Sortieren kommt vor digitalisieren Die Straßenverkehrsordnung der Daten

Von Sylvia Lösel

Daten sind ein wertvolles Gut. Wie kann man sie verwerten? Welche Leitplanken müssen beachtet werden? Eva-Maria Scheiter, Head of GRC Consulting bei NTT Data über die Verkehrsregeln.

Anbieter zum Thema

Verkehrsregeln sind auch bei Datenströmen wichtig. Umso mehr, will man die Daten gewinnbringend weiterverwerten.
Verkehrsregeln sind auch bei Datenströmen wichtig. Umso mehr, will man die Daten gewinnbringend weiterverwerten.
(Bild: candy1812 - stock.adobe.com)

Transformation und Digitalisierung stehen bei vielen gerade im Fokus. „Diese Prozesse haben eine Wucht. Aber bevor man sich daran machen kann, hat man zuvor noch ein anderes Thema zu lösen“, beschreibt Eva-Maria Scheiter die Herausforderung. vor der viele gerade stehen. Denn die Fragen, die es zu klären gilt sind: Wo habe ich denn meine Daten überhaupt? Weiß ich denn, von welcher Datenlokation ich sie wohin transferiere? Sind die Daten flüchtig, oder dauerhaft gespeichert? Sind es personenbezogene oder Rechnungslegungs-relevante Daten? „Das ist den Unternehmen oft alles gar nicht klar“, so Scheiter. Doch diese Fragen zu beantworten, ist die Voraussetzung, um ein Unternehmen erfolgreich digitalisieren oder transformieren zu können.

Welche Schutzbedürftigkeit haben meine Daten?

Eva-Maria Scheiter, Head of GRC Consulting bei NTT Data DACH
Eva-Maria Scheiter, Head of GRC Consulting bei NTT Data DACH
(Bild: NTT)

Im ersten Schritt spiele es daher erst einmal keine Rolle, ob die Daten On-Premises oder in der Cloud liegen, oder ob es eine hybride Datenhaltung gibt. Sondern es gilt die „Leitplanken zu definieren“, empfiehlt die Compliance-Expertin. „Nach welchen Regeln sollen Daten verarbeitet werden? Es gilt, die Methodik zu definieren und die Kriterien für die Schutzbedürftigkeit der Daten.“ Im besten Fall gibt es bereits eine Data-Governance-Struktur. „Darin ist definiert, wer für die Daten verantwortlich ist und wann die Verantwortung vom einen zum anderen übergeht.“

Die Vorgehensweise:

  • Identifikation der Daten
  • Identifikation Lokation und Datenflüsse
  • Struktur- und Abhängigkeitsanalyse
  • Definition des Schutzbedürftigkeits-Level

Zudem muss man sich einen Überblick verschaffen, welche Daten oder Geschäftsprozesse sekundäre Assets nutzen (Strukturanalyse). „Im Rahmen der sich daran anschließenden Assetbewertung gibt eine gewisse Vererbungslogik. Die Daten definieren hier die Schutzbedürftigkeit der Anwendung und die Anwendung die der Systeme, auf denen diese laufen“ Zum Beispiel sind personenbezogene Daten hoch schutzbedürftig, ungeachtet dessen wo sie liegen. Hat man aber personenbezogene Daten, die in einem „unsicheren“ Drittland verarbeitet werden, gelten zusätzliche Schutzanforderungen. „Daraus resultieren dann Schutzmaßnahmen – und die unterschieden sich jetzt tatsächlich, je nachdem ob man in der Cloud oder On-Premises arbeitet.“ Wenn beispielsweise der eigene Server ausfällt, muss man diesen wieder hochfahren, instandsetzen, oder ähnliches. In der Cloud bildet man dies über Code ab und fährt die Services wieder hoch.

Ergänzendes zum Thema
Compliance und Awareness

Hendrik Flierman, Head of Global Sales bei G Data
Hendrik Flierman, Head of Global Sales bei G Data
( Bild: G Data )

„Durch Ransomware-Angriffe ist die Aufmerksamkeit für Datensicherheit gestiegen. Es hat nur leider nicht immer die Konsequenz, die man sich wünschen würde. Der Glaube ist noch immer verbreitet, mich trifft das nicht. Man ist sensibilisiert, man hat sensibilisiert, aber Menschen vergessen auch wieder ganz gerne“, schätzt Eva-Maria Scheiter, Head of GRC Consulting, die Awareness-Lage ein. Damit genau das nicht passiert, gibt es inzwischen einige Awareness-Trainingsangebote. Sowie Securepoint seit kurzem in Zusammenarbeit mit SoSafe Security-Trainings anbietet, um Mitarbeiter zu sensibilisieren, ist G Data schon länger in diesem Umfeld unterwegs. Denn „gerade für mittelständische Unternehmen sind Mitarbeiter-Trainings essentiell“, weiß Hendrik Flierman, Head of Global Sales bei G Data. Und das Interesse ist groß. Deshalb weitet der Anbieter sein Trainingsangebot nun unter anderem auf Compliance-Themen aus.

Es gibt immer Ungenauigkeiten

Hat man all diese Hürden genommen, geht es daran den Daten-Lebenszyklus zu folgen. Das heißt, eine Risikoanalyse durchzuführen und die notwendigen Maßnahmen zu identifizieren. Wird zu einem Datensatz etwas hinzugefügt, beginnt der Lebenszyklus von vorne. Wird der Datensatz an einen anderen übergeben, der etwas hinzufügt, dann geht auch die Verantwortung an diesen über. „Diese Regeln sind wie eine Straßenverkehrsordnung. Wenn ich ein bestimmtes Schild sehe, weiß ich, was zu tun ist. Ich habe bislang kein Unternehmen kennengelernt, das einen kompletten, vollständig transparenten Überblick über alle Datenflüsse hatte. Es gibt immer Ungenauigkeiten. Manche Firmen sind besser vorbereitet als andere, aber das ist unabhängig von der Unternehmensgröße“, beschreibt Scheiter die aktuelle Lage nicht gerade in den rosigsten Tönen.

Newsletter

Ihre täglichen News aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wie bekomme ich eine gute Datenqualität?

Ein weiteres Thema, ist die Nutzung von Daten für Mehrwert-Dienstleistungen. Die Schwierigkeit ist, eine gute Datenqualität herzustellen, wenn Daten aus unterschiedlichen Quellen kommen. „Da entstehen intransparente, redundante oder widersprüchliche Daten-Pools. Da muss man erst einmal aufräumen, bevor man sich Gedanken machen kann, welche Services möglich sind.“ Bevor die Daten genutzt werden können muss auch geklärt sein, zu welchem Zweck sie erhoben wurden und ob man sie mit einspielen darf. Dafür gibt es klare Compliance-Richtlinien und man muss beispielsweise ein Anonymisierungs-Konzept erarbeiten. Auch wenn das alles ein wenig kompliziert klingt, macht Scheiter deutlich: „Datenschutz muss kein Verhinderer sein, sondern ein Möglichmacher. Man muss wissen in welchen Leitplanken man sich mit welcher Geschwindigkeit bewegen kann. Im besten Fall macht man seine Hausaufgaben und hat freie Fahrt.

(ID:48051892)