- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

DSGVO im Fokus der IT-Sicherheitsbranche

IT-Sicherheitskonferenzen wie die Internet Security Days 2018 zählen die Datenschutz-Grundverordnung (DSGVO) zu den Top-Themen für die Security-Branche. Das verdeutlicht, wie wichtig der Datenschutz für das Geschäft der IT-Sicherheitsanbieter geworden ist. Aber auch, dass zielgerichtete Unterstützung für den Datenschutz zu erwarten ist.

IT-Sicherheit und DSGVO sind eng verknüpft

Der Datenschutz ist mit Maßnahmen der Datensicherheit [1] und IT-Sicherheitsmaßnahmen [2] umzusetzen und zu gewährleisten. Das zeigt ein Blick in die Datenschutz-Grundverordnung [3] (DSGVO).

Artikel 32 [4] fordert explizit Maßnahmen für die Sicherheit der Verarbeitung, für die IT-Sicherheitslösungen für die Verschlüsselung [5] erforderlich sind.

Teilnehmer von IT-Sicherheitskonferenzen wie den Internet Security Days (ISD) 2018 [6] müssen nicht lange suchen, um auf die DSGVO zu stoßen. Für die IT-Sicherheitsbranche ist die DSGVO ein wichtiges Argument, um Produkte und Services auf dem Markt erfolgreich zu platzieren.

Doch das Thema reicht weit über die IT-Sicherheitsindustrie hinaus. Kaum ein Agenda-Punkt der ISD 2018 hatte keinen Bezug zur DSGVO, entweder direkt oder indirekt.

Für Datenschützer ist dies ein wichtiges Signal: Die IT-Sicherheit und der Datenschutz können und werden noch stärker als bisher zusammenarbeiten.

Nicht ohne Grund waren es diese Worte, mit denen eco-Vorstand Prof. Norbert Pohlmann die Internet Security Days 2018 eröffnete: „Vertrauen in die IT- und Daten-Sicherheit sind wichtige Voraussetzungen dafür, dass die digitale Transformation gelingt.“

Beispiel: IT-Forensik

Auf die Frage, ob IT-Forensik für jedes Unternehmen eine Rolle spielt, sagte der ISD-Referent Martin Wundram von DigiTrace:

„Nur wer komplett offline ist, kommt ohne IT-Forensik aus. Denn egal ob PC, Mobiltelefon [7], smarte Home- oder Industrie-Steuerungsanlage oder vernetzter PKW [8]: Systeme wurden und werden leider immer wieder manipuliert, missbräuchlich verwendet, angegriffen und ausgespäht.

Aus unternehmerischer Sicht gibt es oft sogar die Pflicht (z.B. Dokumentationspflicht nach Art. 33 DSGVO [9]), Vorfälle zu untersuchen, beziehungsweise mindestens zu dokumentieren. IT-Forensiker können dabei kompetent unterstützen, weil sie Hergänge oft aufklären und routiniert z.B. Berichte sowie Gutachten erstellen können.“

Beispiel: Security by Design und Privacy by Design

Als Keynote-Speaker der ISD 2018 war Krypto-Experte Dr. Karsten Nohl eingeladen, der über die Herausforderung sprach, IT-Sicherheit in Lösungen einzubauen: „Legacy-Anwendungen sind in IT-Projekten praktisch unvermeidbar. Sie machen es uns schwer, Security by Design zu schaffen“, sagte Dr. Nohl.

Da in vielen IT-Projekten auf bestehende IT-Bestandteile zurückgegriffen wird, sind auch neue IT-Lösungen von Schwachstellen und Sicherheitslücken betroffen. Das gilt nicht nur für Security by Design, sondern auch für Privacy by Design.

Sowohl IT-Sicherheit als auch Datenschutz haben immer an „Altlasten“ zu denken, wenn scheinbar neue Lösungen eingesetzt werden. Werden Module aus anderen Lösungen verwendet, was zum Alltag in IT-Projekten gehört, werden Datenschutz- und Sicherheitsprobleme ebenfalls übernommen.

Datenschutz als zweitwichtigstes IT-Sicherheitsthema

Die Vorträge und Diskussionen auf den ISD 2018 gingen konkret auf die DSGVO ein, darunter

Somit lässt sich festhalten, dass die IT-Sicherheit nicht nur einen besonderen Stellenwert für den Datenschutz hat. Auch umgekehrt misst die IT-Sicherheit dem Datenschutz eine hohe Bedeutung zu.

Die Umfrage IT-Sicherheit 2018 des Verbands der Internetwirtschaft beleuchtete auch, welche Themen für die IT-Sicherheit sehr wichtig sind:

Als Treiber für Veränderungen in der IT-Sicherheit ist Datenschutz auf Platz 3, hinter Cyberkriminalität und Cloud Computing [13].

Ohne die eigenen Schutzziele aus den Augen zu verlieren, macht eine Zusammenarbeit zwischen IT-Sicherheit und Datenschutz noch mehr Sinn als früher.

Wichtige Themen für die IT-Sicherheit wie Mitarbeitersensibilisierung, Notfallplanung, Abwehr von Cyber-Attacken und Cyber Crime sowie Cloud Computing betreffen immer auch den Datenschutz.

Ohne IT-Sicherheit geht kein moderner Datenschutz, aber ohne Datenschutz geht auch keine rechtskonforme IT-Sicherheit.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.