HMD 281, 48. Jahrgang, Oktober 2011

IT-Sicherheit & Datenschutz

Herausgeber: Hans-Peter Fröschle

Als E-Book bestellen
Gedruckte Ausgabe bestellen
Feedback an den Herausgeber
Zum Inhaltsverzeichnis

Einwurf

von Jürgen Dierlamm

Sicher ist sicher? Wie hoch ist der Preis für Interaktion in der Informationstechnologie?

Sicherheit in der IT wird groß geschrieben. Zumindest ist das so in der Außendarstellung der Unternehmen. Man kann das jedoch bei manchen Unternehmen vergleichen mit einem Placebo oder einer Kamera bzw. Alarmanlage an der Außenwand, die gar nicht angeschlossen ist, aber trotzdem abschrecken soll. Es gibt vielleicht Zertifikate aus dem ISO-Umfeld (Normfamilie ISO/IEC 27001) oder ein Testat über IT-Sicherheit oder sichere Internetsysteme, etwa ausgestellt durch den TÜV. Aber ob diese halten, was sie versprechen, zeigt sich immer erst in einem Schadensfall oder bei der konkreten Abwehr eines Sicherheitsvorfalls. Es hängt meist an den internen Prozessen, wie mit IT-Sicherheit umgegangen wird, oder am Ideenreichtum und der Technik der potenziellen Eindringlinge bzw. Saboteure. Die besten Sicherheitsprozesse und die beste Technik z.B. im Bereich Intruder Detection (externe Sicherheit) oder Identity und Access Management (interne Sicherheit) nützt nichts, wenn diese Prozesse nicht in den Abläufen und den Köpfen der Mitarbeiter verankert sind. Oder aber solange die Mitarbeiter bewusst Gefährdungspotenzial hervorrufen. Der Verkauf von Kundendaten im Callcenter-Bereich ist ein Beispiel aus neuerer Zeit. Datenpannen im Bereich eCommerce (Visa-Kundendaten), Cloud Computing (Amazon Web Services) oder Online Communities (Sony) haben uns außerdem aufhorchen lassen.

Was steckt vor allem in letztgenanntem Fall hinter der Verwundbarkeit der Unternehmens-IT? Es ist die Möglichkeit der Interaktion zwischen Kunden und Firmen oder zwischen Firmen untereinander. In Zeiten des sogenannten Web 2.0, des Business Process Management und des Supply Chain Management haben die Firmen ihre ansonsten geschlossenen und abgeschotteten Systeme nach außen geöffnet. Das haben alle getan und es zog sich wie eine Lawine im Zeitalter des Internets über die Welt. Dieser Umstand lässt sich nicht mehr zurückdrehen und macht die Unternehmen nun verwundbar. Dazu kommen die immer schon dagewesenen Gefährdungspotenziale von Sabotage durch Mitarbeiter oder der Geheimnisverrat. Aber was ist hier eigentlich der wirklich zu schützende Wert? Und wie hoch ist der Preis, den diese Öffnung der IT nach außen bzw. diese Interaktionsmöglichkeit fordert?

Die Daten des Unternehmens: Das ist das zu schützende Gut!

Und darauf zielen die meisten Compliance-Regelungen ab. Die Technik oder materielle Vermögenswerte (IT-Assets wie Server oder Netze) sind hier nicht an erster Stelle zu nennen. Stamm- und Bewegungsdaten machen den Kern jeder Firma aus. Sind sie einmal gelöscht, verändert oder nicht mehr authentisch, ist das Überleben der Firma nicht gesichert. Server und Netzwerke kann man "on scratch" mit mehr oder weniger Aufwand wiederherstellen, die Daten nicht. Deren Echtheit, Unverfälschtheit und ein Compliance-konformer Umgang müssen an erster Stelle stehen. Im Bereich der Regelungen ist zuallererst das Bundesdatenschutzgesetz (BDSG) zu nennen. Seit den Änderungen im Jahre 2009 z.B. für den Bereich der Auftragsdatenverarbeitung wird dort in § 9 BDSG eine dedizierte Dokumentation der Datensicherheit gefordert. Im Bereich Outsourcing ist diese auch zum Vertragsbestandteil zu machen. Es muss nun im Bereich der Prozesse und der Technik nachgerüstet und dokumentiert werden, um den Kreis der "Betroffenen" (in der Regel Kunden und Mitarbeiter) und deren Daten zu schützen. Der Preis dafür steigt sicherlich gegenüber dem früheren Niveau von Sicherheitsmanagement und Datenschutz in abgeschotteten Systemen. Aber die Firmen müssen ihn zahlen, sonst droht statt Interaktion Isolation. Die Platzierung von kompetenten Datenschutz- und Sicherheitsbeauftragten ist da nur das mindeste Mittel. Datenschutz ist ohne (Daten-)Sicherheit nicht zu erreichen.

Weitere Normen mit Sicherheitsanforderungen finden sich unter anderem in der Abgabenordnung und den darauf erlassenen Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Weiterhin sind das Signaturgesetz und die Gesetze zur Telekommunikation und zu Telemedien zu nennen. Es geht dort entweder um die Authentizität, d.h. die Echtheit der Daten oder aber um den Nachweis der Datenverarbeitung nur durch die Berechtigten. Hieran hat der Gesetzgeber ein Interesse, nicht am Erhalt der Wettbewerbsfähigkeit der Firmen oder deren Reputation. Regulierte Branchen wie die Banken oder der Pharmabereich haben darüber hinaus noch weiter gehende IT-Compliance-Regeln zu beachten.

Um im Spannungsfeld Handlungsfähigkeit, Wirtschaftlichkeit, Sicherheit und Ordnungsmäßigkeit einen angemessenen Schutz von Daten bzw. Informationen und - nachgeordnet - von IT-Ressourcen zu erreichen, ist ein Überblick über diese Ressourcen und die spezifischen Werte der dort verarbeiteten Daten für das Unternehmen nötig. Erst mit diesen Angaben lässt sich ein funktionierendes IT-Sicherheitsmanagement aufbauen, das die vorhandenen Sicherheitsressourcen optimal nutzt, fehlende bei Bedarf ergänzt und insbesondere dem Datenschutz Rechnung trägt.

Ziel eines Sicherheitsmanagements und des Datenschutzes muss es sein, den Daten- und Ressourcenverantwortlichen (ja, die müssten in den Unternehmen spezifisch festgelegt werden, sonst ist niemand "accountable") eine Orientierungshilfe zu geben, um ermitteln zu können, welche Werte oder welche potenziellen Schäden in welcher Höhe für das Unternehmen in der in ihrer Verantwortung liegenden Ressource bzw. in den betreffenden Daten stecken. Der Schutzbedarf sowie die damit verbundenen Sicherheitsmaßnahmen machen sich daran fest. Die Einstufung von Schadenshöhen bzw. die Zuordnung zu Schadensklassen ist von den Daten- bzw. Ressourcenverantwortlichen im Rahmen eines Sicherheitsanalyseprozesses vorzunehmen.

Sicher ist sicher. Die Beiträge dieser Ausgabe liefern Ihnen wertvolle Tipps, diese Sicherheit zu erreichen. Aber Sie müssen ein Versprechen Ihren Kunden, Mitarbeitern und Aufsichtsbehörden gegenüber abgeben: Die Sicherheit wird bei uns nicht nur groß geschrieben, sondern ist auch nachhaltig und überprüfbar. Das macht den Unterschied aus, und das erreichen Sie nur durch Prozesse, Technik und Rollen bzw. Verantwortlichkeiten. Viel Erfolg, Sie werden ihn brauchen und ohne ihn letztlich nicht überleben können.

Jürgen Dierlamm Rechtsanwalt / Principal Management Consultant microfin Unternehmensberatung GmbH Kaiser-Friedrich-Promenade 59a 61348 Bad Homburg j.dierlamm@microfin.de www.microfin.de