Datenschutz: Nur notwendiges Übel oder interessantes Differenzierungspotenzial? 

Die vielen Begriffe unter dem Dach Datenschutz finden selbst Experten immer noch verwirrend. Informationssicherheit, IT-Sicherheit, Datensicherheit, Compliance etc. Und alle haben eine eigene Bedeutung. Was genau ist mit den einzelnen Begriffen gemeint? 

Der am häufigsten verwendete Begriff ist wahrscheinlich der Datenschutz. Der wird auch schon am längsten im Zuge der DSGVO, die ja vor einigen Jahren in Kraft getreten ist, verwendet. Da geht es primär um den Schutz von personenbezogenen Daten. Beim Datenschutz sollen Personen vor der ungewollten Erfassung oder Verarbeitung von personenbezogenen Daten geschützt werden. Gerade bei sehr sensiblen Daten, wie beispielsweise medizinischen Daten, spielt das eine sehr wichtige Rolle. Informationssicherheit hat eher die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit im Fokus. Die Informationssicherheit mit dem technischen Teilbereich der IT-Sicherheit kümmert sich dann darum, dass die Datenverarbeitung sicher ist. Also keine Daten verloren, manipuliert oder gestohlen werden. 

Können Datenschutz und Informationssicherheit sich auch widersprechen? 

Ja, es kann auf jeden Fall zu einem Interessenkonflikt kommen. Informationssicherheit möchte beispielsweise eine möglichst umfangreiche Protokollierung des Nutzerverhaltens und auch eine lange Speicherung dieser Logdaten. Damit können Angriffe erkannt und im Nachgang von Notfällen forensisch ausgewertet werden. Der Datenschutz möchte diese Daten ganz klar sowohl in der Erfassung als auch in der Speicherdauer so gering wie möglich halten. Eine Personalunion von Datenschützer und Sicherheitsbeauftragten ist daher nicht ratsam. 

Was genau sind die Ziele, die die Informationssicherheit verfolgt? 

Informationssicherheit hat drei Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit. Allerdings umfasst Informationssicherheit nicht nur die technische Komponente, sondern wirklich alle Komponenten, die benötigt werden, um Infos und Werte eines Unternehmens zu schützen. Gängiges Beispiel wären im Bereich Personal etwa die On- und Offboarding-Prozesse eines Unternehmens. On- und Offboarding haben mit der IT-Sicherheit nichts zu tun. Es ist nichts Technisches, sondern ein organisatorischer Prozess, der aber sehr wichtig für die Informationssicherheit und den Schutz von Werten des Unternehmens ist. Auch die Schulung von Mitarbeitern ist erst mal nichts Technisches, also keine technische Einstellung, aber sehr wichtig für die Informationssicherheit, um zum Beispiel Mitarbeiter vor Phishing-Betrügern zu schützen. 

Interessant! Datenschutz ist der Schutz vor Daten. Er beschützt Personen vor deren Nutzung? 

Genau. Datennutzung ist ja an sich nichts Schlechtes. Aber ohne die Einwilligung der betroffenen Person oder gegen ihren Willen kann deren Nutzung auch negative Auswirkungen haben. Und deswegen Schutz vor Daten. Also ich möchte als Person, so sieht es der Gesetzgeber, nicht, dass jeder beliebig Zugriff auf Daten über mich hat. Das beste Beispiel ist die Nutzung oder Erhebung deiner Gesundheitsdaten. 

Was sind die aktuellen Herausforderungen der Informationssicherheit in Unternehmen? 

Die aktuellen Herausforderungen sind vielfältig. Es sind zum Teil geopolitische Herausforderungen. Dinge, über die man sich vor Jahren keine Gedanken machen musste. Da sind die Angriffe auf die Informationstechnik der Unternehmen, die das Ziel haben, diese zusammenbrechen oder ausfallen zu lassen. Ein weiterer wichtiger Punkt ist die Professionalisierung von Angreifern. Schauen wir uns doch nur die Entwicklungen im Bereich von Ransomware an. Das Vorgehen beim Diebstahl von wichtigen Informationen eines Unternehmens ist deutlich professioneller geworden. Gerade auch auf der Social-Ebene in Form von Phishing-Mails, -SMS oder -Anrufen. 

Wie kann man sich denn gegen solche Angriffe schützen? 

Es gilt, den Schutz so hoch zu legen, dass man gerade bei diesen automatisierten Angriffen kein leichtes Opfer wird. Wird die Gegenseite professioneller, muss man zwangsläufig selber auch professioneller werden. Dazu gehören klassische Themen wie Backups und Updates, die wichtig bleiben. Neu hinzugekommen ist die Entwicklung zur Cloud. Mittlerweile hat jedes Unternehmen irgendeine Art von Cloud im Einsatz. Das hat viele Vorteile. Der Nachteil ist, es wird komplexer! Um diese hybriden Landschaften miteinander zu verbinden, braucht man technische Schnittstellen. Technisch sind diese Systeme per se offener gestaltet. Das macht sie angreifbarer. Das Prinzip „Innen ist alles sicher“ gibt es nicht mehr. Das war früher ein sehr valider Ansatz, funktioniert heute aber nicht mehr. Aus dieser Entwicklung ist auch der Sicherheitsansatz des Zero-Trust-Prinzips entstanden. Ganz einfach gesagt, gibt es quasi keinen Bereich und kein System mehr, dem ich voll und ganz vertraue. Das heißt, selbst wenn ich vorgelagerte Schutzmechanismen wie Firewalls und mehrstufige VPNs habe und selbst wenn die Applikation abgesichert ist, es wird dennoch jeder Zugriff überwacht! Und alle angewandten Sicherheitsmechanismen werden ständig hinterfragt. 

Würdest du sagen, eine konsequente Cloud-Strategie ist sicherer? 

Die Vorteile der Cloud-Strategie sind definitiv die technische Wartung und Betreuung, die in den Händen des Anbieters liegen. Unternehmen sparen sich damit Know-how, Ressourcen, und man kann davon ausgehen, dass die Wartung der Systeme in der Cloud sicherer ist. Im eigenen Rechenzentrum könnte man vielleicht ein höheres Sicherheitsniveau erzielen, was aber mit deutlich höheren Aufwänden verbunden ist. Das rechnet sich eigentlich nicht mehr. 

Eine Zweiteilung, also der klassische Einstieg zum Risikomanagementsystem, ist aber bei sehr wichtigen schützenswerten Daten, wie zum Beispiel militärisch relevanten Daten, sinnvoll. Da ist es dann durchaus so, dass Unternehmen das besser bei sich im eigenen Rechenzentrum und mit dem entsprechenden Wissen absichern als in der Cloud. Auch wenn die Aufwände deutlich höher sind! 

Wie bewertet eigentlich der Gesetzgeber die aktuelle Sicherheitslage? 

Der BSE gibt jedes Jahr einen Lagebericht heraus, und der hat relativ wenig Änderungen. Allerdings wird die Situation jedes Jahr noch angespannter als zuvor bewertet. Ein Grund dafür ist die Digitalisierung. Bei Ausfall der Technik werden Schadwirkungen und Schutzmechanismen natürlich massiver. Hinzu kommt die bereits erwähnte Professionalisierung der Kriminalität, die mehr und mehr zunimmt. Der Gesetzgeber arbeitet an immer neuen gesetzlichen Anforderungen. Heute gibt es das Sicherheitsgesetz 2.0, an der Version 3.0 wird schon gearbeitet. Für Unternehmen bedeutet das, dass die Anforderungen in Bezug auf Nachweispflichten bei der Informationssicherheit erhöht werden. Dabei geht es vor allem darum, die auf dem Papier genannten Schutzmechanismen des Unternehmens auch konsequent umzusetzen. Es darf sich nicht nur gut anhören, es müssen auch die Ressourcen vorhanden sein, um die Maßnahmen durchsetzen zu können. 

Wie siehst du die Rolle der Informationssicherheit in den Unternehmen für die Zukunft? 

Ich denke, dass sie einen sehr wichtigen Baustein darstellen wird. Einige Unternehmen sind bereits sehr gut aufgestellt, andere bauen das Thema gerade erst auf. Aber Informationssicherheit wird nicht mehr wegzudenken sein. Es ist für die heutige Zeit unerlässlich, als vertrauensvoller Geschäftspartner aufzutreten. Sobald man mit anderen Unternehmen und Kunden zusammenarbeitet und damit Daten, Zugänge und Systeme teilt, bietet man ein Einfallstor für Schädlinge ins System. Neben Innovativität und Flexibilität wird die Informationssicherheit also geschäftskritisch sein. Klappt das nicht, gefährdet man Reputation und den Fortbestand seines Unternehmens. Zusätzlich führt die Professionalisierung auch dazu, dass Unternehmen bei Angriffen robuster sind und schnell reagieren, notfalls aber auch schnell wieder aufstehen können. 

Über Resilienz wird viel gesprochen, was kann man sich darunter vorstellen? 

Resilienz beschreibt die Widerstandsfähigkeit. Wie gut ist das Unternehmen aufgestellt, wenn der Wind von vorne kommt? Im Prinzip besteht die Resilienz aus zwei Teilen: möglichst stark zu sein, damit man nicht sofort strauchelt, und zäh genug, damit man im Fall der Fälle schnell wieder auf die Beine kommt. Im militärischen Bereich wird enormer Wert auf den ersten Teil gelegt: die Abwehr von Gefahren, bevor diese eintreten. Das ist mit sehr hohen Aufwänden verbunden. Deswegen spielt in der Wirtschaft die Wiederherstellung des Betriebs nach einem Zwischenfall eine ebenso große Rolle: das sogenannte Incident Management und das Business Continuity Management. Zusammen mit der Informationssicherheit sind das die drei Kernkomponenten der Resilienz. 

Welche Entwicklungen müssen Unternehmen hier besonders beachten? 

Zentral ist die bessere Verzahnung der drei Bereiche. Oftmals sind das völlig unterschiedliche Bereiche und Personen in einem Unternehmen. Die Informationssicherheit, die in Dokumenten zum Teil auf einer hohen Flugebene festhält, wie es sein soll. Und auf der anderen Seite das Business Continuity Management (BCM), das direkt mit der Technik zusammenarbeitet. Wenn diese Bereiche zum ersten Mal bei einem Sicherheitsvorfall zusammenarbeiten müssen, kann dies unnötig chaotisch werden.

"Unterm Strich wird die Sicherheit durch unrealistische Anforderungen nicht gesteigert. Die Kunst ist es, mit den Lücken und Risiken im Unternehmen umzugehen und tragfähige Kompromisse zu finden." 

Jakob Munzert, Data Privacy & Security-Beauftragter, Natuvion GmbH

Neben der besseren Verzahnung der Bereiche, wie können sich Unternehmen noch besser in der Zukunft aufstellen? 

Notfalltests. Ein Notfalltest kann eine reine Überprüfung der Notfallpläne sein oder ein Planspiel mit dem Incident-Management-Team, bis hin zur Einbindung der operativen Ebenen, um die Kommunikationskanäle zu testen. Aber natürlich auch technische Tests auf simulierten IT-Systemen. Auch mit wenig Ressourcen lassen sich also zumindest einfache Tests durchführen. Das rate ich Unternehmen dringend. Der Lerneffekt ist sehr hoch, und nichts ist schlimmer, als wenn ein gut gedachter Plan wegen eines Details nicht funktioniert, weil er niemals getestet wurde. 

Was ist die wichtigste Grundlage zur Optimierung der Resilienz im Unternehmen? 

Zuallererst das Bewusstsein und die Aufmerksamkeit in der Geschäftsführung. Ohne das geht überhaupt nichts. Die IT allein kann keine Informationssicherheit betreiben. Ein Sicherheitsbeauftragter oder CISO (Chief Information Security Officer) ist notwendig, um die Themen zu treiben und ein gut funktionierendes Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Aber ohne relevante Aufmerksamkeit vom Top-Management bis zum Werkstudenten und ohne Budget, Infrastruktur und Ressourcen ist Informationssicherheit ein Himmelfahrtskommando. 

Warum? Was sind die größten Herausforderungen für einen CISO? 

Die Sicherheit mit der Kultur des Unternehmens zu verbinden. Es macht keinen Sinn, sich nur über einen optimalen Soll-Zustand Gedanken zu machen und diesen mit der Brechstange umsetzen zu wollen. Das erschöpft die Ressourcen rasend schnell und führt auch in der Belegschaft, die die Maßnahmen umsetzen soll, zu Unmut. Unterm Strich wird die Sicherheit durch unrealistische Anforderungen nicht gesteigert. Die Kunst ist es, mit den Lücken und Risiken im Unternehmen umzugehen und tragfähige Kompromisse zu finden. 

Ein CISO hat in der Regel nur einmal die Chance, ein ISMS aufzubauen oder weiterzuentwickeln. Klappt sein Ansatz nicht, darf sich dann oft ein anderer CISO versuchen. 

 
Vielen Dank für das Gespräch!