Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

16.08.2016
von: Tim Grieveson - HPE

EU-Datenschutz-Grundverordnung und die weltweite IT-Sicherheit

Nach Meinung von Tim Grieveson von HPE kann die neue Grundverordnung durchaus als Inspiration für grundlegende Veränderungen in der IT dienen.

Während durch die neue EU-Datenschutz-Grundverordnung allen Unternehmen, die mit Europa digitalen Datenaustausch betreiben, deutlich mehr Verantwortung auferlegt wird, wird sie sich wohl nicht, wie von einigen befürchtet, als Albtraum erweisen. Vielmehr kann sie den Unternehmen helfen, ihren Umgang mit vertraulichen Daten zu verbessern. So die Meinung von Tim Grieveson, Chief Cyber and Security Strategist für den Raum EMEA, Hewlett Packard Enterprise. Die neue Verordnung sollte von Unternehmen weltweit als Chance gesehen werden, ihre Sichtweise zum Thema Sicherheit zu überdenken, so Grieveson. Zudem sollten die Unternehmen aus den neu gewonnenen Erkenntnissen aus den Prozessen für das Datensatzmanagement lernen.

Es wird erwartet, dass die weitreichende EU-Datenschutz-Grundverordnung die Probleme für globale Unternehmen, die geschäftlich in Europa aktiv sind, verschärfen werden. Als Beispiel wäre der Konflikt mit Facebook und anderen in den USA ansässigen Global Playern im Digitalbereich zu nennen. Die Einhaltung der Vorgaben der EU-Datenschutz-Grundverordnung wird für die Unternehmen Herausforderungen mit sich bringen. Strafen für deren Nichteinhaltung werden die Unternehmen deutlich empfindlicher treffen als bisher. Die Unternehmen müssen von ihrer Seite aus zumindest Teile ihrer Richtlinien für die IT-Sicherheit und das Datensatzmanagement überprüfen und aktualisieren. Dieser Prozess wird neue Einblicke und Erkenntnisse ans Tageslicht bringen, mit denen die Unternehmen ihr Sicherheitskonzept verbessern, Compliance-Prozesse automatisieren sowie Umfang und Kosten bei der Datenspeicherung und beim Datenmanagement reduzieren können. Zudem könnten sich dadurch in mehr Unternehmen neue Möglichkeiten ergeben, wie bestehende Daten genutzt werden können, und statt der Kosten Umsätze und Gewinne steigen.
"Viele bezeichnen die neue Verordnung als beängstigendes, kostspieliges und zeitaufwendiges Konstrukt, das nur für Compliance-Zwecke benötigt wird", sagt Grieveson. "Wir sehen dies eher gegensätzlich. Es geht vielmehr darum, funktionierende Sicherheitsprozesse, ein leistungsfähiges Technologiemanagement, ein effizientes Datensatzmanagement zu implementieren und das Nutzenpotenzial der vorhandenen Daten zu verstehen. Dies ist eine gesamteuropäische Verordnung. Viele Dinge werden dadurch vereinfacht. Und die Unternehmen haben dadurch die Möglichkeit, ihr gesamtes Datenökosystem auf den Prüfstand zu stellen."

Ein umfassendes Gesetz ersetzt 28 Teilgesetze
Die EU-Datenschutz-Grundverordnung soll als Gesamtgebilde viele Erwartungen erfüllen: Zentrales, konsistentes Regelwerk zum Datenmanagement und zur Privatsphäre der Verbraucher, das im gesamten EU-Raum durchgängig angewendet wird. Die neue Verordnung ersetzt die 20 Jahre alte EU-Datenschutzverordnung, in der die grundlegenden Datenschutzstandards festgelegt wurden. Bisher musste aber jedes Land seine individuellen Bestimmungen verabschieden und durchsetzen. "Die meisten Unternehmen sind wahrscheinlich nicht sehr gut auf diese Art des Datenmanagements vorbereitet und kennen ihre eigene und die für diese neue Verordnung erforderliche Infrastruktur kaum", so Grieveson. Er fügt hinzu, dass diese Unternehmen auch Probleme haben, ihre eigenen Daten effizient zu nutzen, und unnötige Ausgaben für die Speicherung und den Schutz von Daten tätigen, die sie nicht brauchen.

Das primäre Ziel der neuen Verordnung ist der Schutz der Privatsphäre der Verbraucher, indem die Menschen mehr Kontrolle über die Daten erhalten, die in Unternehmen, mit denen sie geschäftlich zu tun haben, gespeichert sind. Hierfür wurden Grenzwerte definiert, wie die Unternehmen die individuellen Daten verarbeiten dürfen und wer darauf zugreifen kann. Die Verbraucher dürfen persönliche Daten an Konkurrenzanbieter übertragen oder fordern, dass ihre Daten vollständig gelöscht werden.

Mit dem vollständigen Inkrafttreten der neuen Verordnung im April 2018 kann das Strafmaß bei Nichteinhaltung bis zu 4 Prozent des weltweiten Umsatzes betragen, das in die Milliarden gehen kann. Mit der Durchsetzung der Richtlinien könnten EU-Mitglieder gezwungen werden, bis zu 28.000 neue Datenschutzbeauftragte einzustellen. So das Ergebnis einer kürzlich von International Association of Privacy Professionals durchgeführten Analyse.

Kosten senken, Effizienz steigern
Die Einhaltung der Regelungen in der neuen Grundverordnung wird sich besonders für Unternehmen sehr schwierig gestalten, die nicht wissen, wo sich ihre Daten befinden und wie sie sie verarbeiten sollen. Auch wenn hierfür eine grundlegende Bestandsaufnahme der Daten im Unternehmen erforderlich ist, bietet sich den Unternehmen damit die Chance, Terabyte an Daten zu löschen, die nur Speicherplatz belegen und sonst keine Bedeutung haben. Laut einer Studie aus dem Jahr 2013 zur Verwaltung von Daten über ihre gesamte Lebensdauer und zur Entsorgung von Daten des Compliance, Governance and Oversight Council haben 70 Prozent der Daten in einem durchschnittlichen Unternehmen keinen erkennbaren geschäftlichen Nutzen.

Unternehmen können sich dadurch intensiver auf die Daten konzentrieren, die sie aktiv für Marketingzwecke, Produktentwicklung oder Kundenserviceprojekte nutzen. "Wenn Sie nicht wissen, welche Daten im Unternehmen vorhanden sind, können Sie diese auch nicht nutzen und aussagekräftige Rückschlüsse daraus ziehen. Durch die neue Grundverordnung werden Unternehmen gefordert sein, ihr Datenmanagement zu verbessern und aus den Datenbeständen aussagekräftige Informationen herauszuziehen", sagt Grieveson. "Es geht bei Ihren Daten in erster Linie um die Nutzenmaximierung, um sich dadurch geschäftliche Vorteile zu verschaffen."

Bessere IT, bessere Bonitätsbewertung?
Die zusätzlichen Kontrollmechanismen, die die neue Grundverordnung für das Datenmanagement, den Datenzugriff und die Gründe für den Datenzugriff vorgibt, können auch als Initialzündung gesehen werden. Unternehmen können ihr Sicherheitskonzept auf den Prüfstand stellen und die Anschaffung umfassender, integrierter Sicherheitssysteme in Erwägung ziehen, die helfen können, ausgeklügelte Datenschutzverletzungen abzuwenden. Daher wäre es bestimmt kein Zufall, wenn Unternehmen, die sich um ihre Datensicherheit kümmern, an den Finanzmärkten als stabil, verantwortungsvoll und letztendlich als attraktiv bewertet werden. "Ich sehe solche Änderungen als Differenzierungsmerkmal und als Chance für mehr Wachstum", so die Meinung von Grieveson. "Wir werden sehen, dass bei der Bonitätsbewertung von Unternehmen das Thema Sicherheit eine große Rolle spielen wird."

Grieveson sieht in diesem Zusammenhang auch Möglichkeiten zur Kostenoptimierung. Erreicht werden kann dies beispielsweise durch weniger Personal für das Datenmanagement und durch Verschlüsselungsmechanismen im gesamten Datenmanagement. So lassen sich Daten in der Cloud, auf mobilen Geräten, ruhende Daten oder Daten bei der Übertragung ausreichend schützen.

"Effiziente IT-Prozesse sind in allen Unternehmen möglich", so Grieveson. "Häufig zieht dies jedoch Anfangsinvestitionen nach sich, die ohne signifikante Änderungen in der Gesetzeslage, bei der Denkweise oder externe auslösende Faktoren nur schwer zu rechtfertigen sind."

Grieveson merkt weiter an, dass Unternehmen, die sich bisher an den PCI-Mechanismen für mehr Kreditkartensicherheit und den Sarbanes-Oxley-Richtlinien für die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten orientiert haben, diese Regelung, die für jeden Einzelnen gilt, bisher unbekannt war: "Unternehmen werden für die unterschiedlichen Daten jeweils einen Verantwortlichen bestimmen müssen, der dafür verantwortlich ist, welche Datenbestände vorhanden sind und wie diese verwaltet werden müssen. Außerdem muss er darauf hinweisen, welche Daten wirklich wichtig sind."
Hewlett-Packard auf Security-Finder Schweiz
Lesen Sie hier den gesamten Artikel: hpe.com


Security-Finder Schweiz: Newsletter