Was die IT 2018 bewegt
EU-DSGVO wirkt sich auf alle Bereiche der IT aus
Fortsetzung des Artikels von Teil 1
EU-DSGVO als Chance
„Bei diesen Punkten herrscht weitgehend Unsicherheit“, sagt Dr. Schadowski. „Wir beobachten aber auch, dass nach einer Aufklärung 100 Prozent der Unternehmen Handlungsbedarf sehen und einen entsprechenden Auftrag erteilen. Im Nachhinein stellen wir häufig fest, dass viele Verantwortliche dabei die Chancen, die durch die DSGVO entstehen, unterschätzen.“ Sie sehen in dem neuen Regelwerk vor allem einen organisatorischen und kostenintensiven Mehraufwand. So sollte zum Beispiel für den E-Mail-Versand grundsätzlich eine Verschlüsselungslösung verfügbar sein. Diese Lösung muss evaluiert und anschließend implementiert werden. Eventuell benötigen die Mitarbeiter eine Schulung zum Umgang mit dem neuen Verschlüsselungs-Tool. Dabei verlangen branchenabhängig mittlerweile immer mehr Firmen von ihren Partnern einen verschlüsselten E-Mail-Versand oder bevorzugen bei der Auftragsvergabe Unternehmen mit Verschlüsselung gegenüber Konkurrenten ohne Verschlüsselung.
Ein weiteres Beispiel ist die Frage, wer im Rahmen welcher Verarbeitungen auf welche Daten zugreifen darf. Unternehmen sind laut DSGVO verpflichtet, personenbezogene Daten gegen Verlust, aber vor allem auch gegen unbeabsichtigte Änderungen und unbefugten Zugriff zu sichern. Daraus folgt eine kontinuierliche Überprüfung und Verwaltung der Mitarbeiterzugriffsberechtigungen für Unternehmen. „Eine solche Überprüfung ist bereits heute in einigen Branchen wie dem Finanzwesen verpflichtend“, erklärt Christian Kress, BISG-FBL M2M/Industrie 4.0/IoT. „Eine beliebte Strategie von Cyberkriminellen ist es zum Beispiel, in ein Netzwerk einzudringen und sich nach und nach höhere Rechte zu verschaffen. Eine DSGVO-konforme Überprüfung der Zugangsberechtigungen kann vor solchen Angriffen schützen.“ Es steht jedoch jedem Unternehmen frei, wie die Vorgabe umgesetzt werden soll: Um eine kontinuierliche Überprüfung zu gewährleisten, müssen Einstellungen in vielen verschiedenen Systeme umständlich und zeitaufwändig ausgelesen, analysiert und abgeglichen werden. Das ist zeit- und kostenintensiv, denn IT-Mitarbeiter, die mit der Kontrolle der Rechtevergabe beschäftigt sind, können ihren Kernaufgaben nicht nachgehen. Ein umständliches Verfahren ist auch deshalb nicht zu empfehlen, da Unternehmen im Falle einer Datenschutzverletzung sehr knappe Fristen einhalten müssen, um auskunftsfähig zu sein. Mit einer Access-Governance-Software lässt sich die Vorgabe jedoch einfach umsetzen. Der Vorteil: Solche Lösungen vereinfachen die Verwaltung, und die kontinuierliche Kontrolle erfolgt automatisiert. Kommt es zu einer Abweichung von Soll- und Ist-Zustand der Berechtigungsstruktur, alarmiert die Lösung selbstständig den verantwortlichen Mitarbeiter. So kann sich die IT-Abteilung schneller den wichtigeren Aufgaben widmen. Nach diesem Muster lassen sich viele Punkte der EU-DSGVO umsetzen. „Für fast alle Vorgaben lässt sich eine Lösung finden, die nach der Implementierung keinen nennenswerten Mehraufwand in einer Organisation verursacht, aber zu Einsparungen an anderer Stelle führen kann“, sagt Dr. Schadowski. „Die EU-DSGVO kommt, und wegducken kann sich niemand. Aber es muss auch niemand Angst vor einem europäischen Datenschutz haben.“
Digitalisierung – es geht voran!
Der Begriff Industrie 4.0 begleitet uns, seit er auf der Hannover Messe im Jahr 2011 zum ersten Mal öffentlich verwendet wurde. Spätestens seit der Mittelstand das Thema für sich entdeckt hat, kommt man an der öffentlichen Debatte um Digitalisierung, Automatisierung und das allgegenwärtige Internet der Dinge (IoT) nicht mehr vorbei. Im Wesentlichen bezeichnet der Begriff Industrie 4.0 die Verzahnung der industriellen Produktion mit moderner Informations- und Kommunikationstechnik. Deswegen tritt er häufig zusammen auf mit dem Internet der Dinge, der Vernetzung von physischen und virtuellen Objekten durch Informations- und Kommunikationstechnik. „Das Thema IoT und die digitale Transformation ist für deutsche Unternehmen gerade hochaktuell“, sagt Martin Klöck, BISG-FBL für Handel, Versandhandel und Medienhandel. „Die digitale Transformation kann Unternehmen einen enormen Wettbewerbsvorteil verschaffen. Diese Vorteile setzen mittlerweile auch die Late Adopter unter Zugzwang, und so kommt Bewegung in den Markt. Das IoT nimmt Fahrt auf.“ Laut einer Studie des Marktforschungs- und Beratungsunternehmens IDC bereitete im Jahr 2017 jedes zweite Unternehmen in Deutschland ein IoT-Projekt vor oder setzte bereits eins um. Diese Projekte bedeuten aber zumeist große Umstellungen für Unternehmen. So können IoT-Projekte nicht nur die Prozesse, sondern teilweise auch das Geschäftsmodell eines Unternehmens verändern. Hinzu kommen Sicherheitsfragen. Einige IoT-Geräte haben in der Vergangenheit durch ihre Unsicherheit von sich reden gemacht. Erst Ende 2016 wurde eine Webcam nur 98 Sekunden nach der Verbindung mit dem Internet mit dem Mirai-Botnet infiziert. Ein IoT-/Digitalisierungsprojekt sollte also immer auch mit entsprechenden Sicherheitsmaßnahmen einhergehen. Das macht die Projekte noch umfangreicher und komplexer. „Viele IT-Abteilungen stecken gerade in langfristigen Digitalisierungsprojekten“, sagt Klöck. „Die Unternehmen sind sich dabei bewusst, dass bei diesen Projekten neue, potentielle Schwachstellen für die IT-Infrastruktur entstehen können. Neben dem komplexen IoT-Projekt selbst und seiner Verzahnung mit dem Bereich IT-Sicherheit spielt nun die Frage des Datenschutzes zusätzlich in die Projekte hinein. Das verstärkt leider bei vielen Verantwortlichen eine negative Wahrnehmung der EU-DSGVO und lässt sie als lästiges Pflichtthema erscheinen.“ IT-Dienstleister sind hier also gefordert, Verantwortliche mit entsprechenden Konzepten und Lösungen zur Seite zu stehen und gemeinsam koordinierte Projekte unter Berücksichtigung der EU-DSGVO umzusetzen. Für eine erfolgreiche Umsetzung ist es für Unternehmen wichtig, einen Partner mit der entsprechenden Praxiserfahrung aus ähnlichen Referenzprojekten auszuwählen. Die zum Einsatz kommenden Tools und Softwarelösungen sollten über etablierte, offene Standardschnittstellen verfügen, da oft bereits Daten aus vorhandenen Systemen zu übernehmen sind. Zudem können Standardtechnologien auf veränderte Anforderungen häufig besser reagieren.
„Drum prüfe, wer sich ewig bindet“
Unabhängig von dem jeweiligen Stand eines Digitalisierungs- oder IoT-Projektes haben Unternehmen aber keine Wahl. Der Stichtag rückt unaufhaltsam näher. Was bleibt also zu tun? „Die EU-DSGVO kommt ja weder für die Unternehmen noch für die IoT-Plattformanbieter überraschend. Speziell die Plattformanbieter wissen, wie lange ein IoT-Projekt dauern kann, und sollten entsprechend vorbereitet sein. Es gilt: Datenschutzbedenken bei IoT-Projekten sind überwiegend IT-Sicherheitsbedenken. Ich empfehle meinen Kunden daher grundsätzlich, ihren IoT-Partner sehr gründlich auszuwählen. Ein verlässlicher Partner wird sein Sicherheitskonzept frühzeitig in die Projektbeschreibung einbringen“, sagt Klöck. IoT, Industrie 4.0, Digitalisierung und Automatisierung werden auch 2018 zu den wichtigsten Trends zählen. Sie werden nach Einschätzung der BISG-Experten auch noch eine Rolle spielen, wenn alle Aufregung um die EU-DSGVO bereits vergessen ist. Die Berührungspunkte zum Thema Datenschutz sind demnach zwar gegeben, aber keinesfalls projektgefährdend. Unternehmen sollten klare Zuständigkeiten schaffen und so früh wie möglich mit ihren IoT-Partnern über DSGVO-bedingte Änderungen im Unternehmen sprechen. Dann sind die Umsetzung der EU-DSGVO und ein erfolgreiches IoT-Projekt kein Widerspruch.
- EU-DSGVO wirkt sich auf alle Bereiche der IT aus
- EU-DSGVO als Chance
- Cybersecurity
Lesen Sie mehr zum Thema
