18. Januar 2010 - Datenschutzkontrolle

Wie Sicherheitsexperten den Datenschutz gefährden

Unternehmen, die einen IT-Sicherheitsverantwortlichen haben, glauben das Thema Datensicherheit in trockenen Tüchern zu haben. Doch manchmal werden sogar die eigenen Sicherheitsexperten zum Datenrisiko, ohne sich dessen bewusst zu sein. Sprechen Sie deshalb mit dem IT-Sicherheitsbeauftragten und sorgen Sie für ein gemeinsames Fundament im Datenschutz.

wie-sicherheitsexperten-den-datenschutz-gefahrden-konnen.jpeg
Sprechen Sie mit Ihrem IT-Sicherheitsbeauftragten (Bild: Thinkstock)

Auf der großen politischen Bühne kommt es hin und wieder zu Meinungsverschiedenheiten zwischen Sicherheitsbehörden und Datenschutzbeauftragten. Das ist in den Unternehmen nicht anders.

Datenschutz und IT-Sicherheit: Keine feindlichen Brüder

Aus Sicht der IT-Sicherheit erscheinen manche Auswertungen und Überwachungsfunktionen unerlässlich, während der Datenschutzbeauftragte vor einem anlasslosen, massenhaften Screening der Mitarbeiteraktivitäten warnt.

Aber es gibt noch eine ganz andere Herausforderung in der unbedingt notwendigen Zusammenarbeit von IT-Sicherheit und Datenschutz.

Sicherheitsexperten könnten für Unsicherheit sorgen

Tatsächlich kann es erforderlich sein, dass Sie als Datenschutzbeauftragter mit dem Verantwortlichen für die IT-Sicherheit über ein ungewöhnliches Datenrisiko sprechen: über den IT-Sicherheitsbeauftragten selbst.

Aktuelle Untersuchungen zeigen, dass die eigenen Sicherheitsexperten in einem Unternehmen zur Gefahrenquelle werden könnten, und zwar ohne Vorsatz oder bösen Willen.

Download: Checkliste Briefing für den IT-Sicherheitsbeuftragten
Suchen Sie das Gespräch mit dem IT-Sicherheitsbeauftragten in Ihrem Unternehmen. Die Checkliste kann Ihnen dabei als Leitlinie dienen.

Unklare Signale nach oben

In der ersten Dezemberhälfte 2009 hat das Sicherheitsunternehmen RSA in der Studie  „Bridging the CISO-CEO Divide“ die Ergebnisse einer internationalen Befragung von IT-Sicherheitsverantwortlichen (Information Security Officers, CISO) und den Geschäftsführern (CEO) führender internationaler Unternehmen veröffentlicht.

Interessant dabei ist insbesondere, dass die Geschäftsleitung nicht nur aus Unwissenheit eine unvollständige Perspektive auf IT-Sicherheit und Datensicherheit haben könnte.

Unter Umständen trübt der IT-Sicherheitsverantwortliche des Unternehmens zusätzlich die Sicht auf die Themen Datensicherheit und IT-Sicherheit, ohne es zu wollen. So sind die Kommunikation und Abstimmung zwischen IT-Sicherheit und Geschäftsleitung oftmals gestört durch

  • viel zu detaillierte Informationen über technische Feinheiten, die viel Zeit in Anspruch nehmen und die Geschäftsführung eher verwirren als aufklären,
  • Hiobsbotschaften über die neuesten Online-Gefahren, ohne einen echten Bezug zur Situation des eigenen Unternehmens herzustellen,
  • mangelnde Erklärung der technischen Zusammenhänge an den Stellen, auf die es ankommt,
  • rein problemorientierte Sicherheitsberichte, ohne echte Lösungen aufzuzeigen, und
  • Sicherheitsrichtlinien, die unverständlich und umständlich sind und deren Ausführung eher den Betrieb lahm legt als die Sicherheit zu steigern.

Falscher Stellenwert für die IT-Sicherheit

So bekommen Datensicherheit und IT-Sicherheit letztlich doch nicht den richtigen Stellenwert, obwohl deren Bedeutung immer wieder betont wurde. Vielmehr wird das Thema IT-Sicherheit in den Augen der Geschäftsleitung mitunter unverständlich, lästig und die Produktivität hemmend.

Aber nicht nur die Kommunikation mit der Geschäftsleitung läuft bei manchem IT-Sicherheitsbeauftragten nicht ideal und gefährdet so auch die Bemühungen um mehr Datenschutz und Datensicherheit.

Kein gutes Beispiel für andere

So zeigte eine Studie von Credant Technologies im Sommer 2009, dass 35 Prozent der über 200 befragten IT-Sicherheitsexperten selbst bei dem Schutz ihrer Daten auf Smartphones schlampen:

Sie hatten für ihr Smartphone kein Passwort vergeben, obwohl sie vielfach das Smartphone als Datentresor eingesetzt hatten. Auf den ungeschützten Smartphones hatten verschiedene IT-Sicherheitsexperten vertrauliche, personenbezogene Daten gespeichert wie Namen und Adressen von Geschäftskontakten, Namen und Adressen von privaten Kontakten, E-Mails, Kontoinformationen, Kalenderdaten, Kreditkarteninformationen bis hin zu Passwortangaben für das firmeninterne Netzwerk und andere sicherheitsrelevante Bereiche.

Damit erwiesen sich diese Experten für IT-Sicherheit nicht nur als schlechtes Beispiel, sondern als echtes Datenrisiko.

Ungeschützte Smartphones sind nicht das einzige Problem

Untersuchungen anderer Institute und Forscher zeigten, dass sich die Sicherheitsvergehen der unternehmensinternen IT-Sicherheitsexperten auch in ganz anderen Bereichen zeigen können wie den Firewalleinstellungen oder bei WLAN.

Suchen Sie das kollegiale Gespräch

Mitunter siegt also die Bequemlichkeit selbst bei denjenigen, die um die Bedeutung der IT-Sicherheit und Datensicherheit bestens Bescheid wissen sollten. Oder sie wissen so gut über IT-Sicherheit Bescheid, dass sie es kaum noch an die Geschäftsleitung und die Mitarbeiter vermitteln können.

Hier können Sie als Datenschutzbeauftragter gegensteuern, wenn Sie diplomatisch geschickt und ohne belehrenden Zeigefinger über die Studienergebnisse berichten und den IT-Sicherheitsverantwortlichen in Ihrem Unternehmen zu den typischen Schwachstellen hinführen.

Sie müssen es ja nicht direkt als Datenschutz-Schulung bezeichnen, sondern als kollegialen Austausch zwischen Datenschutz und IT-Sicherheit. Dann gibt es keine Empfindlichkeiten, sondern ein Plus an Datensicherheit!

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

 

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln