Aktueller Channel Fokus:

Output Management

Security trotz Compliance-Vorschriften

Datenschutz und IT-Sicherheit sind kein Widerspruch

| Autor / Redakteur: Dr. Stefan Grotehans / Peter Schmitz

Die Abwägung zwischen IT-Sicherheit und Datenschutz scheint ein unmöglicher Balanceakt, dabei muss das nicht so sein.
Die Abwägung zwischen IT-Sicherheit und Datenschutz scheint ein unmöglicher Balanceakt, dabei muss das nicht so sein. (Bild: Pixabay / CC0)

Es ist eine paradoxe Situation: Auf der einen Seite stehen der Datenschutz und die zunehmende Bedrohungen durch Cyberkriminelle und Malware, auf der anderen Seite steht die Notwendigkeit sich gegenüber Kunden und Geschäftspartnern weiter als bisher zu öffnen. Die Abwägung zwischen IT-Sicherheit und Datenschutz scheint ein unmöglicher Balanceakt. Es gibt aber technische Mittel, mit denen sich dieser Widerspruch auflösen lässt.

Die Datenschutz-Grundverordnung (DSGVO) der EU tritt im nächsten Jahr in Kraft. Sie weitet die Rechte von Bürgern in Bezug auf den Schutz personenbezogener Daten aus und verpflichtet Unternehmen zu weitreichenden und nachweisbaren Vorkehrungen, um Datenschutzverletzungen a priori vorzubeugen. Bei Nichteinhaltung dieser Bestimmungen drohen empfindliche Strafen. Doch aktuellen Umfragen zufolge werden sehr viele deutschen Unternehmen die neuen EU-Datenschutzbestimmungen bis dahin noch nicht umgesetzt haben. Parallel ändert sich die IT-Welt und IT-Sicherheit. In den letzten Jahren stand hauptsächlich der Schutz von Unternehmensnetzwerken im Mittelpunkt. Und das hieß Abschottung der internen IT. Doch heute werden Daten vermehrt in die Cloud verlagert. Da diese alles andere als eine sichere Plattform ist, gilt es auch hier, Cloud-Lösungen abzusichern.

Doch ändern die zunehmende Vernetzung der Wirtschaft, moderne Anwendungen und das Internet der Dinge den Umgang mit Daten. Abschotten ist nicht. Firmen müssen Zulieferern und anderen Geschäftspartnern sowie den Kunden immer weitere Zugriffe auf Daten und Netzwerke geben. Nur so können sie einen besseren Kundendienst und eine höhere Produktivität gewährleisten. Dieser Zwang ist ein Antagonismus zu IT-Sicherheit und Datenschutzanforderungen. Unternehmen benötigen flexible Datensicherheit, um einen sicheren Austausch von Daten zu garantieren – und zwar nur den Informationen, die auch nach außen gehen dürfen. Eine große Herausforderung. Doch tatsächlich gibt es die technischen Mittel für drei Aspekte, mit denen sich der Widerspruch auflösen lässt – sowohl hinsichtlich Datenschutz als auch hinsichtlich IT-Sicherheit.

1. Aspekt: Verschlüsselung der Daten

Im Prinzip geht es immer um Informationen, die letztlich in Datenbanken liegen. Dafür benötigen Unternehmen ausgereifte Verschlüsselungsfunktionen. Es geht dabei nicht einfach um die Verschlüsselung von Datenbankinhalten und -Dateisysteme. Ebenso wichtig ist eine flexible und schnelle Schlüsselverwaltung, um Manipulationen des Verschlüsselungsprozesses vorzubeugen. Die Schlüssel müssen auch schneller verändert werden, als ein Hacker sie manipulieren kann. Durch die Trennung der Kontrolle und die Unterbindung von Informationsmanipulation auf allen Ebenen lässt sich die Systemsicherheit verbessern und den aktuellen Standards entsprechend anpassen.

2. Aspekt: Beschränkung der Datenzugriffe

Nicht einmal intern müssen vernetzte Unternehmen ihren Mitarbeitern umfassenden Zugriff auf ihre Netzwerke oder alle Daten gewähren. Immerhin sind Insider einer neuen Studie von Verizon zufolge für 25 Prozent aller Datenschutzverletzungen verantwortlich. Unternehmen müssen wissen, wer Zugriff auf welche Daten benötigt, und den Zugriff entsprechend beschränken. Hierfür ist eine granulare Zugriffskontrolle erforderlich. Ein Data Scientist beispielsweise benötigt möglicherweise Zugriff auf Daten zu klinischen Studien, nicht jedoch auf Namen von Patienten oder spezifische Studienergebnisse.

Die Möglichkeit, Daten durch IT-technisches Überschreiben zu “schwärzen“, bietet einen effizienten Schutz vor Datenschutzverletzungen. Bisher wurde diese Aufgabe häufig manuell durchgeführt. Dank neuer Datenbanktechnologien erfolgt das Schwärzen nach zuvor definierten Regeln automatisch, schnell und präzise. So lassen sich Daten anonymisieren, um sie auf sichere und intelligente Art und Weise teilen zu können. Diese Technik ändert nicht die eigentlichen Daten, sondern nur ihre Darstellung – und vor allem hält sie Datenschutzaudits stand.

3. Aspekt: Nachvollziehbarkeit der Datenhistorie

Um Daten nachzuverfolgen ist eine effiziente Data Governance sowie einfacher Zugriff auf Informationen zur Herkunft und zum zeitlichen Verlauf von Daten unabdingbar. Bisher gingen Metadaten zur Herkunft von Daten, zum Verlauf und zu Zugriffsberechtigungen im Rahmen der Transformation von Daten zwischen Silos häufig verloren, da sie entweder als unwichtig eingestuft wurden oder einfach nicht in die vordefinierten Schemen passten. Neue Datenbanktechnologien machen es möglich, unbegrenzte Mengen von Metadaten zu erfassen und unabhängig vom Schema in einer sicheren Datenbank zu speichern.

Dadurch lässt sich der Verlauf von Daten problemlos nachverfolgen. Dies ist von entscheidender Bedeutung; denn wenn man nicht weiß, woher Daten stammen, wann, wie und von wem sie erfasst beziehungsweise geändert wurden, kann man ihnen grundsätzlich nicht vertrauen. Wenn es ein Problem mit Produkten oder Dienstleistungen gibt, muss es nachvollziehbar sein, woran das liegt.

Compliance und mehr

Die EU-Datenschutz-Grundverordnung ist eine umfassende, potenziell disruptive Verordnung. Aktuelle Vorkommnisse lassen vermuten, US-Präsident Donald Trump und seine Regierung mögen einen anderen Ansatz für Datensicherheit und Verbraucherdatenschutz verfolgen als die EU. Für die IT-Anbieter ändert das nichts; denn die örtlichen gesetzlichen Gegebenheiten sind zu befolgen.

Der ebenso wichtige Faktor sind ohnehin die Kunden. Sie werden Unternehmen, die ihr Vertrauen verlieren, verstärkt zur Rechenschaft ziehen, sei es in Form von Gerichtsverfahren, oder indem sie sich Mitbewerbern zuwenden. Unternehmen, die Daten angemessen schützen und gleichzeitig sicherstellen, dass befugte Benutzer Zugriff auf die erforderlichen Daten erhalten, sind auf der Höhe der Anforderungen von Regulierungsbehörden und der technischen Möglichkeiten zum Selbstschutz.

Über den Autor: Dr. Stefan Grotehans ist Director Sales Engineering DACH bei MarkLogic.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44969288 / Security)