Podiumsdiskussion "Daten: Smarte Speicher, Vertrauen in Unternehmen"
- Written by Redaktion
- font size decrease font size increase font size
Cloud-Computing, hybride IT und Datenschutzgesetz – Wo sollten Daten gespeichert liegen? Wer kann in der zunehmend komplexen IT-Landschaft noch die Übersicht behalten - und sich in Sicherheit wiegen? UPDATE: Das Gespräch in voller Länge
Am 9. März diskutierten ExpertInnen zu den Themen Datenschutz, Resilienz und IT-Strategien in Unternehmen. Das Publikumsgespräch des Report war diesmal zu Gast bei der Österreichischen Computer Gesellschaft im 1. Bezirk in Wien.
Report: Welche Voraussetzungen braucht es, damit ein Vertrauen in IT-Dienste hergestellt werden kann?
Wolfgang Fröhlich, Anecon: Software ist niemals zu 100 % sicher. Was man allerdings tun kann, ist eine gewisse Intelligenz einzubringen, um das Risiko relativ klein zu halten. Sicherheit muss über den gesamten Softwarelebenszyklus betrachtet werden. Punktuelle Einzelmaßnahmen wie die Errichtung einer Firewall erhöhen zwar kurzfristig die Sicherheit. Für ein langfristiges Vertrauen in einen IT-Service ist es aber zusätzlich wichtig, bereits zu Beginn eines Softwareprojektes Sicherheit speziell zu behandeln – von der Vorabanalyse bis zu Entwicklung unter ständigem Einbezug von Sicherheitsrichtlinien.
Report: Wie sieht denn der Status quo in der österreichischen Unternehmenslandschaft dazu aus? Wie vertrauenswürdig wird Software, werden neue Services entwickelt?
Fröhlich: Der Reifegrad bei der Softwareentwicklung und im Softwaretest ist sehr unterschiedlich. Viele Unternehmen nehmen dieses Thema sehr ernst, bei anderen sehen wir noch Handlungsbedarf. Der Marktdruck auf Produktivität und Effizienz hat einen großen Einfluss auf die Geschwindigkeit bei der Entwicklung neuer Produkte und Services – so etwa bei einer Anforderung, eine Weboberfläche in 15 Millisekunden aufzubauen, gleichzeitig aber eine verschlüsselte Datenübertragung im Hintergrund zu haben. Letztlich müssen auch Sicherheitsmechanismen abgewogen werden, um eine Anwendung auch aus Nutzersicht akzeptabel zu halten.
Report: Um wieviel teurer aber sind sichere IT-Services? Ist genau das nicht eine Kostenfrage?
Fröhlich: Das Thema Qualität in der IT wird meistens zu spät angegangen. In der Softwareentwicklung wird oft erst am Schluss getestet, und Testen kostet etwas. Also ist man versucht, diesen ungeliebten Teil eher klein zu halten. Wenn aber IT nicht entsprechend sicher und fehlerfrei ist, dann wird es richtig teuer. Kein Unternehmen heute kann es sich leisten, auf moderne, agile Softwareentwicklung und Investitionen in Sicherheit zu verzichten.
Je früher ein Problem erkannt und Fehler gefunden werden, desto weniger schlägt sich dies in Kosten nieder. Trotzdem: Technisch lässt sich vieles absichern, oft scheitert es dann aber an manuellen Prozessen in der Datenverarbeitung – wenn etwa Dokumente erst recht wieder auf einem USB-Stick herumgetragen werden. Um hier auf Gefahren und Sicherheitslücken hinzuweisen, sind einfach auch Schulungen der Mitarbeiter nötig.
Report: Die Komplexität in der IT steigt durch die fortschreitende Digitalisierung rasant weiter. Wie kann man hier noch den Überblick auch über seine Daten und Prozesse behalten?
Fröhlich: Hier spielt eine moderne und nachhaltige IT-Architektur eine zentrale Rolle. Wir sehen das Thema Cloud besonders in der hybriden Ausprägung stark im Kommen. Software in der Cloud respektive für Cloud- und Big-Data-Anwendungen zu entwickeln, stellt Unternehmen vor neue Herausforderungen. Es stellt Anforderungen an die Entwicklung und auch an den Test, da Entwickler nicht mehr den gewohnten Zugriff auf die Softwareumgebung haben. Da braucht es Know-how, um den Überblick bewahren zu können und IT-Prozesse auf Sicherheit zu prüfen.
Report: Zum Thema Rechtssicherheit: Was kommt bei der Umsetzung der neuen Datenschutzgrundverordnung (DSGVO) auf Unternehmen zu?
Gerald Trieb, Knyrim Trieb Rechtsanwälte: Ich sehe eigentlich sogar eine gewisse Rechtsunsicherheit auf die Unternehmen zukommen. Diese Verordnung, die 2018 in allen Mitgliedstaaten der EU direkt zur Anwendung kommen wird, enthält viele unbestimmte Gesetzesbegriffe, deren Bedeutungsgehalt erst durch Gerichtsentscheidungen konkretisiert werden muss. Unsicherheit gibt es aber auch aus einem zweiten Grund: Nach dem aktuellen österreichischen Datenschutzrecht mussten Unternehmen Anwendungen mit personenbezogenen Daten im Datenverarbeitungsregister registrieren. Zumindest bei „kritischen“ Anwendungen, die erst nach Durchlaufen eines Vorabkontrollverfahrens durch das DVR betrieben werden dürfen, erhält das Unternehmen im Ausmaß der erfolgten Prüfung eine gewisse Rechtssicherheit, dass die Anwendungen datenschutzkonform aufgesetzt wurden. Für die Speicherung von Daten über Cloud-Dienstleister außerhalb Europas brauchen Unternehmen derzeit ebenfalls die Genehmigung der Datenschutzbehörde. Genehmigungsbescheide behalten sogar ausdrücklich auch im Zeitraum nach Anwendbarkeit der DSGVO weiterhin Gültigkeit.
Mit der DSGVO will man sich in der EU nun nicht mehr auf Registrierungen und Genehmigungsbescheide von Behörden verlassen, sondern wird die Unternehmen stärker in die Eigenverantwortung nehmen. Diese müssen ihre Verarbeitungstätigkeiten in ein Verzeichnis aufnehmen und selbst dokumentieren und nachweisen, dass diese Verarbeitungstätigkeiten mit den Bestimmungen der Datenschutzgrundverordnung in Einklang stehen – dass etwa die Grundsätze der Rechtmäßigkeit der Verarbeitung oder regulatorische Anforderungen wie der Abschluss von Auftragsverarbeiterverträgen oder die Durchführung von Datenschutz-Folgenabschätzungen eingehalten werden. Solange das Unternehmen für alle Verarbeitungstätigkeiten das nur für besonders heikle Anwendungen zur Verfügung stehende Verfahren der vorherigen Konsultation mit der Datenschutzbehörde nicht in Anspruch nimmt, wird es sich bis zu einem allfälligen Prüfverfahren durch die Datenschutzbehörde daher auch bei einer guten Vorbereitung nicht ganz sicher sein können, ob es datenschutzkonform arbeitet.
Und durch die DSGVO kann es im Vergleich zur derzeitigen Rechtslage zu einer achthundertfachen Erhöhung der Verwaltungsstrafen kommen – sie steigen von einem Strafrahmen von derzeit maximal 25.000 Euro auf bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes der Konzerngruppe, der das Unternehmen angehört. Auch Detailfragen – etwa welche Unternehmen tatsächlich einen Datenschutzbeauftragten zu bestellen haben oder welche Datenanwendungen einer Datenschutzfolgeabschätzung unterzogen werden müssen – werden erst durch Entscheidungen von Behörden und Gerichten, teilweise erst durch solche des EuGH geklärt werden.
Report: Ist denn zu erwarten, dass Datenschutzverletzungen stärker in Österreich geahndet werden? Bislang hatte man das Gefühl, dass dies kein besonders großes Thema ist.
Trieb: Da haben Sie grundsätzlich recht. Allerdings hat sich seit 2014 mit der neuen Leiterin der Datenschutzbehörde (Anm. d. Red.: Andrea Jelinek) die Lage geändert. Sie hat jährliche Kontrollen eingeführt, die Unternehmen einer bestimmten Branche im Fokus haben. So wurden 2014 Kreditauskunfteien überprüft, 2015 und 2016 dann Landeskrankenhausträger. Es ist zu erwarten, dass in den nächsten Jahren weitere Branchen untersucht werden, inbesondere jene Branchen, mit denen üblicher Weise viele Konsumenten Vertragsverhältnisse eingehen. Die Prüfungen sind sehr genau und man muss sich als geprüftes Unternehmen schon etwas länger mit dem Thema Datenschutz beschäftigt haben, um den umfangreichen Fragebogen der Behörde innerhalb der gesetzten Frist beantworten zu können. Auch in Zukunft ist mit solchen Prüfungen der Behörde zu rechnen. Dies auch vor dem Hintergrund, als sie womöglich mehr Kapazitäten durch Wegfall der Registrierungspflicht von Datenanwendungen und der Genehmigungspflicht für den internationalen Datenverkehr dafür bereitstellen wird können.
Für die Vorbereitung auf die DSGVO und solche Prüfungen ist es zentral, sich einen Überblick über die im Unternehmen betriebenen Anwendungen und die darin gespeicherten Kategorien personenbezogener Daten zu verschaffen, und zwar auch über solche, die nicht über die IT-Abteilung des Unternehmens betreut werden. Auch Word- und Excel-Dateien können hier schon für die DSGVO relevante Datenanwendungen enthalten. Ebenso betrifft dies Cloud-Dienstleistungen, derer sich Mitarbeiter bedienen, wovon die Unternehmensleitung vielleicht gar nichts weiß.
Report: Wie klein muss ein Unternehmen sein, dass es von diesem Datenschutzregelwerk nicht betroffen ist?
Trieb: Danke für diese Frage: Man kann leider gar nicht klein genug sein. So gut wie alle Anforderungen der Datenschutzgrundverordnung an die Verarbeitung personenbezogener Daten gelten für Unternehmen jeder Größenordnung.
Ingrid Schaumüller-Bichl, FH OÖ: Informationssicherheit und Datenschutz sollten generell zentrale Themen in allen Unternehmen sein. In Fachkreisen ist das seit vielen Jahren eine wichtige Forderung, seit einigen Jahren ist das Thema nun auch in den Fokus des öffentlichen Interesses gerückt. Ein wichtiger Beitrag dazu sind die drei aktuellen großen Gesetzesinitiativen auf EU-Ebene: die Datenschutz-Grundverordnung, die NIS-Richtlinie für den Schutz von kritischen Infrastrukturen sowie die eIDAS-Verordnung zur Regelung der elektronischen Identifizierung von Personen. Europa setzt hier hohe Standards, und das ist eine Stärke, die wir uns zunutze machen sollten, auch im Sinne einer europäischen Sicherheitsindustrie.
Insbesondere die DSGVO ist eine Chance für Unternehmen, den Umgang mit Daten neu zu überdenken. Es gilt nun, ein Informationsmanagement in den Fokus zu rücken, Prozesse neu und strukturiert aufzusetzen und zu schützen. Dazu ist auch eine ganzheitliche Betrachtung nötig. Informationssicherheit und Datenschutz gehen Hand in Hand, auch mit der Resilienz von IT-Infrastruktur.
Report: Wenn Daten das neue Öl in unserer Wirtschaft sind – wie weit können wir IT-Anbietern hierbei vertrauen?
Schaumüller-Bichl: Vertrauen ist eine ganz wesentliche Grundlage für erfolgreiche Geschäftsbeziehungen. Es ist daher wichtig, von vornherein vertrauenswürdige Anbieter auszuwählen. Es muss klare Geschäftsbedingungen geben, und es muss insbesondere umfassende Sicherheitskonzepte und verständliche Daten-schutzerklärungen geben. So muss beispielsweise sichergestellt sein, dass Daten nur bei Cloud-Anbietern gehostet sind, die Datenschutz nach EU-Recht auch tatsächlich garantieren.
Ganz wichtig ist dabei, dass ich mich als Kunde überzeugen kann, dass das Thema Datenschutz und Informationssicherheit im Unternehmen auch gelebt und umgesetzt wird. Hier helfen insbesondere auch Zertifizierungen. Eine Zertifizierung ist eine neutrale Prüfung durch einen unabhängigen Dritten, und – ganz wichtig – sie erfolgt nach klar definierten, transparenten, einheitlichen Kriterien. Damit erhält man auch eine Vergleichbarkeit von Unternehmen oder Produkten.
Ein gutes Beispiel hierfür ist die Zertifizierung nach ISO/IEC 27001, wie sie von der OCG seit über drei Jahren angeboten wird. ISO/IEC 27001 etabliert einen weltweit einheitlichen Standard in der Informationssicherheit, ein Zertifikat in Australien oder Kanada sagt exakt das Gleiche aus wie ein Zertifikat in Österreich oder Deutschland. Wie erhalten damit auch so etwas wie eine einheitliche Sprache der Informationssicherheit.
Eine Zertifizierung ist keine Garantie für absolute Sicherheit – die gibt es leider nicht -, aber doch ein sehr starkes Zeichen, dass ich als Unternehmen das Thema ernst nehme und nach dem aktuellen Stand der Technik arbeite.
Report: Sind Zertifizierung und Gütesiegel auch etwas für kleinere Firmen?
Schaumüller-Bichl: Die angesprochene ISO/IEC 27001 wird vorwiegend von mittelgroßen und großen Organisationen eingesetzt, kann aber auch für kleinere Unternehmen durchaus sinnvoll sein, wenn sie entsprechend sicherheitsaffin sind. Es gibt eine Fülle an Zertifizierungen und Gütesiegeln, wobei man hier unbedingt auf Qualität und Vertrauenswürdigkeit achten sollte. Ein selbst ausgestelltes Zertifizierung hat sicherlich nicht den gleichen Wert wie ein nach international abgestimmten, definierten Regeln verliehenes, das auch einheitlich über alle Länder gehandhabt wird.
Die DSGVO sieht explizit einen möglichen Einsatz von Verhaltensregeln (Codes-of-Conduct), Datenschutzsiegeln und Zertifizierungen vor, hier ist in den nächsten Jahren mit einem starken Anstieg an Zertifizierungen auch bei kleineren Unternehmen zu rechnen. Natürlich verursacht eine Zertifizierung Aufwand und Kosten, aber ich denke, dass man den Großteil dieses Aufwands ohnehin treiben muss, um die Systeme sicher zu machen. Die Zertifizierung ist dann die Sicht von außen auf das Unternehmen und die Bestätigung durch einen neutralen Dritten, das ein branchenübliches und dem Unternehmen angemessenes Sicherheitsniveau erreicht wurde.
Report: Auf welche Herausforderungen treffen IT-Abteilungen in den Unternehmen heute?
Gerhard Raffling, Commvault: Die Herausforderungen sind vielfältig, beginnend mit einem exponentiell steigenden Datenwachstum. 90 % der Daten, die in Unternehmen gespeichert sind, sind in den letzten zwei Jahren entstanden. Zudem steigt die Komplexität der IT. Heute geht der Trend wieder in Richtung Konsolidierung.
In naher Zukunft werden nur mehr 40 % der Unternehmensdaten im eigenen Rechenzentrum liegen. Der Rest ist verteilt in der Cloud, SaaS oder etwa den mobilen Endgeräten. Auch wir bei Commvault merken das: Die Daten, die von und auf Cloud-Plattformen gemanagt werden, steigen um ein bis drei Petabyte – monatlich. Durch die Vorteile, die man daraus nutzen möchte, steigt auch die Komplexität. Ohne übergreifenden Managementlayer verliert man rasch den Überblick, der auch bei Datenschutzfragen notwendig ist. Wir stellen sicher, dass Daten unabhängig davon, wo sie sich befinden, transparent sind und sicher verarbeitet und abgelegt werden können.
Report: Wie sieht es in diesem Zusammenhang mit Big-Data-Lösungen aus?
Raffling: Die Unternehmen haben in letzter Zeit Unmengen an Daten gesammelt. Jetzt wollen die Fachabteilungen auch den erhofften Vorteil daraus generieren. IT-Abteilungen stehen der Herausforderung gegenüber, möglichst ein Optimum aus den Daten herauszuholen. Die DSGVO verlangt hier ein Umdenken, nämlich mit personenbezogenen Daten möglichst sparsam umzugehen, diese jedenfalls zu anonymisieren und nur so kurz wie notwendig zu speichern. Das erfordert neue Herangehensweisen.
Report: Wie ist Ihre Erfahrung beim Thema DSGVO bei Gesprächen mit Unternehmen?
Raffling: Praktisch jeder IT-Hersteller oder Dienstleister hat sein Lösungsportfolio auf die Datenschutzgrundverordnung ausgerichtet und bietet in einer mehr oder weniger großen Nische einen passenden Baustein. Aufgrund des bereits relativ strengen Datenschutzgesetzes in Österreich sehen wir die größeren Unternehmen, deren Kerngeschäft in Verbindung mit Endkunden steht – etwa Banken, Versicherungen und Telcos –, gut gerüstet und informiert. Mit den hohen Pönalen ist das Thema Datenschutz nun endgültig in der Geschäftsleitung angekommen. Ein Gefälle in der Awareness und Vorbereitung gibt es dann aber bereits zu mittelständischen Unternehmen.
Report: Gibt es eine einfache Lösung für eine transparente Datenspeicherung, die alle Regelwerke berücksichtigt?
Raffling: Speicherplatz ist günstig, daher wird in der Regel einfach alles in Unternehmen gespeichert und aufgehoben. Den wenigsten ist bewusst, wo alle ihre Daten liegen, und noch weniger sind in der Lage, diese auf Knopfdruck zu finden. Gerade im Zusammenhang mit Datenschutzanforderungen wird eine professionelle Datenklassifizierung – wie sind Daten entstanden, wo lege ich sie ab, wie lange muss ich Daten aufbewahren und, vor allem, wann muss ich sie löschen – immer wichtiger.
Wir legen mit unseren Lösungen einen einheitlichen Software-Layer über sämtliche Daten in allen Bereichen eines Unternehmens. Damit wird überhaupt auch ein nachhaltiges, im Idealfall auch automatisiertes Löschen von Daten möglich. Denn um Daten löschen zu können, muss man wissen, wo sie überall gespeichert liegen. Eine professionelle Enterprise-Search-Lösung ist dazu einfach die Voraussetzung.
Report: Wie sehen Sie die Haltung der österreichischen Unternehmen zu Cloud-Lösungen?
Johannes Brunner, Dimension Data: Wir sehen sehr wohl noch eine gewisse Skepsis der Unternehmen gegenüber Cloud-Diensten, insbesondere, da mit diesem Schlagwort auch schon viel Schindluder getrieben worden ist. Ich denke, dass hier immer noch auch Aufklärungsarbeit notwendig ist. Von der Agenda eines CIO her oder auch von den Anwendern in den Fachabteilungen sind aber sehr wohl flexiblere IT-Services gefragt. Mit der Freiheit der Nutzung von IT-Infrastruktur, Plattformen und Anwendungen als mietbarem Service – Stichwort Software-as-a-Service oder Platform-as-a-Service – wird die Datenverwaltung grundlegend komplexer. Gerade hybride IT-Umgebungen, in denen das lokale, eigene Rechenzentrum mit externen Cloud-Diensten verknüpft wird, verursachen komplexe Sicherheitsfragen. Je einfacher es für den Anwender wird, desto herausfordernder ist die Technik im Hintergrund. Beim Thema Cross-Cloud und bei den für die DSGVO notwendigen Risikoanalysen und Verarbeitungsverzeichnissen können wir den Unternehmen helfen.
Report: Wird in Zukunft die gesamte Workload in die Cloud wandern?
Brunner: Prognosen, unter anderem von IDC, sehen auch in Zukunft gut 40 % der IT weiterhin im lokalen Betrieb – zum Beispiel aus Compliance-Gründen oder aufgrund der Latency, der Reaktionszeiten bei Prozessen. Auf der anderen Seite wird den Unternehmen die Konsumation von Cloud-Diensten immer leichter gemacht. Einfach provisionierbare Dienste aus der Cloud bleiben somit weiterhin im Vormarsch. Es wird schlussendlich ein guter Mix aus beiden Welten sein.
Report: Wie kann Sicherheit und Verfügbarkeit bei Cloud-Diensten gewährleistet werden? Gibt es bestimmte Cloud-Anbieter, denen man auch als KMU eher vertrauen kann als anderen?
Brunner: Der Österreicher hat es immer noch gerne klassisch: Er möchte seinen Geschäftspartner auch persönlich kennenlernen und schätzt den Vor-Ort-Support. Cloud-Anbieter, die auch lokal agieren, haben hier einen wesentlichen Vorteil. Wichtig ist aber vor allem, zu wissen, wo Daten schlussendlich gespeichert werden. Seit 2015 gibt es mit der ISO 27018 ein Zertifikat, das ich im Detail damit beschäftigt, wie mit personenbezogenen Daten in einem IT-System umgegangen wird. Das betrifft beispielsweise auch eine Kündigung eines Cloud-Vertrages, wie Daten und Prozesse rückabgewickelt werden.
Report: Was ist Ihre persönliche Erfahrung, wie gut Unternehmen Bescheid wissen, welche Arten von Daten, sie gespeichert haben und auch welche Anwendungen im Einsatz sind?
Gerald Trieb: Bei Gesprächen mit IT-Mitarbeitern in Unternehmen zeigt sich oft, dass bereits Erhebungen im Unternehmen durchgeführt wurden und auch eine gewisse Sensibilität für Datenschutzthemen herrscht. Viele Unternehmen stoßen aber erst jetzt bei Befassen mit der DSGVO auf ihre Versäumnisse der letzten zwanzig Jahre. Damit ist nicht nur die Meldepflicht im Datenverarbeitungsregister angesprochen, sondern auch die grundlegende Compliance bei der Datenverarbeitung. Man darf nicht übersehen, dass die neue Verordnung zwar neue Anforderungen und hohe Strafen kennt, das Datenschutzrecht aber nicht neu erfindet. Vieles, was Unternehmen in Vorbereitung auf die Verordnung in ihren Anwendungen ändern, wäre auch aufgrund des bestehenden Datenschutzrechts erforderlich.
Oft vermisse ich auch das Verständnis, dass das Datenschutzrecht auch zu einem Gutteil Regelungen zur Zulässigkeit der Datenverarbeitung enthält. Es braucht daher nicht nur als Hemmnis gesehen werden, man muss sich nur seiner Mechanismen bedienen können. Gerade das Datenschutzrecht liefert die erforderlichen Rechtsgrundlagen für Unternehmen, um personenbezogene Daten rechtmäßig verwenden zu dürfen– sei es aufgrund einer gesetzlichen Verpflichtung oder Ermächtigung, legitimen Interessen an der Datenverarbeitung oder aufgrund einer Einwilligungserklärung der betroffenen Personen. Diesbezüglich versuche ich bei Workshops und auch in Schulungen nicht nur die Sensibilität von Mitarbeitern und Führungskräften zu schärfen, sondern ihnen auch gewisse Unsicherheiten durch Vermittlung dieser Mechanismen, die das Datenschutzrecht liefert, bei der Datenverarbeitung zu nehmen.
Originaltöne zum Thema Datenschutz und IT-Services:
Wolfgang Fröhlich, Mitglied der Geschäftsleitung ANECON Software Design und Beratung
{youtube}XSekfzprKl8{/youtube}
Gerald Trieb, Rechtsanwalt und Partner Knyrim Trieb Rechtsanwälte
{youtube}l-9UYL6ZALc{/youtube}
Ingrid Schaumüller-Bichl, Leiterin Information Security Compliance Center der FH OÖ, Leiterin des OCG-Arbeitskreises IT-Security
{youtube}Btv8WL0D5IY{/youtube}
Gerhard Raffling, Regional Director Central & Eastern Europe bei Commvault
{youtube}_4um90Pd4ms{/youtube}
Johannes Brunner, Head of Business Unit Data Center & Cloud bei Dimension Data
{youtube}Go8UofbEQE0{/youtube}
Fotos zum Gespräch: https://www.flickr.com/photos/award2008/albums/72157681286493936