„Ab einer Anzahl von zehn Mitarbeitern würde ich jedoch empfehlen, mir darüber Gedanken zu machen, wie ich eine sichere Informationstechnik gewährleisten kann.“
Stephan Hansen-Oest
Ab welcher Firmengröße empfehlen Sie ein eigenes IT-Sicherheitskonzept?
Der Begriff des IT-Sicherheitskonzepts ist nicht fest definiert. Abhängig von der Größe des Unternehmens kann das also einen sehr unterschiedlichen Umfang haben. Ab einer Anzahl von zehn Mitarbeitern würde ich jedoch empfehlen, mir darüber Gedanken zu machen, wie ich eine sichere Informationstechnik gewährleisten kann. Zumindest in einer Branche, die mehr in der Informationsverarbeitung und weniger im produzierenden Gewerbe wie zum Beispiel im Handwerk beheimatet ist.
Welche Voraussetzungen müssen Datenschutzbeauftragte Ihrer Einschätzung nach erfüllen?
Neben einer klaren datenschutzrechtlichen Expertise sollten Datenschutzbeauftragte vor allem über technisches Know-how und – ganz wesentlich – über Kommunikations- und Präsentationsfähigkeiten verfügen. Das Thema Datenschutz hat aufgrund seiner Komplexität immer mehr mit Kommunikation und Wissensvermittlung zu tun. Ein Datenschutzbeauftragter sollte also vor allem zwischen den verschiedenen Wissensdisziplinen vermitteln können. Datenschutzrecht basiert immerhin auf einer bestimmten "Denke". Das darf und soll auch gerne für Personen aus anderen Fachgebieten "übersetzt" werden.
Gibt es Betrugsmaschen oder Angriffsmuster, vor denen Sie besonders warnen würden? Wie können sich Unternehmen speziell darauf einstellen?
Das ist eher eine Frage der Informationssicherheit. Hier tun sich in der Praxis die meisten Baustellen auf. Wie auch beim Datenschutz ist hier die größte Gefahr der Mensch selbst. Unternehmen sollten schon aus Gründen der Haftungsminimierung unbedingt ein sogenanntes Informationssicherheits-Managementsystem (ISMS) implementieren, zum Beispiel auf Basis oder in Anlehnung an die ISO 27001.
Gibt es bestimmte Sicherheitsmängel, die leicht zu vermeiden wären, die Sie aber immer wieder bei Unternehmen vorfinden?
Unverschlüsselte externe Speichermedien sind immer noch in vielen Unternehmen gängig. Gleiches gilt für die Nutzung von fremden, offenen WLAN-Zugängen ohne Verwendung einer Verschlüsselung, zum Beispiel über einen VPN-Client.
Sehen Sie Risiken in der zunehmenden Nutzung von Cloud Services? Denken Sie, dass Datenschutz dadurch erschwert wird?
Es gibt Risiken, aber auch Chancen. Die Nutzung von Cloud Services geht in aller Regel mit einem Verlust der Datenhoheit einher. Das sollte den Unternehmen bewusst sein. Dabei geht es nicht darum, dass die Cloud Service-Anbieter die Daten etwa bewusst an Dritte weitergeben würden. Es geht vielmehr darum, dass eine effektive Kontrolle über die Daten nicht mehr oder nur eingeschränkt in einer anderen Weise möglich ist.
Cloud Services bieten aber auch Chancen. Wenn wir uns die IT-Landschaft in vielen Unternehmen ansehen, dann wäre ich schon froh, wenn einiger dieser Unternehmen ihre Daten in die Cloud migrieren würden, weil sie dort unterm Strich sicherer aufgehoben sind. Viele IT-Abteilungen sind mit den Anforderungen einer sicheren Informationstechnik fachlich und häufig auch finanziell überfordert. Da macht die Nutzung eines professionellen Anbieters definitiv Sinn.
Angenommen, ein Unternehmen stellt fest, dass Unbefugte Zugriff auf interne Daten erlangt haben. Können Sie einen kurzen Maßnahmenplan schildern, was zu tun ist?
Eine schnelle Sachverhaltsaufklärung steht hier an erster Stelle. Mit Inkrafttreten der Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) im Frühjahr 2018 müssen Vorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Aber auch heute gibt es für bestimmte Datenarten wie zum Beispiel Konto- oder Gesundheitsdaten Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen, die unverzüglich erfüllt werden müssen. Im Rahmen des Notfallplans sind daher zwingend auch Datenschutzbeauftragte beziehungsweise Anwälte so früh wie möglich hinzuziehen. Denn eine Verletzung der Informationspflicht kann aktuell mit bis zu 300.000 Euro geahndet werden.
Wenn in einem Unternehmen immer mehr Anwendungen laufen und Informationen über verschiedenste Schnittstellen ausgetauscht werden – kann man da Sicherheit überhaupt noch gewährleisten? Was, wenn nur ein Anbieter eine Sicherheitslücke hat?
Eine hundertprozentige Sicherheit gibt es natürlich nicht. Das dürften wir heute wissen. Aber das Risiko kann gut minimiert werden. Und genau darum geht es heute im Wesentlichen: Risikominimierung. Es sollten also Prozesse technischer und organisatorischer Art in den Unternehmen umgesetzt sein, die sicherstellen, dass Schwachstellen erkannt und behoben werden. Mit wachsendem Schutzbedarf von Daten muss ein Mehr an Sicherheitsmaßnahmen getroffen werden. In jedem Fall sollte regelmäßig eine Risiko- und Schwachstellenanalyse im Unternehmen durchgeführt werden. Vor allem, weil IT-Sicherheit nicht stillsteht. Es ist ein laufender Prozess.
Was sind aus Ihrer Sicht die größten IT-Risiken, die in Zeiten von Digitalisierung, Internet der Dinge und Industrie 4.0 auf Deutschland und die Welt zukommen?
Ich denke, dass das Problem darin liegt, dass durch so viele Teilsysteme mehr Sicherheitsrisiken entstehen. Die IT-Sicherheit ist immer nur so stark wie das schwächste Glied in der Kette. Und das kann auch nur einmal ein vernetztes Heizkörperthermostat sein, das für eine Sicherheitslücke sorgt. Hier den Überblick über die Systeme und die Risiken zu behalten, stellt eine immense Aufgabe für Unternehmen dar. Verlässliche Lösungen hierfür gibt es meines Erachtens derzeit leider noch nicht. Da hilft es nur, an jeder Stelle aufmerksam zu sein.
Herr Hansen-Oest, vielen Dank für das Interview.