Die Umsetzung der DSGVO bietet Unternehmen eine Chance, die weit über das primäre Ziel hinausgeht: Mit dem Budget, den Tools und den Prozessen, die für den Schutz der personenbezogenen Daten aufgewendet werden müssen, erreichen sie den Schutz ihres geistigen Eigentums. [...]
Unternehmen haben längst nicht nur personenbezogene Daten zu schützen. Jede Firma verfügt über geistiges Eigentum in Form registrierter Schutzrechte wie Patente, technische Verfahren, Marken oder Gebrauchsmuster sowie in Form nicht registrierter Rechte vom Namen der Firma über Urheberrechte bis zu Software-Entwicklungen und Lizenzen. Dazu gehört auch das gesamte Unternehmens-Know-how inklusive aller Betriebs- und Geschäftsgeheimnisse.
Bei den erstgenannten handelt es sich um technisches Knowhow wie Rezepturen, Konstruktionszeichnungen, Designentwürfe, Verfahren, Informationen aus F&E, während kaufmännische Informationen wie Umsatzzahlen, Bezugsquellen, Kalkulationsunterlagen, Verträge als Geschäftsgeheimnisse bezeichnet werden.
Der Schutz des geistigen Eigentums liegt im Eigeninteresse der Unternehmen
Dieses geistige Eigentum (engl.: Intellectual Property)ist wie personenbezogene Daten, wenn nicht sogar noch stärker, von Datenverlust und Datendiebstahl bedroht. Im Unterschied zu den personenbezogenen Daten, deren Schutz durch nationale oder internationale Instanzen, wie künftig die Europäische Datenschutz-Grundverordnung (DSGVO), geregelt wird, ist der Schutz des geistigen Eigentums Sache des Unternehmens.
Die Praxis zeigt jedoch, dass ohne zwingende Notwendigkeit, beispielsweise eine neue Gesetzeslage, wenig passiert. Meist werden erst dann Maßnahmen ergriffen, wenn es zu einem Datenverlust gekommen ist – falls dieser überhaupt bemerkt wird. Erst unter dem Druck, den im Fall der DSGVO die drakonischen Bußgelder für Verstöße ausüben, wird gehandelt. Bei Verlust oder Diebstahl von geistigem Eigentum gibt es keine Bußgelder, die Auswirkungen können dennoch existenzgefährdend für das Unternehmen sein.
Tätergruppe Mitarbeiter
Wirtschafts-, Industrie- bzw. Konkurrenzspionage treffen ein Unternehmen nicht weniger als eine Datenschutzverletzung. Bedroht sind die Daten nicht nur durch Angriffe von außen, sondern auch durch die eigenen Mitarbeiter. Mittels Social Engineering werden Mitarbeiter dazu gebracht, wichtige Informationen herauszugeben; aus Verärgerung oder Frust nehmen sie bei einem Arbeitgeberwechsel Daten mit; sie kopieren in guter Absicht Unterlagen auf UBS-Sticks, um am privaten Rechner weiterzuarbeiten, oder übermitteln versehentlich oder absichtlich Daten an den falschen Adressaten.
Milliardenschäden durch Industriespionage
Nimmt ein Mitarbeiter die Kundenliste zum Wettbewerber mit und wirbt die Kunden ab, bedroht das die Existenz des Unternehmens ebenso wie ein Bußgeld infolge einer Datenschutzverletzung. Die kleineren und mittelgroßen Unternehmen, die der Auffassung sind, ihre Daten seien uninteressant für Dritte, irren sich, denn auch sie haben Knowhow, Wettbewerber und möglicherweise unzufriedene Angestellte.
Im globalen Wettbewerb sind Informationen wie Kundenkontakte oder Angebotsunterlagen bares Geld wert oder verschaffen anderen einen zeitlichen Vorsprung. Schätzungen zufolge belaufen sich die Schäden durch Wirtschafts- und Industriespionage für deutsche Unternehmen auf mittlere zweistellige bis dreistellige Milliardenbeträge jährlich.
Gleicher Schutz für alle wichtigen Daten
Personenbezogene Daten müssen laut Artikel 5 der DSGVO „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust (…) durch geeignete technische und organisatorische Maßnahmen“.
Diese Maßgabe sollte jedes Unternehmen eins zu eins auf den Schutz des geistigen Eigentums übertragen und für beide Arten von Daten dieselben Sicherheitsrichtlinien und dieselben Technologien nutzen. In beiden Fällen müssen die Unternehmen wissen, wo genau die Daten liegen. Es muss geregelt werden, ob und gegebenenfalls über welche Kommunikationswege welche Inhalte ein Unternehmen verlassen dürfen. Datenschutz-Vorkehrungen betreffen sämtliche Unternehmensdaten, und die Einhaltung der Richtlinien betrifft alle Mitarbeiter.
Keine unerwünschten Datentransfers
Berechtigungsmanagement reguliert, dass nur bestimmte Mitarbeiter auf bestimmte Daten in den zentralen Systemen zugreifen können, und reduziert das Risiko von unbefugtem Datenzugriff. Diese Mitarbeiter können in der Regel Daten exportieren und auf ihren Desktops speichern, beispielsweise weil sie Entwürfe beim Kunden präsentieren oder Zahlen für eine interne Präsentation aufbereiten wollen. Da diese Mitarbeiter die extrahierten Daten ebenso gut in Cloud-Speicher laden oder über Webmail-Dienste verschicken können, ohne dass das Unternehmen Kenntnis davon erhält oder die Übermittlung unterbinden kann, ist die lokale Datenspeicherung eine der Hauptquellen für Datenverluste.
Hier setzen Lösungen für Data Loss Prevention an, indem sie beispielsweise verhindern, dass Geräte wie USB-Sticks an die Arbeitsplatzrechner angeschlossen werden. Oder, falls die Verwendung von USB-Sticks gewollte ist, stellen sie die Datenverschlüsselung auf dem Stick sicher. Damit sind bei Verlust eines Sticks die Daten vom Finder nicht lesbar. Zudem arbeiten DLP-Lösungen mit Inhaltsfilterung. Dabei werden Daten in Bewegung auf voreingestellte Inhaltskriterien untersucht und nicht erlaubte Transfers blockiert. Die für personenbezogene Daten passend zugeschnittenen Richtlinien sind Vorlagen für die Unternehmensgeheimnisse. Unternehmensspezifische Richtlinien werden mit denselben DLP-Werkzeugen, wie Wörterbücher, Dateityp- und Semantik-Erkennung, konfiguriert.
Die Hoheit über die Daten zurückgewinnen
Bei der Umsetzung der DSGVO geht es nicht darum, mittels bestimmter Prozesse und Lösungen Strafen zu vermeiden, sondern die Hoheit über die Daten zu behalten beziehungsweise zurückzugewinnen. Welchen Weg die Unternehmen dabei einschlagen sollten, führt die DSGVO an den personenbezogenen Daten aus. Zugleich bietet dieser Weg die Chance, mit diesen Daten auch das geistige Eigentum zu schützen – daran müssen die Unternehmen für ihr eigenes Fortbestehen ein vitales Interesse haben.
Das Budget, die Prozesse und die Lösungen, die für den Schutz der personenbezogenen Daten aufzuwenden sind, lassen sich genauso gut für den Schutz des geistigen Eigentums verwenden. So entsteht doppelter Nutzen bei gleichen Kosten.
* Michael Bauner ist Geschäftsführer von Endpoint Protector.
Be the first to comment