Die Crux mit den Daten

bei

 / 11. January. 2022

Nikolaus Angster im Gespräch


 

Nikolaus Angster ist Wirtschaftswissenschaftler und Privacy Tech Consultant bei DataGuard. Im Rahmen verschiedener Compliance-Projekte beschäftigt er sich seit 2016 mit den vielfältigen Herausforderungen der Cyber Security. Dabei hat er insbesondere in der Unternehmensberatung internationale Logistik- und Finanzdienstleistungskonzerne zu komplexen Problemstellungen der Informationssicherheit und des Datenschutzes begleitet. Als Schlüssel für ein wirksames Management von Sicherheitsrisiken verfolgt er in seiner Arbeit einen risikoorientierten Ansatz – mit dem Ziel, den Unternehmenserfolg durch eine systematische und nachhaltige Datenverarbeitung abzusichern.


 

Sie nehmen in rasanter Manier zu: unsere Daten. Gerade das, was die digitale Transformation produziert, ist ein gewaltiger Haufen an Daten, der zur beruflichen Aktivität am Arbeitsplatz, zum Kommunizieren von Großunternehmen, aber auch zum privaten Austausch unter Freunden genutzt wird. Dass die Datenmenge nicht kleiner wird, ist zweifellos annehmbar; dass die Sensibilität um unsere Daten ob ihrer enormen Menge aber leiden könnte, ist eine berechtigte Befürchtung. Es geht also um die Sicherheit, um das Vertrauen und um die Verschlüsselung sensibler Daten, die eben nicht öffentlich im digitalen Äther herumschwirren sollen. DataGuard hat sich auf diese Aspekte fokussiert. Nikolaus Angster, Wirtschaftswissenschaftler und Privacy Tech Consultant, berichtet über die aktuellen Herausforderungen.

Eine simple Frage mit womöglich weitreichenderen Folgen wird im Zusammenhang mit IT-Sicherheit immer wieder gestellt. Wie antworten Sie auf diese Frage: „Was passiert eigentlich mit meinen Daten?“

Um diese Frage zu beantworten, ist eine Analyse und Bewertung der zugehörigen Datenverarbeitungsprozesse notwendig. Als regulatorisches Rahmenwerk kann die Datenschutzgrundverordnung (DSGVO) hier als Orientierungshilfe dienen. Gemäß Art. 13 Abs. 1 DSGVO hat die von der Datenverarbeitung betroffene Person jederzeit das Recht, Informationen zu den verarbeiteten Daten zu erlangen. Konkret bedeutet dies, dass Sie als Betroffener einer Datenverarbeitung sowohl die Kategorien der Daten und die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, als auch die Rechtsgrundlagen für die Verarbeitung und die Empfänger der Daten erfragen können. DataGuard ermöglicht Unternehmen die Analyse, eine effiziente Dokumentation und transparente Kommunikation der eigenen Datenverarbeitungsprozesse.

Welche Mission verfolgen Sie, wenn es um dieses Thema Datenschutz geht?

Als Technologie-Unternehmen verfolgt DataGuard eine klare Mission: „Protect the people behind the data“ – wir schützen die Menschen, die von Datenverarbeitungsprozessen betroffen sind. In der Praxis finden sich Unternehmen im Wettbewerb oft großen Herausforderungen ausgesetzt. Als externer Datenschutzbeauftragter ermöglicht DataGuard diesen Unternehmen, die regulatorischen Anforderungen des Datenschutzes zu meistern und den Unternehmenserfolg durch eine systematische, risikoorientierte und dokumentierte Datenverarbeitung abzusichern.

Welche konkreten Lösungen bieten Sie Ihren Kunden an, um ein Unternehmen IT-sicher zu machen?

Bei DataGuard bieten wir unseren Kunden mit „Datenschutz-as-a-Service“ eine Kombination aus Expertenberatung und einer digitalen Plattform zur Digitalisierung und effizienten Umsetzung von Datenschutzthematiken. Kernbestandteil dieser Leistung ist der Bereich IT & Sicherheit. Im Zusammenspiel mit dem Kundenunternehmen führen unsere zertifizierten Branchenexperten eine Lückenanalyse in Bezug auf das vorhandene Datenschutzniveau durch. Hier werden unter anderem die physische Infrastruktur (wie Zutrittskontrollen), IT-Infrastruktur (etwa eingesetzte Serversysteme und Tools) und organisatorische Prozesse (wie Richtlinien und Berechtigungskonzepte) geprüft, um auf ein angemessenes Datenschutzniveau gemäß DSGVO hinzuarbeiten. Unsere Handlungsempfehlungen hinsichtlich der technischen und organisatorischen Maßnahmen orientieren sich zudem an Best Practices anderer Normen, wie der ISO 27001. Seit 2021 bieten wir mit unserer „Informationssicherheit-as-a-Service“-Lösung eine zusätzliche Leistung, die Unternehmen auf dem Weg hin zur Implementierung eines eigenen Informationssicherheits-Managementsystems (ISMS) unterstützt.

Wie bewerten Sie die Differenz zwischen einem Unternehmen, also einem Kollektiv, und der Rolle der einzelnen Individuen eines Unternehmens?

Sowohl für den Datenschutz als auch die Informationssicherheit ist es besonders wichtig, dass die Unternehmensführung klare Ziele und Werte, aber auch konkrete Hilfen und Handlungsanweisungen an die Beschäftigten kommuniziert. Denn: Sicherheit kann in Unternehmen nur dann ganzheitlich funktionieren, wenn ein gemeinsames Bewusstsein für datenschutzrechtliche und informationssicherheitsrelevante Thematiken geschaffen und dieses auch gelebt wird. Nur wenn ein Unternehmen beispielsweise im Zusammenspiel mit einem externen Datenschutzbeauftragten seinen Beschäftigten das notwendige Know-how und die Ressourcen zur Verfügung stellt, können die einzelnen Mitarbeitenden am Ende des Tages erfolgreich zur Einhaltung der regulatorischen Anforderungen beitragen.

Gewährleistet das Maximum an IT-Sicherheit eine tatsächliche Sicherheit oder lediglich eine hohe Wahrscheinlichkeit? Welche Bedrohungen stufen Sie derzeit als die am gefährlichsten ein?

Datenschutz und Informationssicherheit sind die Voraussetzungen für eine erfolgreiche und nachhaltige Digitalisierung. Doch: Je mehr Assets, also Unternehmenswerte, im digitalen Raum angesiedelt sind, desto wichtiger wird auch die IT-Sicherheit dieser Werte. Das heißt jedoch nicht zwangsläufig, dass durch bestimmte Maßnahmen hundertprozentige Sicherheit gewährleistet werden kann. Ziel sollte immer eine Analyse der Risiken im konkreten Kontext des Unternehmens sowie eine Bewertung und Entwicklung einer Behandlungsstrategie sein. Im Datenschutz werden die Risiken von Datenverarbeitungsprozessen aus der Sicht der betroffenen Personen betrachtet und bewertet. Gleichzeitig bietet die Informationssicherheit eine Übersicht zu allen Risiken, die für Organisationen kritische Informationswerte (wie Geschäftsgeheimnisse) darstellen.

Neben den weiterhin relevanten Bedrohungen wie Ransomware- und Distributed-Denial-of-Service (DDoS)-Attacken ist im Jahr 2021 außerdem die stark wachsende Menge an Schadprogrammen zu beachten. Das Bundesamt für Sicherheit in der Informationstechnik verzeichnet im Lagebericht für 2021 beispielsweise eine Steigerung von 22 Prozent an neuen Schadprogrammen gegenüber dem Vorjahr.

Wie bewerten Sie die Kategorie „Vertrauen“ im digitalen Umgang unseres Alltags? Was heißt in diesem Zusammenhang „Vertrauen“ für Sie?

Vertrauen spielt eine sehr zentrale Rolle, denn es ist gleichzeitig für den Erfolg von Kunden- und Geschäftspartnerbeziehungen relevant. Wer die Sicherheits- und Datenschutzbedenken potenzieller Kunden und Partner ernst nimmt und in seiner Unternehmensstrategie berücksichtigt, legt den Grundstein für eine erfolgreiche Dienstleistungserbringung im digitalen Zeitalter. Die Implementierung angemessener Sicherheitsmaßnahmen sowie die transparente Information und Kommunikation zu diesen bilden hier die Basis für das Vertrauen, welches am Ende über die Nutzung und den Erfolg von Produkten und Dienstleistungen entscheidend sein kann. Zum Beispiel können leicht zugängliche und vor allem verständliche Datenschutzhinweise nachweislich zur Reduzierung der Komplexität und Unsicherheit bei möglichen Interessenten beitragen.

Was ist die größte Herausforderung der nächsten Jahre, wenn es um unsere IT-Sicherheit geht?

Problematisch ist die Vernetzung von digitalen Assets in unserem Alltag, die allerdings für Endnutzer praktisch ist. Denn immer öfter sind ganze Lieferketten im Fokus von Angriffen und dadurch nicht nur die Unternehmen, sondern auch deren Kunden oder unbeteiligte Dritte betroffen.

Bei solchen Angriffen suchen die Angreifer aktiv nach Schwachstellen, um Quellcodes abzuändern und Schadprogramme unerkannt in Patch- und Updateprozesse einzubinden. So kann schädlicher Code, oftmals signiert und zertifiziert von vertrauenswürdigen Anbietern, in fremde Systeme eingespielt werden. Bei Lieferkettenangriffen besteht die Schwierigkeit für die betroffenen Unternehmen darin, rechtzeitig zu erkennen, dass ihre Software mit Schadprogrammen infiziert ist, bevor diese für die Nutzung freigegeben werden. Je nach Vernetzungsgrad und Nutzerzahlen einzelner Dienste ist die Anzahl an potenziellen Betroffenen solcher Attacken erheblich.

Welche Rolle spielt die Komponente „Mensch“ im Bereich IT-Sicherheit? Oder umgekehrt: Wie gehen Sie mit dem Faktor Mensch um neben der Implementierung von Software-Lösungen?

Die Komponente „Mensch“ spielt im Bereich IT-Sicherheit eine sehr zentrale Rolle. Denn nicht nur die Verantwortlichen für die Sicherheitsprozesse innerhalb der Unternehmen müssen von geschulten Experten besetzt werden. Häufig bilden individuelle Fehler und mangelnde Sensibilisierung für Sicherheitsthematiken die Einfallstore für kriminelle Machenschaften. Zum Beispiel können Angreifer über eine einfache Phishing-E-Mail genau an diejenigen Informationen der Zugriffsrechte gelangen, die für die Ausführung weiterer kritischer Angriffe (wie einem Lieferkettenangriff) notwendig sind. Dementsprechend stellen die Sensibilisierung der Mitarbeiter und Gestaltung von Awareness-Maßnahmen zentrale Kerngebiete des Datenschutzes und der Informationssicherheit dar.

Was ist die „Datenschutz-Plattform“, die Sie für Ihre Kundschaft anbieten?

Unsere webbasierte Plattform ist der Dreh- und Angelpunkt unserer Lösung. Kunden finden darin priorisierte To-dos, rollenspezifische Mitarbeiterschulungen, eine organisierte Dokumentation ihrer Prozesse sowie zeitsparende Tools, die ihnen bei der langfristigen Umsetzung ihrer Compliance helfen. Das Ergebnis ist eine „Single Source of Truth“ für das gesamte Unternehmen. In Kombination mit der persönlichen Betreuung durch unsere Datenschutz- und Informationssicherheitsexperten können also jegliche regulatorische, Partner- oder Kundenanforderungen mit nur minimaler Beeinträchtigung des Tagesgeschäfts umgesetzt werden. Zusätzlich dient die Plattform als schneller Kommunikationskanal zu den betreuenden Experten oder zur Zusammenarbeit mit Partnern, die in bestimmte Bereiche der Plattform eingeladen werden können.

Zuletzt: Wie sieht Ihre Zukunftsvision einer sicheren digitalen Infrastruktur aus?

Das Ziel für Anbieter muss sein, über Transparenz und Kommunikation die Komplexität und Unsicherheit auf Nutzerseite zu reduzieren. Regulatorische Rahmenwerke wie die DSGVO bieten eine Grundlage dafür, technische Funktionen und Datenverarbeitungsprozesse für die betroffenen Personen verständlich zu machen. Für Unternehmen geht es hier einerseits um die Erfüllung der erwarteten und geforderten Sicherheitsmindeststandards, andererseits um eine erfolgreiche Dokumentation und Aufklärungsarbeit, um das Vertrauen in die bereitgestellten Dienste zu erhöhen. Die Zukunftsvision einer sicheren digitalen Infrastruktur stellt hier gleichzeitig den ausschlaggebenden Differentiator für zukunftsorientierte Unternehmen dar: Technologien und Infrastrukturen sollten durch die Implementierung technischer und organisatorischer Maßnahmen ausreichend Vertrauen für eine Akzeptanz und Nutzung schaffen, die für Anbieter und Nutzer gleichermaßen wertschaffend ist.


Interview geführt durch:

Hannes Mittermaier , geboren 1994 in Sterzing/Italien, seit 2013 in München lebend, schloss 2019 sein Master-Studium an der Ludwig-Maximilians-Universität in München in den Fächern Germanistik und Philosophie ab. Seit 2020 promoviert Mittermaier an der germanistischen Fakultät zu einer Arbeit, die sich mit der Rezeption der Sokrates-Figur im Zeitalter der deutschsprachigen Aufklärung beschäftigt. Damit einhergehend ist Mittermaier Lehrbeauftragter an der Ludwig-Maximilians-Universität. Aktuell hält er ein Proseminar zu Thomas Manns früher Novellistik. Unabhängig von seiner Promotion arbeitet Mittermaier seit September 2019 als Redakteur der ebenso von der Ludwig-Maximilians-Universität herausgegebenen Zeitung Digitale Welt. Darüber hinaus engagiert sich Mittermaier nebenberuflich als freier Musiker.