IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Unternehmen erheben heutzutage eine Vielzahl an Informationen über Konsumenten – von Adressen bis hin zu Gewohnheiten und Vorlieben. Um die persönlichen Daten der Bürger zu schützen, will die Europäische Union (EU) in einem Gesetz neue Datenschutzbestimmungen verankern. 

Diese neuen Regularien wirken sich gravierend auf die IT-Infrastruktur von Unternehmen aus und haben hohe Investitionen zur Folge. Dessen sind sich mehr als 90 Prozent der betroffenen Firmen jedoch nicht bewusst, wie eine Studie von Vanson Bourne im Auftrag von Compuware bestätigt. Um die anfänglichen Kosten für die Anpassung ihrer IT-Infrastruktur moderat zu halten und dennoch die EU-Datenschutzrichtlinien einzuhalten, benötigen Unternehmen schon jetzt einen realistisch ausführbaren Plan.

Firmen sammeln und verarbeiten große Datenmengen über Verbraucher, von ihrem Wohnort und Urlaubsort über das Ausgabenverhalten bis hin zur bevorzugten Kaffeezubereitung. Diese Datensammlungen unterstützen Unternehmen dabei, ihre Angebote an die Vorlieben der Konsumenten anzupassen. Allerdings bergen diese Praktiken auch Risiken, wenn auf diesem Weg beispielsweise versehentlich vertrauliche Informationen enthüllt werden. Die Verbraucher selbst unterstützen diese Datensammlungs-Maschinerie sehr freizügig. Sie teilen persönliche Informationen in Sozialen Netzwerken und sind sich den damit verbundenen Risiken nicht bewusst. Schnell können so private elektronische Informationen – auch ohne unsere Zustimmung – von vielen Personen und Firmen gelesen werden.

Dass mittlerweile viele Firmen über die Landesgrenzen hinweg tätig sind, macht die Angelegenheit nicht einfacher. Viele Datenschutzgesetze sind bislang noch landesspezifisch und daher in der digitalen und vernetzten Welt nur schwierig durchzusetzen. Wer soll zur Verantwortung gezogen werden, wenn es zu einer Datenpanne kommt?

EU nimmt Problem ernst

Die EU bringt daher mit dem Data Privacy Act eine neue Direktive auf den Weg, die die Gesetzgebung in den EU Mitgliedstaaten vereinfachen soll. Treten diese neuen Regularien in Kraft, sind Firmen gesetzlich dazu verpflichtet, ein modernisiertes und durchgängiges Herangehen an die Datensicherheit umzusetzen. Der geplante Zeitrahmen für die Umsetzung ist eng, denn Unternehmen haben nur zwei Jahre Zeit, um mit dem neuen Gesetz konform zu werden. Da auf Landesebene allerdings bereits große Teile des Frameworks vorhanden sind, kann der Zeitraum sogar noch kürzer sein. Es wird erwartet, dass die Gesetzgebung spätestens im Jahr 2015 endgültig verabschiedet wird. Was heißt das für die europäischen Unternehmen? Sind sie in der Lage die neuen Regularien in diesem Zeitraum umzusetzen? 

Unternehmen verlassen sich auf NDAs

Eine Studie von Vanson Borne im Auftrag von Compuware in Frankreich, Deutschland, Benelux, Italien, Australien und den USA im Jahr 2013 zeigt, dass noch eine Menge Arbeit auf die Firmen zukommt. Wie die Umfrage belegt

  • verschlüsseln oder schützen nur 20 Prozent der Firmen ihre Kundendaten, bevor sie diese zu Anwendungstestzwecken weitergeben;
  • sind sich 43 Prozent der Befragten, die Kundendaten weitergeben, der gegenwärtigen Gesetzgebung oder ihrer Folgen nicht bewusst;
  • verlassen sich 87 Prozent der Unternehmen, die Kundendaten unverschlüsselt an dritte weitergeben auf “Non-Disclosure-Agreements (NDAs)“, um ihre Kundendaten zu schützen.

Zudem haben Unternehmen keinen Überblick über ihre Ausgaben für die Umsetzung von Datenschutzmaßnahmen. So wissen 82 Prozent der Firmen in Großbritannien nicht, wie viel ihre IT derzeit für den Datenschutz ausgibt. Zudem sind sich 87 Prozent nicht über die Auswirkungen der neuen Datenschutzrichtlinien auf ihr IT-Budget bewusst. Das belegt eine Untersuchung durch London Economics im Auftrag des Information Commissioner’s Office (ICO). 

Kosten von bis zu 360 Millionen Euro jährlich

Die britische Regierung schätzt, dass die neue Richtlinie ihre Wirtschaft jährlich 100 bis 360 Millionen Euro kosten wird – und das sind nur die Basiskosten, um das Gesetz umzusetzen. Unternehmen sollten mit deutlich höheren Kosten rechnen, um ihre IT-Systeme den Regularien anzupassen. Und Firmen, die die neue Gesetzgebung nicht entsprechend umsetzen, müssen mit empfindlichen Konsequenzen rechnen. So drohen im Falle einer Datenschutzverletzung Strafen von bis zu 100 Millionen Euro oder 5 Prozent des jährlichen Umsatzes. Zum Vergleich: derzeit belaufen sich die Strafen, die im Zusammenhang mit einer Datenschutzverletzung stehen, in Großbritannien auf bis zu 500.000 Pfund.

Durchdachte Strategie ist zwingend erforderlich

Um sich auf die neuen Regularien vorzubereiten, müssen Unternehmen eine umfassende Strategie entwickeln – eine Art "Blaupause für die Gesetzes-Beachtung“. Mit einem realistischen Plan können sie die Anfangskosten minimieren und die Aufwendungen für Anpassungen sowie Praktiken dokumentieren und aufrecht erhalten. Bei der Erstellung eines solchen Plans sind folgende Schritte zu beachten:

  • Verstehen der Auswirkungen der Gesetzeslage auf die Organisation. Unternehmen sollten die Auswirkungen der aktuellen und zukünftigen Gesetzgebung auf die Firmen zunächst verstehen, inklusive den Auswirkungen auf das IT-Budget. Denn viele Firmen verwenden noch immer „Echtdaten“ der Verbraucher in Entwicklung und bei Tests, ohne sich Gedanken über den Schutz von sensiblen Daten zu machen. 
  • Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Um herauszufinden, wo die größten Gefahren einer Datenschutzverletzung verborgen sind, sollte die Art der Datennutzung plattformübergreifend untersucht werden. Diese Prüfung sollte aufzeigen, wer Zugriff auf die Daten hat und wo diese gespeichert sind. Die Analyse, wo persönliche und sensible Daten vorkommen und wie sie mit anderen Informationen interagieren, kann eine Menge Zeit in Anspruch nehmen. 
  • Bestimmen wie Daten desensibilisiert werden können, ohne sie unbrauchbar zu machen. Sobald die persönlichen und sensiblen Daten lokalisiert und potenzielle Sicherheitsrisiken identifiziert wurden, ist es einfacher zu entscheiden, wie diese Daten zu desensibilisieren sind. Eine Daten-Anonymisierung kann in bestehende Workflows und Prozesse integriert oder neue Workflows entwickelt werden. Zudem helfen die Ergebnisse dabei, im Bedarfsfall Anforderungskataloge an Lösungen von Dritten zu erstellen.
  • Entwickeln der Lösung unter Verwendung der geeigneten Werkzeuge. Sobald die Anforderungen an eine Datenschutzlösung feststehen, sollte eine Datensicherheitsstrategie entwickelt werden. Diese kann aus neuen Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-) Datenmanagement-Technologie oder einer beliebigen Kombination der genannten Aktionen und zusätzlichen Mitteln, die zum gewählten Ansatz passen.
  • Auslieferung der Lösung in das bestehende operationale Umfeld der IT Abteilung. Nach der Pilotphase sind die entwickelten Prozesse in das Alltagsgeschäft zu übertragen. Abläufe sollten so weit wie möglich automatisiert und in manuelles Eingreifen reduziert werden. Teams, die die Prozesse im Alltag betreuen, müssen in die zugrundeliegenden Regularien sowie Prozesse eingewiesen und in der Handhabung der verwendeten Werkzeuge trainiert werden. Automatisierbare Aufgaben (wie z.B. Batchabläufe) sollten in die täglichen Abläufe eingebunden bzw. jederzeit ausführbar bereitgestellt werden.

Unternehmen sollten mit der Planung jetzt anfangen

IT-Abteilungen sollten sich schon jetzt – während die Europäische Kommission die Direktive durch das Parlament bringt – mit der Anpassung ihrer Systeme an die neuen Regularien beschäftigen. Denn die vorausgesagten zwei Jahre für die Umsetzung sind ein sehr kurzer Zeitraum wenn man bedenkt, was alles zu beachten ist: Datenmengen, Komplexität von Beziehungen zwischen Objekten (oftmals nur rudimentär dokumentiert), plattformübergreifende Datenintegrität, Möglichkeiten der Datenreduktion und zu wählende Ansätze für die Anonymisierung, um die Risiken einer Datenschutzverletzung zu minimieren.

Unternehmen, die Unterstützung benötigen, sollten beratende Unternehmen engagieren, die über Erfahrungen und Expertise im Datenmanagement sowie -schutz verfügen und während des gesamten Prozesses unterstützen können. Durch die Expertise von Dritten kann eine deutliche Last von der IT-Abteilung genommen werden und das Risiko eines Scheiterns sinkt erheblich. 

Elisabeth Maxwell, Compuware EMEA Technical Director

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet