Neue Synergien

DSGVO und IT-Sicherheit zusammen denken

Nach Ansicht von Jan Bindig, Geschäftsführer der Leipziger Datenrettungs-Firma Datarecovery, eröffnet die DSGVO die Chance, das Zusammenspiel von Geschäftsprozessen und IT erstmalig präzise und klar zu dokumentieren. Wieso man dem Thema Sicherheit in diesem Zuge nicht nur durch vereinzelte Aktionen, sondern auch durch ein ganzheitliches Konzept begegnen sollte, erklärt der IT-Experte im Interview.

Jan Bindig

Umfassende Sorgfalt statt Feinkosmetik –  dazu rät Jan Bindig bei IT-Anpassungen für die DSGVO.

ITM: Die Datenschutz-Grundverordnung (DSGVO) ist für viele Firmen eher ein leidiger Nebenschauplatz. Sie sagen, dass die Verordnung aber auch Chancen birgt. Wie sehen diese konkret aus?
Jan Bindig: Viele Unternehmen, vor allem aber kleinere und mittelständische, haben sich lange davor gescheut, den Themen Datenschutz und IT-Sicherheit hinreichend Aufmerksamkeit zu schenken. Dies zeigt sich daran, dass 2016 fast 40 Prozent aller Mittelständler Geschäftsdaten aufgrund unzureichender IT-Sicherheitsmaßnahmen verloren haben. Neben Hackerangriffen und Cyberkriminalität stellen Mitarbeiter die größte Gefahr für Datenverlust dar – häufig aufgrund mangelnder Schulung zum Thema IT-Sicherheit, unzureichender Verschlüsselung beim E-Mail-Versand oder unregelmäßiger Durchführung von Backups. Das erleben wir als Datenrettungsanbieter ganz oft.

Durch die strengen Regeln der DSGVO könnte der Schaden bei Datenverlust durch die Androhung von Bußgeldern noch höher ausfallen. Insofern sehe ich die DSGVO als Chance, das Thema IT-Sicherheit komplett anzugehen und nicht nur singuläre Maßnahmen für den Schutz personenbezogener Daten zu ergreifen. Sie sollte die Motivation erhöhen, sich unter anderem geeigneten technischen und organisatorischen Maßnahmen zur IT-Sicherheit zu widmen

ITM: Die DSGVO überfordert bereits für sich genommen sehr viele Verantwortliche. Wieso sollten sich diese das Thema durch die Ausweitung auf andere Aspekte der IT-Sicherheit noch schwerer machen?
Bindig: Die Frage, die man sich vor dem Hintergrund der DSGVO stellen muss ist doch: möchte ich lediglich Feinkosmetik betreiben und Maßnahmen für den Schutz personenbezogener Daten ergreifen, oder bietet die DSGVO nicht die Chance, die Themenkomplexe IT-Sicherheit und Datenschutz holistisch und strukturiert anzugehen und als integrativen Bestandteil der Unternehmensphilosophie zu verinnerlichen. Ich plädiere für letzteres. Die Angriffe auf IT-Infrastruktur werden in Zukunft nicht nur zunehmen, sondern sie werden auch komplexer. Ein Fall von Datenverlust kostet hierzulande im Durchschnitt bereits 558.000 Euro und durch die DSGVO könnte der Schaden noch höher ausfallen – auch mit Blick auf die Reputation von Unternehmen.
 
ITM: Wo fängt man am besten an, wenn man sich dem Thema gesamtheitlich nähern möchte?
Bindig: Zunächst einmal ist immer eine Bestandsaufnahme mit anschließendem Soll-Ist-Vergleich ratsam. Wo stehe ich mit meinem Unternehmen in Sachen IT-Sicherheit und Datenschutz, was sind meine Stärken und Schwächen und wo möchte ich hin. Erst danach kann die Umsetzung der erarbeiteten Maßnahmen stattfinden. Allgemein gesehen lassen sich IT- und Datensicherheit nicht punktuell ordnen, sondern beinhalten Prozesse, in die jeder Mitarbeiter mit einbezogen werden muss.

Trotz fortschreitender Digitalisierung steht der Mensch immer noch im Zentrum eines jeden Unternehmens. Und Menschen haben bekanntlich nicht nur Stärken, sondern auch Schwächen. Bezogen auf die IT-Sicherheit und den Datenschutz heißt die Aufgabe, die Schwächen von Mitarbeitern – sprich potentielle Angriffsfelder – zu schließen beziehungsweise zu minimieren. Idealerweise sollte ein Datenschutzspezialist hinzugezogen werden. Das können spezialisierte Rechtsanwälte sein, aber auch aus der IT-Branche stammende Datenschutzexperten.

ITM: Welche konkreten Prozesse lassen sich besonders gut mit Maßnahmen hinsichtlich der DSGVO verzahnen?
Bindig: Ich halte es auf jeden Fall für ratsam, dass Unternehmen vor dem Hintergrund der neuen Verordnung ihre Vorfallreaktionspläne prüfen und gegebenenfalls den neuen Anforderungen anpassen. Die Krux besteht laut DSGVO darin, dass Unternehmen Datenverluste – sofern personenbezogene Daten involviert sind - innerhalb von 72 Stunden den Regulierungsbehörden zu melden haben. Dies ist ein relativ kurzes Zeitfenster wenn man bedenkt, dass Datenschutzverstöße und -verlust oft unbemerkt bleiben.

Weiterhin ist eine sichere Backup-Strategie ein zentrales Element des IT-Sicherheitskonzeptes. Hier sichert man Unternehmenswerte im Fall von Datenverlust und defekten Festplatten. Aber auch eine Evaluierung bestehender Geschäftspartner, die mit der Verarbeitung von personenbezogenen Auftragsdaten beauftragt werden, ist definitiv ein zusätzlicher Nutzen für die langfristige Orientierung und Qualitätssicherung des Unternehmens.

ITM: Inwiefern trägt die Verordnung zu einem veränderten Sicherheitsbewusstsein bei mittelständischen Unternehmen bei?
Bindig: Im Moment ist das noch nicht absehbar. In unserem Datenrettungsalltag erreichen uns täglich Festplatten, NAS und Server-Einheiten, die trotz bereits geltender DSGVO nicht ausreichend gesichert wurden. Hier ist sicherlich ein langfristiges Umdenken notwendig. Mit einer neuen Unternehmergeneration steigt allerdings sowohl das Bewusstsein für die Relevanz von IT-Sicherheit als auch das Verständnis für den Umgang mit digitalen Daten. Aber am Wichtigsten ist immer die gezielte Schulung und Sensibilisierung der einzelnen Mitarbeiter. Diese sollte Priorität haben und dafür sollten Unternehmen auch Ressourcen in die Hand nehmen. Zwar schulen laut dem „DsiN Sicherheitsmonitor 2016“ bereits 73 Prozent ihre Mitarbeiter zum Thema IT-Sicherheit, hier sehe ich aber noch deutlich Luft nach oben.

Bildquelle: Datarecovery

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok