Rawpixel.com - stock.adobe.com
Datenschutz und IT-Sicherheit müssen enger kooperieren
IT-Sicherheit und Datenschutz verfolgen unterschiedliche Ziele und befinden sich in einem Spannungsverhältnis. Die Zusammenarbeit ist zur Risikominderung aber unerlässlich.
Das die Bereiche IT-Sicherheit und Datenschutz nicht immer die gleichen Ziele verfolgen, dürfte in Unternehmen immer wieder für Diskussionen sorgen. Das zeigt sich auch daran, dass IT-Sicherheitsverantwortliche nicht gleichzeitig Datenschutzbeauftragte sein sollen, um Interessenskonflikte zu vermeiden (siehe auch Interessenkonflikte: Was widerspricht dem Datenschutz?).
Trotzdem ist es mehr als sinnvoll, wenn IT-Sicherheit und Datenschutz kooperieren, ja es geht letztlich nicht anders. Leider werden in vielen Unternehmen die möglichen Synergien aus Datenschutz und IT-Sicherheit noch nicht genutzt.
Das muss sich ändern, nicht nur um die oft kritisierten Aufwände für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) so weit wie möglich zu mindern. Es ist vielmehr so, dass der moderne Datenschutz und die moderne Datensicherheit gar nicht mehr ohne Cybersicherheit auskommen können.
Datenschützer fordern mehr Cybersicherheit
Schon seit längerem machen die Datenschutzaufsichtsbehörden auf die Risiken durch Cyberattacken aufmerksam, aus gutem Grund: Viele Cyberangriffe gelten personenbezogenen Daten und führen im Erfolgsfall zu Datenschutzverletzungen, wie die um sich greifenden Ransomware-Attacken zeigen.
Angesichts der Hacker-Angriffe gegen deutsche Unternehmen plädierte zum Beispiel der damalige Sächsische Datenschutzbeauftragte Andreas Schurig im November 2021 für deutlich mehr Prävention. Jeder Cyberangriff kostet demnach im Schnitt mehr als 21.000 Euro. Daher sollten Unternehmen nicht erst warten, bis sie das Opfer von Hacker-Attacken geworden sind. Im Gegenteil: Prävention ist wirksamer und wichtiger als je zuvor, damit Daten von Kunden und Mitarbeitern nicht in die falschen Hände gelangen.
Der Präsident des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) Will nennt weitere Cybergefahren: „E-Mail-Accounts sind immer noch die verwundbarste Stelle vieler Unternehmen, die Cyberkriminelle gerne nutzen. Ihre Absicherung gelingt nur, wenn zeitgemäße technische Schutzmaßnahmen vorliegen und zugleich ein hohes Maß an Aufklärung und Sensibilisierung der Nutzerinnen und Nutzer sichergestellt werden.“
Notwendig ist demnach eine eigenverantwortliche Kontrolle der maßgeblichen Bausteine eines Sicherheitskonzepts, etwa eine Checkliste zu den wichtigsten Handlungsfeldern Phishing-Awareness und Sicherheitsbewusstsein, Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung, Pflege und Konfiguration der Accounts, Überprüfung des Datenverkehrs sowie Device- und Patch Management einschließlich Backup-Konzept.
Will, Präsident des BayLDA, appellierte gerade an kleine und mittlere Unternehmen: „Cyberbedrohungen sind längst nicht mehr nur ein Risiko der großen, prominenten Unternehmen. Immer besser organisierte und ausgestattete kriminelle Organisationen nutzen allzu zielgenau aus, dass gerade kleinere und mittelständische Betriebe bei der Absicherung ihrer eigenen Systeme oft noch viel zu sorglos vorgehen – das spiegeln die aktuellen Meldungen von Datenschutzverletzungen bei uns wider.“
Tipp: IT-Sicherheitskonzepte und Datenschutzkonzepte abgleichen
Die von den Datenschutzaufsichtsbehörden genannten Schutzmaßnahmen werden Unternehmen ohne Zweifel bekannt vorkommen, aus ihren IT-Sicherheitskonzepten. Tatsächlich ist es mehr als sinnvoll, die Konzepte für Datenschutz und für Cybersicherheit abzugleichen und alle sinnvollen Synergien zu nutzen.
Was Unternehmen tun sollten, passiert bereits auf der großen Bühne der EU, denn dort kooperieren Datenschutz und IT-Sicherheit ganz gezielt und aktiv. Damit liefern sie ein gutes Beispiel für Unternehmen in der EU.
Beispiel: Kooperation von ENISA und EDPS
Der Europäische Datenschutzbeauftragte (EDPS) und die Agentur der Europäischen Union für Cybersicherheit (ENISA) haben nun ein Memorandum of Understanding (MoU) unterzeichnet, in dem ein strategischer Rahmen für die Zusammenarbeit zwischen ihnen festgelegt wird.
Beide Organisationen kommen dabei überein, die Konzeption, Entwicklung und Durchführung des Kapazitätsaufbaus, Sensibilisierungsmaßnahmen sowie die Zusammenarbeit in politischen Fragen zu Themen von gemeinsamem Interesse in Erwägung zu ziehen und zu ähnlichen Aktivitäten beizutragen, die von anderen Organen, Einrichtungen, Ämtern und Agenturen der EU organisiert werden.
Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sagte dazu: „In der heutigen Vereinbarung wird die Zusammenarbeit des EDPS und der ENISA formalisiert, die seit mehreren Jahren besteht. Das Dokument sieht eine strategische Zusammenarbeit vor, um Fragen von gemeinsamem Interesse wie die Cybersicherheit als Mittel zum Schutz personenbezogener Daten von Einzelpersonen anzugehen. Cybersicherheit und Datenschutz gehen Hand in Hand und sind zwei wesentliche Verbündete für den Schutz des Einzelnen und seiner Rechte. Datenschutzverbessernde Technologien sind hierfür ein gutes Beispiel.“
Juhan Lepassaar, Exekutivdirektor der ENISA, ergänzte: „Die Vereinbarung zwischen EDPS und ENISA wird es uns ermöglichen, die Herausforderungen im Bereich Cybersicherheit und Privatsphäre ganzheitlich anzugehen und die EU-Institutionen bei der Verbesserung ihrer Vorsorge zu unterstützen.“
Die Absichtserklärung enthält einen strategischen Plan zur Förderung des Bewusstseins für Cyberhygiene und Datenschutz. Der Plan zielt auch darauf ab, ein gemeinsames Konzept für Cybersicherheitsaspekte des Datenschutzes zu fördern, Technologien zur Verbesserung der Privatsphäre einzuführen und die Kapazitäten und Kompetenzen der EU-Institutionen zu stärken.
Auch wenn der interne Datenschutz und die IT-Sicherheit eines Unternehmens kein MoU benötigen, sollten doch umgehend Gespräche stattfinden, um die so wichtigen Synergien in Zukunft besser zu nutzen. ENISA und EDPS machen es vor.