Datenschutz nur aus Image-Gründen

Wunsch und Wirklichkeit gehen in Sachen Datenschutz in mancher deutschen Firma auseinander. Das ergab die Studie "Datenschutz 2011", die der TÜV Süd gemeinsam mit der Münchener Ludwig-Maximilians-Universität durchgeführt hat. 152 Unternehmen nahmen teil.

Zwar geben 68 Prozent der Befragten zu Protokoll, Datenschutz genieße bei ihnen hohen bis sehr hohen Stellenwert. Ein Blick auf die weiteren Ergebnisse bestätigt das jedoch nicht. Beispiel: Die Teilnehmer sollten auf einer Skala von 1 ("trifft voll und ganz zu") bis 5 ("trifft gar nicht zu") Aussagen für ihr Unternehmen bewerten. Das Statement: "Die Geschäftsleitung hat Themen aus dem Bereich Datenschutz regelmäßig auf der Tagesordnung" erreicht dabei nur den Wert 2,9.

Dass sich die einzelnen Mitglieder der Geschäftsleitung persönlich regelmäßig mit Datenschutzfragen beschäftigen, wird mit 2,7 kaum besser bewertet. Stichwort "regelmäßig": Nur 34 Prozent der Befragten überprüfen regelmäßig, ob interne Datenschutzrichtlinien eingehalten werden. 40 Prozent sprechen von "Stichproben".

Folgendes Statement kommt dagegen auf einen Wert von 1,7: "In der Geschäftsleitung besteht Einigkeit darüber, dass den Kunden das Thema Datenschutz sehr wichtig ist". Datenschutz scheint mehr aus Image-Gründen relevant zu sein denn um seiner selbst willen.

Immerhin: 85 Prozent der Unternehmen haben einen Datenschutzbeauftragten eingesetzt. Der wird auch fast immer formgerecht in Schriftform bestellt.

Der Datenschutzbeauftragte informiert die Geschäftsleitung meist direkt. Zumindest erreicht diese Aussage auf der Eins-bis-Fünf-Skala einen Wert von 1,8. Dass er bei Datenschutzfragen "immer aktiv hinzugezogen" wird, liegt bei 2,1.

Die Studienautoren erkundigten sich auch nach dem konkreten Vorgehen der Unternehmen. Dabei kommt das Statement: "Die bestehenden internen Richtlinien zum Datenschutz sind in unserem Unternehmen umgesetzt" mit 2,4 noch auf den besten Wert. Die Aussage, wonach Änderungen von Prozessen beziehungsweise neue Prozesse "grundsätzlich" unter Datenschutzaspekten geprüft werden, liegt bei 2,6.

Schlechtes Krisen-Management

Schlecht steht es um fixierte Richtlinien. Die Aussage, für alle Abläufe mit Datenschutzrelevanz gebe es schriftlich gefasste interne Richtlinien, erreicht nur den Wert 3,4. Noch schlechter sieht das Krisen-Management aus: Das Statement, man habe ein systematisches Vorgehen zum Umgang mit Datenschutzverletzungen definiert, wird mit 3,6 bewertet.

Ein weiteres Ergebnis der Studie bezieht sich auf die Mitarbeiter der Unternehmen. Dass der Belegschaft Informationen "zur Bedeutung des Datenschutzes" zur Verfügung stehen, dieser Satz erreicht einen Wert von 2,5. Dass diese Informationen den Datenschutz "am eigenen Arbeitsplatz in verständlicher Form" darstellen, rutscht auf 2,7 ab. Immerhin werden Mitarbeiter, die mit personenbezogenen Daten operieren, auf das Datengeheimnis verpflichtet (Wert 1,8).

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Mit dem Schritt vor die eigene Haustür scheinen die Studienteilnehmer den Datenschutz hinter sich zu lassen. Dass Datenschutz bei der Auswahl von Partnern "ein wichtiges Entscheidungskriterium" sei, diese Aussage kommt auf der Eins-bis-fünf-Skala nur auf 2,9.

Datenschutzlecks an den Schnittstellen zu Partnern

Dass Partner-Unternehmen, die im Auftrag personenbezogene Daten verarbeiten, auf technische und organisatorische Maßnahmen hin überprüft werden, erreicht nur 3,3. Die Studienautoren schreiben denn auch, an der Schnittstelle der Unternehmen zu ihren Partnern gebe es "Optimierungspotenziale".

Immerhin scheinen sich die Befragten nicht allzu viel vorzumachen: Die Aussage, sie seien im Thema Datenschutz "gut aufgestellt", bewerten sie mit 2,6. Gleiches gilt für den Satz, sie könnten mit den aktuellen Entwicklungen im Bereich Datenschutz "sehr gut mithalten".

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)