Datenschutz: Resiliente Strukturen schaffen nach der Pandemie

Home-Office und Remote Work allerorten sowie der weit verbreitete Einsatz namhafter Videokonferenz- und Kollaborations-Tools scheinen darauf hinzudeuten, dass die deutsche Wirtschaft gut und solide in der Digitalisierung angekommen ist. [...]

Matthias Bollwein, Co-Founder von Uniki. (c) Uniki

Leider täuschen diese oberflächlichen Indizien darüber hinweg, dass die Bundesrepublik im europäischen Vergleich sich erstens nur im Mittelfeld bewegt und zweitens immer noch nicht die notwendige Resilienz und strukturelle Stabilität aufweist, um den aktuellen und zukünftigen Herausforderungen im Bereich Datenschutz und Cyber-Sicherheit begegnen zu können. Wie ernst ist die Situation, welche Gegenmaßnahmen müssen dringend konzipiert und umgesetzt werden?

Der Digitalisierungsbericht der KfW vom März 2021 zeigt sehr anschaulich auf, welche Defizite die deutsche Wirtschaft – und vor allem der Mittelstand – im Bereich Digitalisierung aufwies – und leider immer noch aufweist. Vor dem Ausbruch der Covid-19-Pandemie fand eine ziemliche Eintrübung der Konjunktur statt. Als Gegenmaßnahme wurden viele bereits geplante oder sogar begonnene Digitalisierungsprojekte auf Eis gelegt – schlicht und einfach, um Kosten zu sparen. Viele Unternehmen hatten sich noch kaum mit dem Thema Digitalisierung auseinandergesetzt – und sahen sich bestärkt, ihre Ressourcen auf ihre vermeintlichen Kern-Kompetenzen zu konzentrieren und keine wertvolle Energie für diese „virtuellen Spielereien“ zu verschwenden. Entsprechend schlecht vorbereitet schlitterte dann die deutsche Wirtschaft in die Kontakt- und Mobilitätseinschränkungen des Frühjahrs 2020. Um Millionen Berufstätige so schnell wie möglich wieder arbeits- und kommunikationsfähig zu machen, wuchsen IT-Verantwortliche in Unternehmen über sich hinaus, gingen endlich längst überfällige Maßnahmen an – und zwangsläufig auch zahlreiche Kompromisse ein. Pragmatische Entscheidungen wurden getroffen, Verfügbarkeit, Funktionsfähigkeit und Zuverlässigkeit waren die Kriterien, nach denen die erforderlichen Digitalisierungsmaßnahmen ausgewählt, beschafft, installiert und Strukturen geschaffen wurden. Knapp zwei Jahre später sind viele der implementierten Applikationen immer noch in Gebrauch – eine sprichwörtliche Zeitbombe für die DSGVO-Compliance, IT-Stabilität und Cyber-Sicherheit zahlreicher Unternehmen.

Thema Datenschutz – „Not kennt kein Gebot und gut ist, was funktioniert“

In den ersten Tagen und Wochen des harten Lockdowns im März/April 2020 schien das Sprichwort „Not kennt kein Gebot“ die bevorzugte Handlungsmaxime bei der Bewältigung der unzähligen Herausforderungen zu sein, denen sich IT-Verantwortliche branchenübergreifend gegenübersahen. Es ging dementsprechend oft nicht primär darum, das objektiv beste und vollkommen rechtskonforme Tool „Made in Germany“ zu finden und einzusetzen. „Damals“ war das diesbezügliche Angebot zumindest im Bereich der Collaboration Suites zugegebenermaßen auch noch nicht wirklich überwältigend – und die verfügbaren Lösungen konnten nicht mit der benötigten Bandbreite und Leistungsfähigkeit aufwarten. Schaute man sich hingegen Wettbewerber aus den USA an – ZOOM, Microsoft Teams & Co – standen bewährte, stabile Suites im Fokus, die auch über die erforderlichen Server-Kapazitäten verfügten. Weniger bekannte Wettbewerbsprodukte wurden entweder erst garnicht recherchiert oder gemäß dem „Minimum Effort – Maximum Result“-Prinzip vernachlässigt. Eine „Baustelle“ war notdürftig geschlossen worden, hunderte andere Herausforderungen standen noch auf der Agenda. Datenschutzrechtlich waren die amerikanischen Applikationen nicht auf europäische Standards ausgelegt. Nach dem 31.12.2022 wird es auch in der Bundesrepublik die Möglichkeit geben, mithilfe einer „echten“ DSGVO-Verbandsklage Schadenersatz einzufordern. Dieser kann bei besonders schweren Verstößen eine Höhe von 20 Millionen Euro bzw. 4 Prozent des international erwirtschafteten Umsatzes p.a. erreichen, je nachdem, welche Summe höher ausfällt. Die Anzahl der Abmahnungen und Klagen steigt kontinuierlich an, die Öffnung der deutschen Gerichte für Verbandssammelklagen wird nach Meinung von Experten für einen entsprechenden Schub sorgen.

Thema Cyber-Sicherheit – Aus der Notlösung wird oft eine Dauerlösung

Mittlerweile sind über zwei Jahre vergangen, Remote Work, Video Conferencing und das gemeinsame Arbeiten über Collaboration Suites haben sich als feste und effektive Elemente im Alltag unzähliger Unternehmen etabliert. Viele Firmen verwenden aber immer noch Werkzeuge und Bundles, die ursprünglich nur als Interims-Lösungen gedacht und implementiert wurden. Nichtsdestotrotz haben sich zahlreiche Nutzer an die erwähnten Applikationen gewöhnt. Vergleichsweise wenig personeller Aufwand und finanzielle Mittel wurden in die Analyse des tatsächlich vorhandenen Sicherheitsniveaus, der Widerstandsfähigkeit der Strukturen und der Verflechtung von Applikationen gesteckt. Ich erfahre in vertraulichen Gesprächen immer wieder, dass die während der Corona-Pandemie mit heißer Nadel genähten „Lösungen“ erhebliche Probleme verursachen, die erforderlichen – und einschneidenden – Gegenmaßnahmen aber vor sich hergeschoben werden. Mangelnde Zeit, keine Möglichkeit, die einzelnen Systeme länger offline zu schalten oder andere Begründungen deuten darauf hin, dass fehlende Priorisierung das eigentliche Problem darstellt – und sich dieses mit jedem weiteren Tag verschlimmert.

Thema Datensouveränität – Volle Kontrolle statt „irgendwo in der Cloud“

Zudem stellt auch die Nutzung von Cloud Services ein nicht minder riskantes Unterfangen dar. Auf US-Server greifen tatsächlich mehr Applikationen zurück, als man auf den ersten Blick vermutet. Dementsprechend sollte die eigene Unternehmens-IT sehr sorgfältig nach nicht-DSGVO-konformen Elementen abgeklopft werden. Keine diesbezüglichen Sorgen muss sich derjenige machen, der einen eigenen Inhouse-Server hinter einer robusten und leistungsfähigen Firewall betreibt und ausschließlich Kollaborationslösungen von europäischen Anbietern einsetzt.

Resiliente Strukturen „tun Not“

Spätestens jetzt ist also der Zeitpunkt gekommen, sich intensiv mit der zugrundeliegenden Thematik auseinanderzusetzen. In sehr vielen Fällen wird kein Weg daran vorbeiführen, den Status Quo sorgfältig zu dokumentieren, die eingesetzten Tools auf ihre DSGVO-Konformität und Resilienz zu prüfen, unsichere und rechtswidrige Installationen, Verknüpfungen und Auslagerungen konsequent aufzulösen und auf Basis einer zukunftsorientierten Bedarfsanalyse sichere Strukturen zu schaffen. Diese müssen dann mit kompatiblen, leistungsfähigen und skalierbaren Applikationen ausgestattet werden, um heute und in Zukunft die wirtschaftliche Existenz von Unternehmen unterschiedlichster Branchen zu sichern. Jede Verflechtung von unsicheren, nicht-DSGVO-konformen Applikationen, Hilfsprogrammen, Erweiterungen oder Server-Verbindungen reduziert die Resilienz der IT erheblich. Angesichts der stetig zunehmenden Gefahr durch Cyber-Kriminalität und -Sabotage ist dies nicht hinnehmbar.

Fazit – Unternehmen müssen Prioritäten setzen

Vor der Pandemie wurde die Digitalisierung oft auf die lange Bank geschoben, während der harten Lockdown-Phasen dann zumindest das allernötigste getan. Aktuell scheint die Dringlichkeit einer grundlegenden und weitblickenden Stärkung und Sicherung der IT-Infrastruktur in den deutschen Unternehmen wieder in den Hintergrund zu treten. Diese Abflachung der Aufmerksamkeit ist angesichts der stetig zunehmenden Gefahr durch Cyber-Kriminalität einerseits und dem anwachsenden Klage-Risiko im Bereich DSGVO andererseits brandgefährlich. Das Thema muss priorisiert werden.
Denn wer sich jetzt nicht dem Problem stellt und eine wirklich resiliente Strategie ableitet, umsetzt und regelmäßig den sich wandelnden Rahmenbedingungen anpasst, wird früher oder später den Anschluss verlieren – oder sogar die geschäftliche Existenz aufs Spiel setzen.

*Der Autor Matthias Bollwein ist Co-Founder von Uniki.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*