Production Perig - stock.adobe.c

Datenschutzdilemma: Genervte Nutzer und besorgte Firmen

Unternehmen stehen vor einem großen Dilemma: Während die Relevanz von Datenschutz und -sicherheit stetig zunimmt, sind die Menschen, die täglich damit jonglieren, eher genervt.

Ob an der Arbeit am PC, zwischendurch mit dem Smartphone oder abends auf dem Sofa mit dem Tablet: Auch in Deutschland verbringen die Menschen inzwischen einen nicht unerheblichen Teil ihrer Zeit im Internet – laut ARD/ZDF-Onlinestudie (PDF) im Schnitt sogar mehr als zweieinhalb Stunden pro Tag. Das Thema Datenschutz kommt dabei oft zu kurz. Ein Grund dafür liegt in den viel zu komplizierten Datenschutzerklärungen, wie eine repräsentative Studie (PDF) des Instituts für Demoskopie Allensbach belegt. Hier gaben mit 73 Prozent fast drei Viertel der Befragten an, diese nicht zu lesen, bevor sie sich für einen Internetdienst anmelden. Das Problem: Dienste wie WhatsApp, Instagram oder Google sind für den Großteil der Menschen längst unverzichtbar geworden. Sich mit den Datenschutzbestimmungen auseinanderzusetzen, wird daher als zwecklos empfunden – um Apps wie diese nutzen zu können, müsse man letzten Endes ohnehin zustimmen.

Ähnlich ernüchternd sind die Ergebnisse einer Befragung, die das Meinungsforschungsinstitut YouGov im Auftrag der beiden Onlinedienste GMX und Web.de zum Thema DSGVO (Datenschutz-Grundverordnung) durchgeführt hat: Seit dem unmittelbar Wirksamwerden der Verordnung im Mai 2018 haben Verbraucher ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Zwei Drittel der Umfrageteilnehmer gaben allerdings an, dies noch nie in Anspruch genommen zu haben und nur vier von zehn haben das Gefühl, dass sich der Schutz ihrer Daten seitdem tatsächlich verbessert habe. Stattdessen ist rund die Hälfte davon genervt, online ständig den Cookie-Bestimmungen der besuchten Seiten zustimmen zu müssen.

Zwischen Wunsch und Wirklichkeit

Im Privaten mag die Abneigung, die Menschen im Hinblick auf das Thema Datenschutz verspüren, nachvollziehbar erscheinen. Unternehmen bringt dieser nachlässige Umgang mit sensiblen Informationen allerdings mehr und mehr in die Bredouille. Denn während die Komplexität ihrer IT-Infrastrukturen zunimmt, wächst auch die Angriffsfläche, die Hacker sich immer öfter zunutze machen. Nicht nur die Anzahl der Cyberattacken steigt, auch die Methoden werden immer professioneller. Das hat laut einer IDC-Umfrage dazu geführt, dass im vergangenen Jahr 54 Prozent der Organisationen innerhalb Europas einen Anstieg der Angriffe auf ihre Netzwerke verzeichneten.

Vor allem die Ausbreitung sogenannter „Schattendaten“ ist ein Problem. Diese entstehen in weit verzweigten Ökosystemen ganz automatisch, beispielsweise indem sie kopiert oder verschoben werden. Die Wahrnehmungslücke, der Unternehmen davon abhält, ihre Daten richtig zu schützen, wächst jeden Tag. Denn: Was du nicht kennst, kannst du nicht beschützen. Die Umfrage hat ergeben, dass Tools zur automatisierten Erkennung und Klassifizierung von Daten bisher erst bei einem Fünftel im Einsatz sind. Das lässt vermuten, dass der Bedarf, zu verstehen, welche sensiblen Daten sich wo befinden, immens ist – gleichzeitig gaben jedoch 42 Prozent der Befragten an, dass sie sicher oder sogar sehr sicher seien, dass ihr Unternehmen in der Lage sei, bekannte und unbekannte Daten in der öffentlichen Cloud zu erkennen und zu klassifizieren. Weitere 45 Prozent gaben an, in dieser Hinsicht zumindest einigermaßen zuversichtlich zu sein. Die Diskrepanz zwischen Soll- und Ist-Zustand ist demnach gewaltig.

Sicherheit kann nur gemeinsam funktionieren

Im übertragenen Sinn lassen sich Daten mit Erdgas vergleichen: Mit dem Rohstoff lassen sich nicht nur Häuser heizen, er kann außerdem dazu verwendet werden, Strom zu erzeugen oder Fahrzeuge anzutreiben – zumindest, solange er richtig transportiert, gelagert und genutzt wird, denn andernfalls kann seine explosive Wirkung tödlich sein. Im Laufe der Dekaden wurden Maschinen, Prozesse und Standards entwickelt, die einen sicheren Umgang mit Erdgas sicherstellen. Datenteams stehen heute vor einer ganz ähnlichen Herausforderung. Sie müssen Tools und Techniken entwickeln, mit denen es möglich wird, die Datensicherheitslücke, die weiter denn je auseinanderklafft, zu schließen. Doch was bedeutet das für die Praxis?

Moritz Plassnig, Immuta

„Es sollten konkrete Compliance- und Governance-Richtlinien als Teil der Geschäftsstrategie integrieren werden. Sie legen fest, welche Nutzer auf welche Daten zugreifen dürfen.“

Moritz Plassnig, Immuta

Zum einen geht es darum, das Framework kontinuierlich zu überwachen. Das hilft dabei, ein besseres Bild der tatsächlichen Bedrohungslandschaft zu gewinnen und die richtigen Präventionsmaßnahmen zu erarbeiten. Zum anderen sollten konkrete Compliance- und Governance-Richtlinien als Teil der Geschäftsstrategie integrieren werden. Sie legen fest, welche Nutzer auf welche Daten zugreifen dürfen. Eine mindestens ebenso wichtige Rolle spielt allerdings die menschliche Komponente – und die wird noch immer zu häufig vernachlässigt. Von Mitarbeiter, die sowohl im Privat- als auch im Berufsleben täglich mit Daten zu tun haben, werden Sicherheitsbelange oft noch als Hindernisse verstanden, die sie davon abhalten, ihre Aufgaben effizient und datenbasiert zu erledigen. Tools wie DeepL, Zoom oder ChatGPT kommen auch hier ständig zum Einsatz und erleichtern das Arbeiten ungemein. Anstatt ihnen diese Werkzeuge rigoros zu verbieten, liegt es also an den Unternehmen, ein Umfeld zu schaffen, in dem sowohl sicher als auch effizient agiert werden kann. Was es hierfür braucht, sind einerseits stetige Schulungen in den Bereichen Datenschutz und -sicherheit und eine klare Kommunikation andererseits, die dafür sorgt, dass alle Beteiligten gemeinsam an einem Strang ziehen.

Der Schlüssel liegt in der Balance

Dass Daten zu einem unverzichtbaren Gut geworden sind, das die Wettbewerbsfähigkeit der Zukunft sichert, wagt heute kaum noch jemand zu bezweifeln. Die vermehrte Bereitstellung und Nutzung interner Daten sind die wichtigsten Maßnahmen auf dem Weg zu einem datengesteuerten Unternehmen. CEOs investieren verstärkt in Datensicherheit, Risikomanagement und Compliance. Gleichzeitig wird der Sicherheitsaspekt häufig als größte Hürde für eine demokratisierte und kollaborative Datennutzung genannt. Den Spagat zwischen beiden Seiten zu schaffen, zählt zu den wichtigsten Herausforderungen dieser Zeit.

Über den Autor:
Moritz Plassnig ist Datensicherheitsexperte und Chief Product Officer von Immuta.

Moritz Plassnigs Karriere begann, als er Codeship (ein SaaS CI/CD-Produkt) aufbaute und vermarktete. 2018 verkaufte er sein Produkt an CloudBees. Bei dem DevOps-Unternehmen CloudBees leitete Plassnig schließlich das Corporate Business Development. Im Mai 2021 kam Plassnig als erster Chief Product Officer zu Immuta, wo er seither für die Bereiche Technik, Produktmanagement und Marketing verantwortlich ist und mit persönlicher Überzeugung für eine ethische und gesetzeskonforme Datennutzung einsteht.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Datenschutz und Compliance