Datenhaltung in der Cloud ist nicht neu. Erst seitdem es vielerorts enorme Bandbreiten gibt, boomt das Cloud-Geschäft. Die Sicherheit der IT-Systeme und damit der Daten in der Cloud ist oft höher als auf veralteten Systemen mit unklaren Backup-Situationen im Keller eines Mittelstandsunternehmens.
Die Entscheider haben oft weder Klarheit über die eigenen IT-Systeme noch über aktuelle Cloud-Sicherheit und treffen auf Basis der medialen Berichterstattung die vorschnelle Entscheidung, doch lieber das Altsystem im Keller laufen zu lassen, denn dafür hat man den Schlüssel auf Schlüsselbund.
Unbewusst gefährden die Unternehmensverantwortlichen so das Vertrauen der Auftraggeber, die Auftragslage, die Jobs und schließlich das gesamte Unternehmen.
In den vergangenen fünf Jahren habe ich in über 200 IT-Sicherheits- und Datenschutzprüfungen weltweit mit meinem 20-köpfigen Team immer wieder ähnliche Feststellungen gemacht:
Schlechte, veraltete oder nicht vorhandene Dokumentation von Infrastruktur, Kennwörtern, Backups, Datenbanken
Unternehmen wissen nicht, wo ihre schützenswerten Informationen gespeichert sind und wie einfach man diese Informationen vor Datendiebstahl schützen könnte
Klassische Spionagetechniken in Kombination mit IT-Angriffen gefährden täglich "gut funktionierende Mittelstandsunternehmen", die oft ahnungslos in die einfachsten Fallen laufen.
Auftraggeber erwarten von Zulieferern nicht nur Vertraulichkeit, sondern eine nachweisbare Informationssicherheit, die vor Ort überprüft werden kann (BDSG §9, 11)
Subunternehmer werden nicht verpflichtet oder geprüft. Die Leistungskette ist lückenhaft.
Schwachstellen sind oft "bekannt", die Unternehmen fühlen sich überfordert systematisch nach Schadenswahrscheinlichkeit und -höhe priorisiert die Aufgaben anzupacken und umzusetzen. Genau damit beginnen die Teilnehmer einer zertifizierten Schnellprüfung.
Der Feind des Mittelstandes sind nicht die Geheimdienste sondern seine so genannten Marktbegleiter. Dem Wettbewerb aber sind aufgrund unzureichender Schutz- und Abwehrmaßnahmen oft Tür und Tor geöffnet und das sperrangelweit. Unverschlüsselte E-Mail etwa ermöglicht den Diebstahl von geistigem Eigentum (von Planungsskizzen bis hin zu schriftlichen Angeboten, die als Dateianhang an Kunden und Partner herausgehen) ohne großen Aufwand; DdOS-Attacken legen die Server lahm ... - der Beispiele sind viele.
Die Folgen aber sind immer die gleichen: Ausfälle erfolgskritischer Systeme, wirtschaftliche Einbußen, Schädigung der Reputation und im schlimmsten Fall der komplette Verlust der Wettbewerbsfähigkeit.
Datenschutz ist keine Sachbearbeitungsaufgabe
Gute Datenschutzbeauftragte verfügen neben einer guten Sachkunde über profundes Wissen in IT, Organisation, betriebswirtschaftlichen Zusammenhängen und Weitblick bei Risikoabschätzungen. Datenschutz ist essentieller Bestandteil eines GRC-Managements.
Zum Video: Datenschutz in der Cloud - und die Angst des Mittelstands
Zu allererst gehört das Wissen in die Köpfe der Entscheider! Selbst Führungskräfte von börsennotierten Unternehmen sind erstaunlich leichtfertig, wenn es um die Sicherheit ihrer persönlichen Daten und die ihres Unternehmens geht, vor allem auf Dienstreisen, in der abendlichen Abgeschiedenheit ihrer Hotelzimmer. Der Abruf von EMails und Unternehmensdaten über ungesicherte WLANs ist keine Seltenheit.
Was ist das wichtigste Kapital des Unternehmens?
Mittelständische Unternehmen müssen ihren Blick auf die Bereiche legen, in denen sie Geld verdienen. Forschung, Entwicklung und Produktion sind mindestens so gut zu schützen wie etwa die ERP-, CRM- und E-Mail-Systeme. Und so kann selbst die als unsicher geltende Dropbox datenschutzrechtlich sauber eingebunden werden: Es kommt darauf an, welche Informationen dort Dritten bereitgestellt werden sollen.
Mitarbeiter einbinden
Die Sensibilisierung der Mitarbeiter und umsichtiges Verhalten ist Pflicht. Denn sonst nützen Investitionen in technische Sicherheit gar nichts. Daher legen wir größten Wert auf regelmäßige Trainings der Belegschaften innerhalb und außerhalb des Unternehmens. Die Erfahrung draußen im Feld zeigt: Wenn der Datenschutzbeauftragte nicht jedem Mitarbeiter bekannt ist (und erst dann funktioniert der Datenschutz!), ist der Datenverlust nur noch eine Frage der Zeit.
Zum Video: Datenschutz in der Cloud - und die Angst des Mittelstands
Datenschutz als Wettbewerbsvorteil
Gelebter Datenschutz ist immer die Kombination aus technischen Maßnahmen und sensiblem Verhalten der Menschen, vom Berufseinsteiger bis hin zum Vorstand. In Kombination mit durchdachten Datenflüssen und Einbindung der Fachabteilungen werden die Datenschutzinteressen Dritter gewahrt - und der Datenschutz wird vom "ungeliebten Kind" zum echten Wettbewerbsvorteil.
Knackpunkt für Systemhäuser
IT Systemhäuser haben oft einen "guten Draht" zu Ihren Kunden. Der IT-Experte kann aber nicht gleichzeitig IT-Betrieb und Datenschutz umsetzen, die Funktionsüberschneidung ist unzulässig. Systemhäuser können aber dem internen oder externen Datenschutzbeauftragten (Partner) in Form von IT-Sicherheitsprüfungen zuarbeiten, um so die Bindung zu den vertrauten Kunden auszubauen und nicht durch Dritte zu gefährden. Dazu zählen auch die gemeinsamen Bewertungen von Cloud-Sicherheit und -Zulässigkeit. (rb)