IT-Sicherheit & Datenschutz – Allianz oder Dissonanz?

Fachbeitrag

Viele Unternehmen nehmen Datenschutz als eine bürokratische Last war. Doch Datenschutz kann auch der Effizenzsteigerung und dem Zugewinn an IT-Sicherheit dienen. Anlässlich einer Capterra-Studie zur aktuellen Sicherheitslage von kleinen und mittlere Unternehmen (KMU’s) möchten wir daher die Nutzung von Synergien zwischen Datenschutz und IT-Sicherheit aufzeigen.

Bedrohter Mittelstand

Deutschland ist besonders stolz auf seinen Mittelstand. Der Weltmarktführer in der Fertigung von Hochpräzisions-Lasern in der Medizintechnik, für mehrfach gehärtete entspiegelte Konvexlinsen oder 3D-Visualisierung in Fertigungsanlagen sitzt vielleicht (oder besser: wahrscheinlich) in einem verschlafenen Städtchen irgendwo in Deutschland. Man weiß oft nicht mal, dass es so etwas gibt, aber ist trotzdem stolz, dass es in Deutschland gefertigt wird. KMU’s erwirtschaften mehr als jeden zweiten Euro und stellen deutlich über die Hälfte aller Arbeitsplätze in Deutschland. Deutschland hat daher ein gesteigertes Interesse an einem florierendem Mittelstand.

Doch was die Wenigsten wissen: Gerade der Mittelstand ist besonders schlecht gegen Cyberkriminalität geschützt. Anders als großen Konzernen fehlt es oft an den notwendigen Ressourcen, Fachwissen oder schlicht dem Problembewusstsein. Unternehmen mit 100 bis 500 Mitarbeitern werden daher laut Bitkom am häufigsten Opfer von Cyberattacken.

Das Honeynet-Projekt des TÜV Süd veranschaulicht die Bedrohungslage. Für den Versuch wurde virtuell ein Wasserwerk einer deutschen Kleinstadt simuliert. Auf dieses gab es innerhalb von 8 Monaten 60.000 Zugriffsversuche aus 150 Ländern. Der deutschen Industrie entstanden laut eines Berichts des Bitkom durch Angriffe in den letzten zwei Jahren einen Schaden von 43 Milliarden Euro. Weltweit soll durch Cyberkriminalität bereits mehr Geld umgesetzt werden als mit Drogenhandel.

Ungenutzte Synergien

Da sich in unserer Beratungstätigkeit häufig Datenschutz, IT-Sicherheit und z.T auch IT-Forensik überschneiden, möchten wir im Folgenden auf ungenutzte Synergien dieser Bereiche eingehen.

Der Gesetzgeber hat erkannt, dass Datenschutz ohne Datensicherheit ein zahnloser Tiger ist. Die Datenschutz-Grundverordnung enthält daher in

Anforderungen an die IT-Sicherheit. Schließlich kann ein Cyberangriff durch Offenlegung von Kundendaten zu einem viel größeren Schaden führen als die Nichtbeachtung anderer datenschutzrechtlicher Pflichten wie fehlende Mitarbeiter-Schulungen, nicht erfüllte Informationspflichten (die wenigsten lesen Datenschutzerklärungen) oder nicht fristgerechte beantwortete Betroffenenanfragen.

Auf den ersten Blick wirkt es also so, als sei nur der Datenschutz auf die IT-Sicherheit angewiesen. Doch bei näherer Betrachtung ergibt sich, dass auch umgekehrt bei der Umsetzung der Vorgaben des Datenschutzes bereits viel für die IT-Sicherheit und damit für den Schutz die Assets eines Unternehmens getan werden kann.

Mitarbeiterschulungen

Nach Art. 39 Abs. 1 lit. a DSGVO sind die Mitarbeiter zur Sensibilisierung zu schulen. Im Rahmen einer Datenschutz-Schulung sollte dann auch auf die IT-Sicherheitsaspekte des Datenschutzes eingegangen werden.

Schulungen sind dabei von nicht zu unterschätzender Bedeutung, denn Meldungen von Mitarbeitern sind laut Bericht der Bitkom der häufigste Weg, auf dem Unternehmen auf Cyberangriffe aufmerksam wurden. Der beste Schutz sind daher gut geschulte Mitarbeiter, denn auch das beste Sicherheitskonzept ist wirkungslos, wenn ein argloser Mitarbeiter den Anhang einer Phishing-Mail öffnet.

Konsequente Löschung – Speicherbegrenzung

Personenbezogene Daten sollen nach dem Grundsatz der Speicherbegrenzung nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Das bedeutet: Entweder werden die Daten nach Erreichung des Zwecks gelöscht oder anonymisiert. Das ist aber in den wenigsten Unternehmen der Fall. Eine Studie des IT-Sicherheitsunternehmens Varonis ergab, dass

  • 71% aller untersuchten Unternehmen über 5000 nicht mehr benötigte sensible Dateien fanden.
  • 53% aller Dateien in einem durchschnittlichen Unternehmen nicht mehr benötigt wurden.
  • 72% aller Ordner eines durchschnittlichen Unternehmens nicht mehr benötigte Dateien beinhalten.

Die Speicherung überflüssiger Daten und Ordner verstößt aber nicht nur gegen die gesetzlichen Vorgaben der DSGVO, sondern ist ggf. auch teuer, verlangsamt die IT-Systeme und stellt zudem ein Sicherheitsrisiko dar. Denn inaktive Accounts sind lohnende Ziele für Angriffe, da Hacker so unbemerkt Zugriff auf Unternehmenssysteme erhalten können.

Schutz der Vertraulichkeit – Need-to-Know Prinzip

Nach Art. 32 Abs. 1 lit. b DSGVO muss eine datenverarbeitende Stelle (Verantwortlicher oder Auftragsverarbeiter) die Vertraulichkeit der Verarbeitung sicherstellen. Zudem gilt nach Art. 25 Abs. 1 DSGVO der Grundsatz des Privacy by Design. Daraus wird u.a. das Need-to-Know Prinzip abgeleitet. Nur solche Mitarbeiter sollten Zugriff auf personenbezogene Daten haben, die diesen zur Erfüllung ihrer Aufgaben brauchen. Laut der o.g. Studie von Varonis Systems sind jedoch

  • durchschnittlich 22 % der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich.
  • in jedem zweiten Unternehmen alle Mitarbeiter auf mehr als 1000 sensible Dateien zugreifen können.
  • bei fast ebenso vielen (51 Prozent) mehr als 100.000 Ordner ohne Zugriffsbeschränkung.

Die konsequente Umsetzung des Need-to-know Prinzips hilft also auch, die Gefahr von Datendiebstahl durch Innentäter zu verringern. Das ist von nicht zu unterschätzender Bedeutung, denn ca. Zwei-Drittel aller Datendiebstähle werden von eigenen Mitarbeitern begangen.

Als Gegenmaßnahme sollten Daten klassifiziert werden. Dafür können auch die Wertungen der DSGVO herangezogen werden, so bedürfen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten oder Daten über biometrische Daten) höherer Schutzmaßnahmen als ggf. sogar öffentlich verfügbare Informationen wie Adresse und Telefonnummer. Darauf aufbauend können dann Zugriffskategorien gebildet werden wie „öffentlich“, „intern“, „vertraulich“ oder Ordner sind nur einzelnen Mitarbeitern zugänglich.

Schutz der Integrität

Die DSGVO verlangt auch den Schutz der Integrität personenbezogener Daten, d.h. den Schutz vor unbefugter Veränderung, Offenlegung oder Verlust. Hierfür sind Maßnahmen für die Sicherung von Computern, wie sichere Passwörter, automatische Bildschirmschoner oder aufgeräumte Schreibtische entscheidend. Die Studie hat hinsichtlich der Passwort und Rechtevergabe bei vielen Unternehmen erhebliche Missstände offengelegt. So wurde herausgefunden, dass

  • bei 38% aller Passwörter kein Ablaufdatum genutzt wurde (wobei regelmäßige Passwortänderungen umstritten sind).
  • 50% aller Nutzer-Accounts inaktiv sind oder nicht mehr benötigt werden.
  • 40% aller Unternehmen über 1000 inaktive Accounts mit Zugriffsberechtigungen auf die Unternehmenssysteme hatten.

Der Schutz der Integrität personenbezogener Daten durch Vorgaben zur Passwortsicherheit und weiterer Richtlinien kann daher auch helfen Missstände bei der IT-Sicherheit zu beheben.

Datenschutz als erster Impuls

Die gute Nachricht ist also, dass die oft als lästig empfundene Pflicht zu Datenschutz nicht nur eine bürokratische Bürde ist (hier noch Bericht), sondern auch hilft, die Kronjuwelen eines Unternehmens zu schützen. Mit Sinn und Verstand umgesetzter Datenschutz kann also zwei Fliegen mit einer Klappe schlagen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Wo wird auf die in der Überschrift angedeutete Dissonanz eingegangen? Alles nur Clickbait? Die Dissonanz besteht imho beispielsweise bei der Protokollierung und automatisierten Auswertung von Nutzeraktivitäten wie sie IDS/IDM, Proxy, Firewall, Endpoint-Protektion, SIEM, Auditing etc. Insbesondere das Brechen der Verschlüsselung durch Man-In-Middle, um Malware im Netzwerkverkehr zu entdecken, ist zu hinterfragen. All das sind technische Maßnahmen nach dem Stand der Technik.

    Die Anmerkungen zur Speicherung überflüssiger Daten und Ordner ist sicher richtig, doch den der Satz „Denn inaktive Accounts sind lohnende Ziele für Angriffe, da Hacker so unbemerkt Zugriff auf Unternehmenssysteme erhalten können.“ passt hier als gewollte logische Begründung nicht, wenn auch inhaltlich vollkommen richtig.

    • Der Artikel soll mögliche Synergien des Datenschutzes und der IT-Sicherheit aufzeigen.
      Aber ja, es stimmt es besteht ebenfalls ein Zielkonflikt zwischen IT-Sicherheit und Datenschutz, der sich nicht vollends auflösen lässt. Einerseits muss man Maßnahmen ergreifen, um den Schutz der Integrität und Vertraulichkeit der personenbezogenen Daten zu gewährleisten, andererseits gehen diese Maßnahmen häufig mit der Überwachung des Datenverkehrs und der Protokollierung der Nutzeraktivitäten einher.
      Daher muss aus datenschutzrechtlicher Sicht streng auf die Einhaltung der Grundsätze der DSGVO geachtet werden. Insbesondere sind die Grundsätze der Datenminimierung, Speicherbegrenzung und Wahrung der Vertraulichkeit geachtet werden.

      Auch wenn bei IT-Sicherheitssoftware die Einsichtnahme in personenbezogene Daten möglich ist, ist der Schaden doch ungleich höher, wenn IT-Systeme nicht ausreichend geschützt sind und bspw. Kunden- oder Beschäftigtendaten veröffentlicht werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.