Channel meets Cloud am 12. Februar

Datenschutz in der Cloud - und die Angst des Mittelstands

09.02.2015
Von 


Dr. Ralf Schadowski ist seit 25 Jahren in der IT, zunächst als IT Chef, später gründete er mehrere Unternehmen und fokussiert seit 10 Jahren ausschließlich auf das Thema Informationssicherheit, IT Compliance und Internationaler EU Datenschutz. Als Vorstand sowie Fachgruppenleiter für Datenschutz im Bundesfachverband für IT Sachverständige und Gutachter BISG e.V. erarbeitet er Standards für angemessenen und lebendigen Datenschutz in Unternehmen.
"Alle haben Angst vor dem bösen Wolf?" Diesen Eindruck haben viele, wenn es um das Thema Cloud geht. Und Datenschützer gelten gemeinhin als Verhinderer. Beides ist falsch.

Datenhaltung in der Cloud ist nicht neu. Erst seitdem es vielerorts enorme Bandbreiten gibt, boomt das Cloud-Geschäft. Die Sicherheit der IT-Systeme und damit der Daten in der Cloud ist oft höher als auf veralteten Systemen mit unklaren Backup-Situationen im Keller eines Mittelstandsunternehmens.

Die Entscheider haben oft weder Klarheit über die eigenen IT-Systeme noch über aktuelle Cloud-Sicherheit und treffen auf Basis der medialen Berichterstattung die vorschnelle Entscheidung, doch lieber das Altsystem im Keller laufen zu lassen, denn dafür hat man den Schlüssel auf Schlüsselbund.

Unbewusst gefährden die Unternehmensverantwortlichen so das Vertrauen der Auftraggeber, die Auftragslage, die Jobs und schließlich das gesamte Unternehmen.

Am 12. Februar 2015 laden ChannelPartner und Acmeo zur "Channel meets Cloud" Konferenz.
Am 12. Februar 2015 laden ChannelPartner und Acmeo zur "Channel meets Cloud" Konferenz.

In den vergangenen fünf Jahren habe ich in über 200 IT-Sicherheits- und Datenschutzprüfungen weltweit mit meinem 20-köpfigen Team immer wieder ähnliche Feststellungen gemacht:

  • Schlechte, veraltete oder nicht vorhandene Dokumentation von Infrastruktur, Kennwörtern, Backups, Datenbanken

  • Unternehmen wissen nicht, wo ihre schützenswerten Informationen gespeichert sind und wie einfach man diese Informationen vor Datendiebstahl schützen könnte

  • Klassische Spionagetechniken in Kombination mit IT-Angriffen gefährden täglich "gut funktionierende Mittelstandsunternehmen", die oft ahnungslos in die einfachsten Fallen laufen.

  • Auftraggeber erwarten von Zulieferern nicht nur Vertraulichkeit, sondern eine nachweisbare Informationssicherheit, die vor Ort überprüft werden kann (BDSG §9, 11)

  • Subunternehmer werden nicht verpflichtet oder geprüft. Die Leistungskette ist lückenhaft.

  • Schwachstellen sind oft "bekannt", die Unternehmen fühlen sich überfordert systematisch nach Schadenswahrscheinlichkeit und -höhe priorisiert die Aufgaben anzupacken und umzusetzen. Genau damit beginnen die Teilnehmer einer zertifizierten Schnellprüfung.

Der Feind des Mittelstandes sind nicht die Geheimdienste sondern seine so genannten Marktbegleiter. Dem Wettbewerb aber sind aufgrund unzureichender Schutz- und Abwehrmaßnahmen oft Tür und Tor geöffnet und das sperrangelweit. Unverschlüsselte E-Mail etwa ermöglicht den Diebstahl von geistigem Eigentum (von Planungsskizzen bis hin zu schriftlichen Angeboten, die als Dateianhang an Kunden und Partner herausgehen) ohne großen Aufwand; DdOS-Attacken legen die Server lahm ... - der Beispiele sind viele.

Die Folgen aber sind immer die gleichen: Ausfälle erfolgskritischer Systeme, wirtschaftliche Einbußen, Schädigung der Reputation und im schlimmsten Fall der komplette Verlust der Wettbewerbsfähigkeit.

Datenschutz ist keine Sachbearbeitungsaufgabe

Gute Datenschutzbeauftragte verfügen neben einer guten Sachkunde über profundes Wissen in IT, Organisation, betriebswirtschaftlichen Zusammenhängen und Weitblick bei Risikoabschätzungen. Datenschutz ist essentieller Bestandteil eines GRC-Managements.

Zu allererst gehört das Wissen in die Köpfe der Entscheider! Selbst Führungskräfte von börsennotierten Unternehmen sind erstaunlich leichtfertig, wenn es um die Sicherheit ihrer persönlichen Daten und die ihres Unternehmens geht, vor allem auf Dienstreisen, in der abendlichen Abgeschiedenheit ihrer Hotelzimmer. Der Abruf von EMails und Unternehmensdaten über ungesicherte WLANs ist keine Seltenheit.

Was ist das wichtigste Kapital des Unternehmens?

Mittelständische Unternehmen müssen ihren Blick auf die Bereiche legen, in denen sie Geld verdienen. Forschung, Entwicklung und Produktion sind mindestens so gut zu schützen wie etwa die ERP-, CRM- und E-Mail-Systeme. Und so kann selbst die als unsicher geltende Dropbox datenschutzrechtlich sauber eingebunden werden: Es kommt darauf an, welche Informationen dort Dritten bereitgestellt werden sollen.

Mitarbeiter einbinden

Die Sensibilisierung der Mitarbeiter und umsichtiges Verhalten ist Pflicht. Denn sonst nützen Investitionen in technische Sicherheit gar nichts. Daher legen wir größten Wert auf regelmäßige Trainings der Belegschaften innerhalb und außerhalb des Unternehmens. Die Erfahrung draußen im Feld zeigt: Wenn der Datenschutzbeauftragte nicht jedem Mitarbeiter bekannt ist (und erst dann funktioniert der Datenschutz!), ist der Datenverlust nur noch eine Frage der Zeit.

Datenschutz als Wettbewerbsvorteil

Gelebter Datenschutz ist immer die Kombination aus technischen Maßnahmen und sensiblem Verhalten der Menschen, vom Berufseinsteiger bis hin zum Vorstand. In Kombination mit durchdachten Datenflüssen und Einbindung der Fachabteilungen werden die Datenschutzinteressen Dritter gewahrt - und der Datenschutz wird vom "ungeliebten Kind" zum echten Wettbewerbsvorteil.

Knackpunkt für Systemhäuser

IT Systemhäuser haben oft einen "guten Draht" zu Ihren Kunden. Der IT-Experte kann aber nicht gleichzeitig IT-Betrieb und Datenschutz umsetzen, die Funktionsüberschneidung ist unzulässig. Systemhäuser können aber dem internen oder externen Datenschutzbeauftragten (Partner) in Form von IT-Sicherheitsprüfungen zuarbeiten, um so die Bindung zu den vertrauten Kunden auszubauen und nicht durch Dritte zu gefährden. Dazu zählen auch die gemeinsamen Bewertungen von Cloud-Sicherheit und -Zulässigkeit. (rb)