IT-Sicherheit und Datentransfer

Limits auf dem elektronischen Highway

Von Karl-Heinz Möller · 2018

Ein Stop-Schild vor blauem Himmel. Symbolbild IT-Sicherheit und Datentransfer

Täglich stehen in Unternehmen Fragen zur Sicherheit von Daten zur Debatte. Verwunderlich ist das nicht, lagern und strömen doch nahezu alle bedeutenden Informationen in einem System von digitalen Netzen und Milliarden von Rechnern. Die Daten und deren Verkehr zu schützen und zu sichern, ist existenziell. Diese komplexen Beziehungen und Zusammenhänge werden aktuell europaweit neu geregelt.

Datensicherheit ist ein essenzieller Bestandteil des lokalen und globalen Managements. Einerseits gelten Informationen heute als der größte Schatz von Unternehmen, siehe Google, Amazon oder Facebook, aber auch Zalando, Otto oder Deutsche Telekom. Andrerseits gehören die Daten den Personen, die sie selbst beschreiben und deren Urheber sie per se sind. Sie unterliegen daher einem besonderen Schutz. Datensicherheit im weiteren Sinne dient vor allem der Vermeidung und Bekämpfung von Cyberkriminalität.

Im Unternehmen gehören zu den organisatorischen Maßnahmen der Datensicherheit unter anderem das regelmäßige Erstellen von Backups, deren Aufbewahrung sowie Zugangskontrollen und Verlaufsprotokolle. Im Konzert mit Schutzsoftware gegen Viren und Schädlingsprogrammen richten sich diese Maßnahmen gegen den virtuellen Datenverlust.

Anzeigepflicht bei Datenschutzverletzungen

Personenbezogene Daten in Unternehmen müssen künftig im Rahmen der neuen Verordnung unter neuen Gesichtspunkten gesammelt und gespeichert werden. Darüber hinaus sind Unternehmen aufgefordert, strengere Auflagen und Bedingungen bezüglich deren Nutzung zu erfüllen. Bei Einzelpersonen bedarf es nach EU-DSGVO einer ausdrücklichen Zustimmung. Wobei ein Einverständnis so deutlich formuliert sein muss, dass der Verwendungszweck klar hervorgeht. Die Genehmigung kann jederzeit widerrufen werden.

Die fachliche Hoheit und Verantwortung für die Sicherheit trägt ein eigens dafür bestimmter Datenschutzbeauftragter (DSB). In Verwaltungen, Behörden und Unternehmen sind diese Mitarbeiter dafür ausgebildet, speziell personenbezogene Daten umfassend zu schützen und entsprechend zu betreuen. Die Datenschutzbeauftragten müssen bei einem Verstoß alle relevanten Aufsichtsbehörden ohne „unangemessene Verzögerung“ und soweit möglich unterrichten. Der Zeitraum in dem die Datenschutzverletzung angezeigt werden muss beträgt 72 Stunden nach erster Kenntnisnahme. Nur wenn die Verletzung keine Folgen für die Rechte und Freiheiten von betroffenen Einzelpersonen hat, kann von dieser Meldung abgesehen werden. Alle Einzelpersonen, die eine Verletzung der Privatsphäre erlitten haben, müssen ebenfalls umgehend informiert werden.

Fragmentierung der Daten muss gesetzeskonform gelöst werden

Der Datenschutz gilt seit langem als das größte Hemmnis, wenn es bei Unternehmen in Deutschland um die Entscheidung für Cloud-Computing geht. Trotzdem steigt die betriebliche Cloud-Nutzung in Deutschland weiter an, wie der Cloud Monitor 2017 von Bitkom Research zeigt. Die Mehrheit der IT-Entscheider hält die Cloud für entsprechend sicher: Nach den Ergebnissen der Bitkom-Umfrage halten 57 Prozent ihre Unternehmensdaten in der Public Cloud für „sehr sicher“ oder „eher sicher“. Nur vier Prozent halten ihre Daten für „sehr unsicher“ oder „eher unsicher“. 37 Prozent können keine klare Aussage machen.

IT-Sicherheit und Datentransfer: Verschlüsselung auf allen Plattformen

Die ab dem 25. Mai anzuwendende Datenschutz-Grundverordnung könnte die Unsicherheit bei den IT-Managern noch verstärken: Der Veritas 2017 GDPR Report ergab, dass sich fast die Hälfte (48 Prozent) der befragten deutschen Unternehmen noch in der Mitte des vergangenen Jahres nicht gerüstet fühlt für die EU-DSGVO. Die Fragmentierung von Daten und der fehlende Einblick in die Daten seien die größten Herausforderungen. IT-Fachleute gehen dennoch nicht davon aus, dass die Unsicherheit das Cloud-Wachstum spürbar bremsen. Bereits bestehende Datenschutzbedenken hätten dem Cloud-Boom bisher keinen Abbruch getan.

In einer lückenlosen Verschlüsselung steckt auch hier die Lösung. Viele Programme arbeiten nur auf einer bestimmten Plattform, zum Beispiel auf einem Windows-PC, auf einem Android-Smartphone oder in einer bestimmten Cloud. Sind Dateien auf dem Desktop-PC verschlüsselt, muss das auf mobilen Endgeräten ebenso der Fall sein. Sogenannte Always-on-Dateiverschlüsselungen übernehmen Daten von allen mobilen Geräten, Laptops, Desktop-PCs, lokalen Netzwerken und Cloud-basierten File-Sharing-Anwendungen. Spätestens das Inkrafttreten des Gesetzes im Mai dürfte für genügend Überzeugungskraft sorgen, umfassende Sicherheitsmaßnahmen zu installieren.

Rechte der Betroffenen

Die drei wichtigsten Rechte sind Selbstbestimmung, Auskunftsanspruch und Löschung der Daten.

• Jede Person muss der Speicherung und Verarbeitung seiner Daten zu einem bestimmten Zweck zustimmen. Mit Inkrafttreten der DSGVO 2018 genügt nicht mehr stillschweigendes Einverständnis. Der Betroffene muss aktive Zustimmung geben.

• Den Betroffenen steht ein Auskunftsrecht zu.

• Die Berichtigung, Löschung und Sperrung der Daten ist jederzeit möglich.

Falsche, veraltete, widerrechtlich gespeicherte personenbezogene Daten müssen von den Datensammlern rechtzeitig gesperrt, berichtigt oder gelöscht werden.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 1106
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1498644329
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)