Datensicherheit

Viele Systeme aber keine Zertifizierung

Von Christian Raum · 2019

Die ersten Schockwellen der DSGVO sind über die Industrie hinweggezogen. Nachdem die Unternehmen ihre Daten geordnet haben, schauen sie weiter nach vorn. Sie suchen nach Softwarelösungen, um die rechtlichen Bestimmungen in der Organisation zu managen, umzusetzen und deren Erfüllung bei Audits nachzuweisen.

Zwei Mitarbeiter laufen an Servern vorbei
Dienstleister überwachen IT-Systeme. Foto: iStock/gorodenkoff

Mit der DSGVO hat der Gesetzgeber die Spielregeln gedreht. Bislang waren die Behörden in der Pflicht Datenschutzverstöße nachzuweisen. Jetzt gilt die Rechenschaftspflicht – die Unternehmen müssen ihre Konformität mit den Vorgaben nachweisen. Diese faktische Beweislastumkehr geht mit Dokumentationsanforderungen einher, die in den Verwaltungen und auch in den IT-Abteilungen zu einem hohen Aufwand führen. 

Ein großer Teil dieses Aufwandes resultiert ohne Frage daraus, dass die Verantwortlichen in den vergangenen Jahren bei dem korrekten Umgang mit den Daten beispielsweise von Kunden, Mitarbeitern und Partnern eher nachlässig vorgegangen sind.

So war die erste große Auswirkung in den Organisationen erst einmal die Daten zu sichten, das Durcheinander zu entknoten und Strukturen aufzusetzen, mit denen in Zukunft die Vorgaben erfüllt werden.

Unterstützung bei der DSGVO-Konformität

In der Logik der Digitalisierung der Wirtschaft ist begründet, dass sehr schnell Hersteller und Berater auf den Markt gekommen sind, die mit Software und beispielhaften Prozessen das Managen der DSGVO-Regeln erleichtern wollen. Sie versprechen Datenmanagementsysteme, die den Aufwand so gering wie möglich halten. 

Die Anwender haben diese Angebote dankbar angenommen. Erhoffen sie sich doch die notwendigen Prozesse relativ einfach und mit professioneller Hilfe korrekt zu implementieren und anschließend auch nachweisen zu können. Denn auch die für Audits notwendigen Dokumente und Vorgehensbeschreibungen werden in den Managementsystemen aufbewahrt.

Darüber hinaus geben die Hersteller der DSGVO-Systeme den Datenschutzbeauftragten eine detaillierte Vorgehensweise an die Hand: Welche Schritte und Aktionen werden notwendig sein, wenn die Behörden vor der Tür stehen und die DSGVO-Konformität prüfen? Die Beweise für das richtige Vorgehen liegen in Con­tainern und Archiven und warten auf eine Kontrolle, die vielleicht niemals kommt.

Das Zertifizierungsdilemma

Es gab viele Diskussionen und auch viel Kritik, weil die DSGVO-Bestimmungen eine behördliche Zertifizierung von Datenschutzmanagement-Systemen ausdrücklich ausgeschlossen haben. 

Allerdings hat parallel dazu die „International Organization for Standardization“ Vorgaben formuliert, wie die Strukturen eines Datenschutzmanagement-Systems für die DSGVO aussehen sollten. Die sind nun im Standard ISO 27701 festgelegt, der wiederum auf der ISO 27001 – also der Norm für Informationssicherheit – beruht.

Ein ISO-Standard bedeutet aber keine behördliche Zertifizierung. Da es die aber in absehbarer Zeit nicht geben wird, werden Player wie die großen Consultinghäuser diese ISO-Vorgaben bei ihren Kunden implementieren und bestätigen. Brancheninsider kritisieren, dass vor allem große internationale Unternehmen die Kosten für diese Implementierung und Prüfung aufbringen werden, während kleine und mittlere Unternehmen außen vor bleiben.

Deshalb erweitern die Hersteller und deren Kunden ihre Datenmanagementsysteme nach dem Vorbild der von der ISO vorgegebenen Strukturen und hoffen auf eine behördliche Anerkennung oder sogar Zertifizierung zu einem späteren Zeitpunkt.

Wussten Sie schon, dass ...

… auch mit Zertifizierung Sicherheit niemals etwas Statisches ist? Ausruhen gilt nicht, denn die Angreifer entdecken ständig neue Angriffsmöglichkeiten. Für immer mehr Bereiche gibt es mittlerweile Angebote von Dienstleistern, welche die zentrale Überwachung der Sicherheit übernehmen – sei es für die DSGVO-Bestimmungen, für das vernetzte Fahren in der Automobilindustrie oder bei der Überwachung von Produktionsumgebungen. Sie bündeln sämtliche Security-Informationen aus der gesamten IT-Landschaft und dem Informationssicherheitsmanagement-System des Unternehmens und paaren sie mit ihren Beobachtungen der allgemeinen Bedrohungslage. Mit spezialisierten Teams koordinieren sie Gegenmaßnahmen im Angriffsfall auf Basis eingeübter, klarer Prozesse. So versprechen sie ihren Kunden die Compliance-Konformität durch zentrale Reportings jederzeit nachweisen zu können.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)