28.01.2020 (kfr)
4.2 von 5, (9 Bewertungen)

Datenschutztag 2020: Vertrauen wird ein Wettbewerbsfaktor

  • Inhalt dieses Artikels
  • Datenschutztag 2020: Vertrauen wird ein Wettbewerbsfaktor
  • Hubit: Datenschutz: wichtig und nützlich
  • Wherescape: Automatisierung reduziert das Risiko für Datenschutzverletzungen
  • Ultimaco: Vertrauen im digitalen Zeitalter sicherstellen
  • SEC: Das Internet der Dinge birgt viele Risiken für den Datenschutz

In Zeiten des zunehmenden Missbrauchs von Daten, wird der Datenschutz nicht nur wichtiger, sondern entwickelt sich auch zum Wettbewerbsfaktor. In einer digitalen Geschäftswelt ist Vertrauen ein hohes Gut. Aktuell sehen Unternehmen wie auch Betroffene die DSGVO noch als lästiges Übel, Experten prophezeien hier aber einen Wandel. Daher sollten Firmen jetzt aktiv werden und vor allem ihre Mitarbeiter sensibilisieren – nicht nur am Datenschutztag.

Datenschutz: Vertrauen wird ein Wettbewerbsfaktor (Bild: speicherguide.de)Seit 2007 wird am 28. Januar der europäische Datenschutztag begannen. Gewählt wurde der Tag, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet wurde. Nach rund eindreiviertel Jahren DSGVO kommt dem Thema heuer eine sehr aktuelle Bedeutung zu. Fast täglich werden Datenschutzverletzungen aufgedeckt, zuletzt beispielsweise das Datenleck bei der Autovermietung Buchbinder: drei Millionen Kundendaten standen offen im Netz.

Die Meinungen zum Datenschutz sind nach wie vor gespalten: Die Betroffenen empfinden es oft genug als lästige Pflicht, Cookie-(Consent-)Banner nerven und zu unterschreibende Dokumente werden ungelesen durchgewunken. Zwar möchte keiner, dass »Datenkraken« wie Facebook und Google Geschäfte mit seinen persönlichen Daten macht, letztendlich wird es aber billigend in Kauf genommen.

Firmen sehen oft genug nur den, vermeintlich, hohen Aufwand, ignorieren aber, dass Datenschutz und Datensicherheit durchaus ein wichtiges Element der Unternehmensstrategie ist. In Einzel- und kleineren Unternehmen beschränkt sich die Datensicherheit auf ein mehr oder weniger unausgegorenes Backup. Das Thema Cyberkriminalität ist für viele ein Medienthema, die Erkenntnis, dass man schnell selbst zu den Betroffenen gehören könnte, reift nur langsam. Zwar hat Backup/Recovery nur am Rande mit der DSGVO zu tun, trotzdem gilt es, sorg- und achtsam mit den Daten umzugehen. In den technischen und organisatorischen Maßnahmen (TOMs) bestätigt man beispielsweise eine sinnvolle Datensicherungsstrategie am Start zu haben.

Bewusstsein für den Datenschutz schaffen

KMUs und größere Firmen sind hier natürlich besser aufgestellt, gewinnen der DSGVO aber trotzdem nicht viel ab. Hier muss ein Umdenken stattfinden, denn Vertrauen wird bei der Wahl der Geschäftspartner künftig noch einmal eine neue Bedeutung erhalten – vor allem in der digitalen Geschäftswelt. Daher gilt es, ein Bewusstsein für die eigenen Daten zu schaffen. Die Geschäftsleitung muss die Mitarbeiter mitnehmen und entsprechend schulen.

Um beim Beispiel Buchbinder zu bleiben, hier ist offensichtlich einiges schiefgelaufen. Das Datenleck war kein Datenschutzverstoß per se, vielmehr handelte es sich um einen ungenügend konfigurierten angemieteten Backup-Server. Laut den Kollegen der c't hatte eine Sicherheitsfirma einen offenen Port entdeckt und dies zwei Mal an das Unternehmen gemeldet. Dort hat aber niemand reagiert. Erst als die Presse (c't, Die Zeit) und der zuständige Landesdatenschutzbeauftragen in Bayern eingeschaltet wurden, kam Bewegung in die Sache. Das darf nicht sein.

Die Belegschaft spielt eine wichtige Rolle im Kontext Datenschutz, dies muss ihr aber vermittelt werden. Dazu gehört, die Mitarbeiter und Abteilungsleitung auf mögliche Gefahren zu sensibilisieren und sie zu einem kompetenten Umgang mit ihren eigenen Daten zu befähigen.

Bettina Röber, Datenschutz-YogisBettina Röber, Datenschutz-Yogis»Für viele Unternehmer ist es durchaus überraschend, zu sehen, wo überall personenbezogene Daten verarbeitet werden«, sagt Bettina Röber von den Datenschutz-Yogis. »Durch die Auseinandersetzung mit den bestehenden Strukturen ergeben sich meist immer Möglichkeiten, interne Prozesse zu ordnen, zu verbessern und effizienter zu organisieren.« Oft genug gebe es keine dedizierten Vorgehensweisen und Verantwortlichkeiten. Daher sei eine Bestandsaufnahme im Sinne der DSGVO keine verschwendete Arbeitszeit, sondern auch eine Chance.

Die Zukunft des Datenschutzes – das Privatsphäre-Büro?

Auch wenn die DSGVO als komplex und kompliziert betrachtet wird, aktuell sind Unternehmen noch relativ flexibel in der Auslegung. Mit jedem Urteil wird der Spielraum kleiner. »Die Datenschutzvorgaben werden in Zukunft umfassender und komplexer«, meint auch Reuben Sinclair, Direktor für Cybersecurity im asiatischen Pazifikraum bei Micro Focus. »Durch den neuen Fokus auf den Datenschutz werden sich in den kommenden Jahren Unternehmensstrukturen umgestalten. So ist es denkbar, dass sich eine unabhängige Abteilung herausbildet, die sich vollständig auf Datenschutz und -sicherheit spezialisiert. Man kann sich das vorstellen wie eine Art Privatsphäre-Büro. Ob sich eine solche Abteilung etabliert, hängt auch von der zukünftigen Rechtsprechung ab. Für Unternehmen gilt es weiterhin, sich intensiv mit Datenschutz auseinanderzusetzen und stets im Sinne der DSGVO zu handeln.«

Hubit: Datenschutz: wichtig und nützlich

Haye Hösel, HubitHaye Hösel, HubitHaye Hösel, Geschäftsführer und Gründer bei HUBIT Datenschutz: »Viele Unternehmer sehen in der Einhaltung der gesetzlichen Vorschriften zum Datenschutz ein lästiges Instrument, das ihnen die Betriebsführung erschwert. Doch ein funktionierender Datenschutz bietet eine ganze Reihe von Vorteilen. Der Europäische Datenschutztag, der seit 2007 jährlich am 28. Januar begangen wird und die Achtung der Rechte und Grundfreiheiten bei der automatisierten Datenverarbeitung in den Vordergrund rückt, bietet eine gute Gelegenheit, sich einmal näher damit zu beschäftigen.

In Zeiten des zunehmenden Missbrauchs von Daten – mittlerweile berichten die Medien regelmäßig über Hackerangriffe, Datenspionage und -klau – nimmt der Datenschutz einen immer wichtigeren Stellenwert ein. Für Unternehmen steht er nicht nur im Zusammenhang mit Spionage- und Hackerabwehr sowie beständiger Wettbewerbsfähigkeit im Fokus, sondern sichert und bestärkt auch das langfristige Vertrauen von Kunden, Partnern und Mitarbeitern.

Zudem wurde durch die Einführung der DSGVO in vielen Unternehmen eine Überarbeitung des Datenmanagements nötig, um den gesetzeskonformen Umgang mit sensiblen Informationen zu gewährleisten. Bei der Anpassung der Datenverarbeitung und -speicherung ließen und lassen sich immer noch zum Teil schon veraltete Prozesse, Verhaltensweisen, Abstimmungswege und Arbeitsschritte modernisieren, effektiver organisieren und vereinfachen.

Gleichzeitig kann der Schutz von Betriebs- und Geschäftsgeheimnissen besser gewährleistet werden. Und auch im privaten Bereich regelt der Datenschutz die Verarbeitung und Speicherung von personenbezogenen Daten. Mit der EU-DSGVO wurde das Datenschutzrecht innerhalb der Europäischen Union vereinheitlicht, sodass für alle Bürger ein hoher und einheitlicher Standard festgelegt wurde. Zudem haben EU-Bürger über das One-Stop-Shop-Prinzip die Möglichkeit, sich bei Beschwerden an die Datenschutzbehörde ihres Mitgliedstaates zu wenden, egal in welchem Land der Datenmissbrauch passiert ist.

Ebenfalls regelt die Verordnung das Recht auf Vergessenwerden sowie Löschanliegen, wodurch persönliche Daten von Verbrauchern auf Wunsch nicht länger gespeichert werden. Insgesamt führte die Einführung der DSGVO zu einem besseren Grundverständnis von personenbezogenen Daten und Datenschutz sowie zu einem sensibleren Umgang mit Informationen. Immer mehr Menschen achten beispielsweise verstärkt auf sichere Passwörter oder einen sensiblen Umgang mit Diensthandys oder -laptops.«

Wherescape: Automatisierung reduziert das Risiko für Datenschutzverletzungen

Rob Mellor, WherescapeRob Mellor, WherescapeRob Mellor, Vice President und General Manager EMEA bei Wherescape: »Datenschutz für genutzte Daten zu gewährleisten, stellt viele Organisationen nicht erst seit dem Inkrafttreten der DSGVO vor ernsthafte Probleme. Die DSGVO hat zumindest erreicht, dass Organisationen das Problem nicht einfach weiter auf die lange Bank schieben können – denn es drohen bei Nichteinhaltung der Richtlinien immense Strafen. Doch auch wenn man sich in Unternehmen bereits um die Umsetzung der notwendigen Maßnahmen kümmert, ist das kein Grund sich auf seinen Lorbeeren auszuruhen. Der Datenschutztag mahnt jährlich, dass man beim Schutz und der korrekten Verwaltung von persönlichen Daten proaktiv bleiben muss, um das Risiko für Datenschutzverletzungen kontinuierlich zu reduzieren.

Der Schwierigkeitsgrad, das Risiko für die Datenschutzverletzungen so gering wie möglich zu halten, steigt generell mit der Menge und der Größe der zu verwaltenden Datensätze. Um das Problem steigender Datenmengen in Bezug auf den Datenschutz auszugleichen, können Unternehmen auf die Automatisierung der Dateninfrastruktur setzen. Die manuelle Verarbeitung aller Informationen ist nicht nur aufwändig und fehleranfällig – mit steigender Datenmenge ist sie einfach nicht mehr von Menschen zu bewältigen. Automatisierung hilft dabei, alle Daten zu kennzeichnen, zu identifizieren, zu prüfen und sie schnell wieder abrufbar zu machen. So nutzt die Automatisierung der Dateninfrastruktur nicht nur dabei den Workload der IT zu senken, sie hilft dabei alle Daten zu kennzeichnen, zu identifizieren, zu prüfen und sie schnell wieder abrufbar zu machen erbringen zu können, dass das Unternehmen den Datenschutz gegenüber Behörden und Kunden einhält.

Wer sich anlässlich des Datenschutztags Gedanken darüber macht, wie sich das Risiko für Datenschutzverletzungen minimieren lässt, sollte definitiv die Automatisierung des Data-Warehouse auf die Liste möglicher Lösungen setzen.«

Ultimaco: Vertrauen im digitalen Zeitalter sicherstellen

Stefan Auerbach, UtimacoStefan Auerbach, UtimacoStefan Auerbach, CEO bei Utimaco: »Daten sind das neue Öl, wie der Mathematiker Clive Humby bereits 2006 feststellte, und spielen in der zunehmend digitalisierten Welt eine immer wichtigere Rolle. Neue Services und Technologien sind mittlerweile fest in den Alltag integriert, um das Leben von Unternehmen und Verbrauchern einfacher und personalisierter zu machen. Die Vorteile der vernetzten Angebote lassen sich jedoch nur vollumfänglich bereitstellen, indem Anbieter eine Vielzahl von Daten bereitstellen. Um die breite Öffentlichkeit für den Schutz ihrer persönlichen Daten und ihrer Privatsphäre in der Online-Welt zu sensibilisieren, hat der Europarat 2006 den Europäischen Datenschutztag ins Leben gerufen. Jedes Jahr organisieren daher staatliche Institutionen und Akteure aus der Wirtschaft Informationskampagnen zum Thema Datenschutz.

Der diesjährige Datenschutztag läutet das neue Jahrzehnt ein und bietet eine gute Gelegenheit, einen Aus- und vor allem Rückblick zu wagen. Die 2010er Jahre waren geprägt von einer Aufbruchsstimmung durch die Entwicklung zahlreicher personalisierter Angebote, im Zuge derer die Themen Privatsphäre und Datenschutz eine immer wichtigere Rolle spielten. Diese Entwicklung gipfelte in der Einführung der DSGVO, die inzwischen als weltweites Vorbild für verantwortungsvollen Umgang mit Daten gilt und außerhalb von Europa viele prominente Fürsprecher bekommen hat.

Auch im kommenden Jahrzehnt wird der Schutz wichtiger persönlicher Informationen gegen Missbrauch und Cyber-Kriminalität ein bestimmendes Thema bleiben. Die prägende Währung des kommenden Jahrzehnts wird allerdings Vertrauen sein, wie jüngst der Bundesdatenschutzbeauftragte Ulrich Kelber beim Chaos Communication Congress warb. Ein verantwortungsbewusster Umgang mit Daten ist der Grundstein zukünftiger digitaler Geschäftsmodelle. Neben der Absicherung der gegenwärtigen Services muss der Fokus aber darauf liegen, zukünftige Entwicklungen mit einzubeziehen und die Risiken von morgen frühzeitig zu adressieren.

Eine effektive Verschlüsselungsstrategie ist heute wichtiger denn je für jedes Unternehmen und jede Organisation. Nur der Einsatz von hochsicheren Verschlüsselungstechnologien bietet für Daten, Identitäten und Transaktionen aktiven Schutz vor der allgegenwärtigen Gefahr von Cyberangriffen. Der Grundstein für den Datenschutz von morgen wird dabei bereits heute gelegt. Vernetzte Geräte sind für viele Einsatzjahre konzipiert und müssen daher so gebaut werden, dass sie auch zukünftigen Bedrohungen widerstehen können, Auf lange Sicht bieten die aktuellen Verfahren nicht mehr das benötigte Schutzniveau, da Quantencomputer diese in kürzester Zeit entschlüsseln können. Eine krypto-agile Infrastruktur, die in der Lage ist, künftige Verschlüsselungsverfahren umzusetzen, ist daher unerlässlich, um langfristig Datensicherheit gewährleisten zu können und das Vertrauen von Kunden zu sichern.«

SEC: Das Internet der Dinge birgt viele Risiken für den Datenschutz

Rainer M. Richter, SECRainer M. Richter, SECRainer M. Richter, Director Channels & Alliances bei SEC Technologies: »Der Datenschutz war von Anfang an das Sorgenkind des IoT (Internet-of-Things) und daran hat sich bis heute leider nichts geändert. Dieser Umstand ist letztlich verschiedenen Faktoren geschuldet: Zunächst müssen wir uns bewusst machen, dass es sich um eine relativ neue Technologie handelt, deren Infrastruktur sich unentwegt weiterentwickelt. Bis heute gibt es keine einheitlichen technischen Standards hinsichtlich der Datenverarbeitung. Hinzukommt, dass der IoT-Markt stark segmentiert und hart umkämpft ist. Ein hoher Wettbewerbsdruck hat aber zur Folge, dass für Entwickler und Hersteller meistens eine möglichst kostengünstige Entwicklung und eine schnelle Produkteinführungszeit wichtiger sind als Sicherheitschecks. Umfangreiche Überprüfungen auf potenzielle Sicherheitslücken, die unsere Daten und Netze gefährden könnten, fallen deshalb gerne unter den Tisch. Und natürlich spielt auch die hohe Internationalität im IoT-Business eine Rolle. Der Großteil der Geräte kommt aus Ländern wie China oder den USA und die Server, auf welchen unsere personenbezogenen Daten gespeichert und verarbeitet werden, stehen dann natürlich auch dort.

Als Schwachstellen sehe ich bei IoT sowohl auf Seiten der Nutzer als auch der Hersteller: Einerseits sammeln und speichern viele IoT-Geräte unnötigerweise einfach viel zu viele Daten. Die Nutzer selbst sind sich dessen meist gar nicht bewusst und geben, indem sie die Nutzungsbedingungen akzeptieren, dennoch ihre Zustimmung. Dabei handelt es sich teilweise um äußerst sensible Informationen wie Bewegungsprofile oder Gesundheitsdaten. Für Hacker ist dies natürlich ein Glücksfall, bedenkt man, dass Patientendaten auf dem Schwarzmarkt heute höher gehandelt werden als Kreditkarteninformationen.

Andererseits wimmelt es in IoT-Firmware nur so von Sicherheitslücken, die Hackern Tür und Tor für Datendiebstahl eröffnen, und mit geringem Aufwand eigentlich vermeidbar wären. Und mit »wimmeln« meine ich, dass so gut wie jede IoT-Firmware betroffen ist. Die häufigsten Angriffspunkte sind dabei Standard-User-Credentials, fest programmierte Passwörter in der Firmware oder fehlerhafte Systemkonfigurationen. Manipulationen der IoT-Geräte werden so zum Kinderspiel, da braucht es nicht einmal einen versierten Hacker. Und so kann ein IoT Gerät das Einfallstor zum unkontrollierten Datenabfluss werden, wie es in über 60 Prozent der Incidents im letzten Jahr schon war.

Daten im IoT schützen: Nutzer, das heißt sowohl Privatanwender aber auch Unternehmen, sollten sich vor dem Einsatz von IoT-Geräten über dessen Funktionen und Datenflüsse informieren und sich vergewissern, dass die Hoheit über die erhobenen und gespeicherten Daten bei ihnen selbst liegt und sie zudem in der Lage sind, einzelne Funktionen der Datenverarbeitung zu verstehen und gegebenenfalls abzuschalten. Ist dies nicht möglich, sollte man lieber die Finger davonlassen.

Herstellern, aber auch Unternehmensanwendern empfehle ich, mit Hilfe spezieller Analyse-Plattformen selbst aktiv nach Sicherheitslücken in der Firmware von IoT-Geräten zu suchen – und zwar bevor diese auf den Markt kommen bzw. im Unternehmen eingesetzt werden. Egal ob Netzwerkkameras oder Router, jedes Gerät ist ein potenzieller Angriffspunkt, den es abzusichern gilt. Sollten tatsächlich Schwachstellen identifiziert werden, können die Hersteller unproblematisch nachrüsten bzw. die Unternehmen ihre Schutzmaßnahmen, wie Firewall-Konfigurationen, rechtzeitig daran anpassen. Wer das Vertrauen seiner Kunden und Mitarbeiter nicht aufs Spiel setzen will, sollte alles in seiner Macht stehende tun, um ihre Daten umfassend und ihrem Wert entsprechend zu verwalten.«