Anzeige

Gastbeitrag

Datensicherheit first

Von Ernst Lorenz, Oracle & Michael Köhler, CapGemini Deutschland GmbH · 2017

Ernst Lorenz, Business Development Manager (Oracle) & Michael Köhler, Leiter Cybersecurity (CapGemini Deutschland GmbH)

Die EU-Datenschutzgrundverordnung zum Schutz persönlicher Daten (EU-DSGVO) wird die technischen Voraussetzungen und Abläufe in der IT gravierend verändern. Alle Beteiligten müssen dann bei geschäftlichen Transaktionen die sichere Verwendung personenbezogener Datendurch den Einsatz sicherer Informations-technologie und organisatorischen Maßnahmen über alle EU-Mitgliedsstaaten gewährleisten. Andernfalls drohen empfindliche Geldbußen. Gemessen am Status Quo ist nach Ansicht von Ernst Lorenz, Business Development Manager, Oracle und Michael Köhler, Leiter Cybersecurity CapGemini Deutschland GmbH, die aktuell eingesetzte Informationstechnologie in sämtlichen Branchen nicht ausreichend darauf vorbereitet.

Mit der Veröffentlichung am 25. Mai 2016 ist die EU-Datenschutzgrundverordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ in Kraft getreten. Bis die Verordnung zum 25. Mai 2018 ihre Rechtskraft entwickelt, müssen alle IT-Verantwortlichen ihre Systeme entsprechend umgebaut oder angepasst haben. Mit Technologien wie Cloud-Computing, Internet of Things und Industrie 4.0 trägt damit der Gesetzgeber einer Entwicklung Rechnung, die eine mit zunehmender Digitalisierung einhergehende enge Vernetzung eine in gleichem Maße adäquate Absicherung fordert.

Volle Verantwortung über Daten tragen Unternehmen und öffentliche Stellen

Unter anderem stehen personenbezogene Daten im Fokus, die es in besonderem Maße vor Gefahren zu schützen gilt. Sicherheit heißt in diesem Zusammenhang nicht nur Bedrohungen wie Datendiebstahl von außen, sondern auch Manipulationen von Daten, deren Entwendung oder Zerstörung. Unternehmen und öffentliche Stellen, die personenbezogene Daten verarbeiten, sind daher in der Verantwortung für  personenbezogene Daten und deren Verwendung.

Da sich nach der neuen Rechtslage die Beweislast bei Vergehen umgekehrt hat, stehen sie in der Pflicht, ihre IT-Systeme sicher zu machen. Verstöße im Sinne der DSGVO können mit Bußgeldern von bis zu vier Prozent des weltweiten Umsatzes  geahndet werden.

Handlungsbedarf in relativ schmalem Zeitfenster

Auch wenn Unternehmen bereits Prozesse eingeführt haben, die den veränderten Anforderungen Rechnung tragen, besteht in der Regel akuter Handlungsbedarf, um eventuell umfangreiche Vorkehrungen bis zum Mai kommenden Jahres zu treffen. Die Risikofelder lassen sich auf die Kategorien „Daten“, „Benutzer und Identitäten“ und „Systemumgebungen“ beziehen. Die laut Verordnung zu erreichenden Ziele sind unter anderem die Umsetzung des Prinzips „Data Protection by Design and by Default“. Oder die Erwartung, dass im IT-System zu dokumentieren sei, welche Risiken im Verarbeitungsdesign liegen, Stichwort „Privacy Impact Assessment“.

Je nach Beschaffenheit und Organisation erfolgen beispielsweise die Planung, Bestandsfeststellung und Vorbereitungen für Anpassungen, Umbauten oder Neuinstallationen in eigener Regie. Externe Unterstützung in die strategischen und organisatorischen Maßnahmen einzubeziehen, um einen optimalen Sollzustand zu erreichen, wäre eine andere Alternative. Neben einer ausführlichen Analyse mit erprobten Tools und Assessments kann die praktische Umsetzung Teil der Lösung sein.

Kontakt

ORACLE Deutschland B.V. & Co. KG
Riesstraße 25
80992 München
E-Mail: info_de@oracle.com
Web: www.oracle.com/de/index.html