IT Sicherheit, EU Datenschutz Grundverordnung und undurchsichtiges Nutzerverhalten – Stolperfallen für den Mittelstand?

Mitte Oktober fand in Nürnberg die it-sa statt. Mit zwei Messehallen und einem angeschlossenen Kongress zählt sie zu den wichtigsten Branchen-Events der IT Sicherheits-Szene in Europa. Im internationalen Vergleich handelt es sich eher um eine kleine Veranstaltung. Wie auch generell das Bewusstsein für IT Sicherheit in Europa eher gering ist. Hinzu kommt, dass dieser sehr speziellen Experten-Szene jegliche Art von Diversität fehlt. Gleichzeitig versucht man, Lösungen für die breite Masse der Nutzer zu finden – und den stricken EU Datenschutz zu berücksichtigen, verstärkt durch die neue Datenschutz-Grundverordnung ab Mai 2018.

 

digitale Ausbreitung
Bild: fotogestoeber, Adobe Stock

 

Wer sich mit dem Thema IT Sicherheit bisher nur am Rande beschäftigt hat, wird sich jetzt fragen: „Was haben Datenschutz und Nutzerverhalten mit IT Sicherheit zu tun?“ Viele Anwender kennen noch die typische Firewall, einmal installierte Sicherheits-Software, um die sich der Nutzer nie wieder kümmern muss. Es sei denn, es stehen Updates an oder die nächste Jahresgebühr wird fällig. Diese gefühlte Rundum-sorglos-Lösung reicht meist schon für Privat-Anwender nicht mehr aus. In Unternehmen werden längst dynamische Sicherheits-Konzepte benötigt, um unterschiedlichste Infrastruktur-Architekturen und Geräte einigermaßen abzusichern und zu bemerken, wenn Teile der IT angegriffen oder ausgespäht werden.

Um einen guten Überblick über ein Netzwerk zu erhalten, müssen zwangsläufig Daten aufgezeichnet werden. Gar nicht, weil es interessant wäre zu wissen, wer wann an welchem PC oder welcher Maschine was genau getan hat. Sondern vielmehr, um den Normalzustand festzustellen und bei abweichenden Verhaltensweisen nachzuforschen, ob es sich um einen Angriff von innen oder außen, oder etwa eine Nutzerverhaltens-Änderung handelt.

Hier kommt der Datenschutz ins Spiel. Datenmitschnitte zu Sicherheits-Zwecken erreichen recht bald das Gebiet der Personen- und Arbeitsleistungsbezogenen Daten. So manchem Mitarbeiter und Betriebsrat wird da mulmig. Dem IT Sicherheits-Beauftragten allerdings auch, wenn Sicherheits-Vorkehrungen aufgrund von Datenschutz-Vorgaben nicht umgesetzt werden können. Weitaus komplexer wird die ganze Sache, wenn im betreffenden Unternehmen wiederum digitale Anwendungen programmiert werden.

In anderen Teilen der Welt arbeiten Software-Anbieter bereits fieberhaft daran, Machine Learning und Artificial Intelligence im Bereich IT Sicherheit sinnvoll zu nutzen. Das spart am Ende Zeit und Geld und führt zu einem zeitnah sichereren Netzwerk. Allerdings nur, wenn die Datengrundlage uneingeschränkt genutzt werden darf und wenig fehlerhaft oder lückenhaft ist. Hier wird ganz deutlich sichtbar, dass das Feld komplett ausländischen Startups und globalen Software-Anbietern überlassen wird. Zu groß ist die Komplexität aufgrund der Gesetzgebung und die Angst, das eigene Geschäftsmodell wegen der aktuellen Datenschutz-Diskussion innerhalb der EU nicht verkaufen zu können.

An dieser Situation können sich in Unternehmen regelrechte Kämpfe pro und contra Digitalisierung entfachen. Denn jede Digitalisierungs-Strategie schließt gleichzeitig eine Datenschutz- und IT Sicherheits-Strategie ein. Eigentlich wäre es gerade hier notwendig, sich skalierbare Systeme zu Nutze zu machen. Da es nie genügend Fachkräfte geben wird, um jedes Unternehmen mit einem jederzet verfügbaren Sicherheits-Team auszustatten. Je mehr digital verknüpfte Produkte und Dienstleistungen angeboten werde, desto mehr müssen aber gerade mittelständische Unternehmen in diesem Bereich ihre IT Abteilung aufrüsten.

Wie sollen mittelständische Unternehmen, dieses komplexe Thema angehen? Nach meiner persönlichen Erfahrung macht es Sinn, zunächst von der aktuellen bzw. zukünftigen Datenschutz-Gesetzgebung auszugehen, ein schlüssiges Konzept zu entwickeln und die Mitarbeiter mitzunehmen. Das bedeutet zum einen eine technische Strategie, zum anderen aber auch eine Kommunikations-Strategie, um alle Mitarbeiter auf dem aktuellen Stand zu halten und stetig weiterzubilden. Es gibt bereits gute Vorbilder, wo Management und Unternehmer-Vertreter sich auf eine Sicherheits- und Datenschutz-Strategie geeinigt haben, mit der auch die Mitarbeiter-Vertreter zufrieden sind. Miteinander reden kann also helfen. Und dann bleibt ja noch die Hoffnung auf eine Gesetzes-Änderung.

 

Sie möchten mehr zum Thema Digitale Transformation erfahren? Jetzt den Digitalisierung jetzt! Newsletter abonnieren oder die Facebook-Seite liken! Sie benötigen Unterstützung bei der Digitalisierung Ihrer Unternehmens-Prozesse? Hier geht es zu meiner Business-Website.

Kommentar verfassen