehmen? Welche Prozesse sind über welche Applikationen abgedeckt? In welchen Applikationen liegen welche Daten? Wie kann ich diese absichern? "Insbesondere der größere Mittelstand hat Nachholbedarf in der Erkenntnis, dass er von der IT abhängig ist", so die Erfahrung des Experten.
Krauss empfiehlt Identity-Management als klassisches Mittel, privilegierte Nutzer zu definieren. Sein Ziel illustriert er mit einem bildhaften Vergleich: "Wenn am Bahnhof ein verlassener Koffer herumsteht, weiß jeder, was zu tun ist. So sollte es bei der Datensicherheit auch sein."
Beiden Experten geht es nicht darum, Administratoren in ein schlechtes Licht zu rücken. Doch diese "haben das Schicksal des Unternehmens in der Hand", wie Rohr sagt. Das heißt für Sicherheitsverantwortliche: Sie müssen auf die Gewaltenteilung achten. Konkret: Wer Back-Ups für bestimmte Systeme macht, sollte nicht in die virtuelle Umgebung einwirken können. Werden Studierende als Praktikanten beschäftigt, dürfen sie nicht noch monatelang Berechtigungen haben, weil schlicht vergessen wird, diese wieder zu löschen.
Nutzerverhalten beobachten
Es geht also darum, Nutzer zu beobachten. Gibt es Zugriffe außerhalb der regulären Infrastruktur? Außerhalb der vereinbarten Arbeitszeit? Von einem unbekannten Gerät aus? Wer greift zu? Wo liegen meine Daten? Welche Daten sind sensitiv?
"Der Gesetzgeber schreibt ja jetzt auch vor, dass Unternehmen geeignete Maßnahmen einsetzen müssen", betont Krauss. Es geht nicht um hundertprozentige Sicherheit. Dass es die nicht gibt, weiß auch der Gesetzgeber. Aber darum, die unternehmerischen Sorgfaltspflicht zu erfüllen und nie fahrlässig zu handeln. Wer das im Falle des Falles belegen kann, wirkt es sich strafmindernd aus. Wobei Krauss zu Bedenken gibt: "Der Reputationsschaden ist unermesslich!"