Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz

Gewichtsverteilung – Grundbegriffe

Krisen wie Covid-19 zwingen Unternehmen zum Umdenken in ihren Prozessen und der Anpassung ihrer IT-Struktur auf diese Prozesse. Unternehmen müssen dabei ausgeglichene Balance zwischen den verschiedenen Sachgebieten innerhalb ihrer Unternehmen wahren. Bei den hier diskutierten Fachbereichen handelt es sich um die technische Unterstützung der Ausführung der unternehmerischen Tätigkeit (Operative Tätigkeit – IT), dem Schutz der personenbezogen Daten von  Kunden und Mitarbeiter (Datenschutz) und gleichzeitig der Sicherstellung eines individuell angemessenen Schutzes der dafür notwendigen IT-Infrastruktur (IT-Sicherheit) finden.

Angewandte Unternehmenspraxis besteht oft darin, das operative Geschäft durch den Einsatz „operativer“ IT aufrecht zu erhalten. Die Umsetzung von Datenschutz wird dabei heute als gesetzlich notwendig angesehen und, obwohl als störend empfunden, zumeist durch entsprechende personelle Ausstattung umgesetzt. Der stetige Verlierer in diesem Ablauf ist der Bereich der klassischen IT-Sicherheit.

Oft sind Strukturen so aufgebaut, dass der Bereich „IT“ sich um alle drei Gebiete in gemeinsamer Verantwortung kümmert. Historisch wurden gesetzliche Anforderungen, wie z.B. Datenschutz, von Unternehmensführungen oft zu den „Spezialisten der IT“ geschoben.

Eine solche Vermengung der verschiedenen Bereiche stellt sich aus heutiger Sicht als unklug heraus. Um dies nachvollziehen zu können, muss man sich die Zielsetzungen der verschiedenen Bereiche anschauen.

IT-Operations -> Durchführung des Geschäftsbetriebes

IT-Sicherheit   -> Sicherheit der IT-Infrastruktur

Datenschutz    -> Schutz von personenbezogenen Informationen

Grundstein ist immer die allgemeine Verwendung von IT basierten Systemen zur Durchführung des Unternehmenszwecks. Dabei steht im Fokus das Erreichen von Unternehmenszielen. Hier werden Lösungen gesucht und umgesetzt, welche die Arbeit des Unternehmens ermöglichen und ggf. effizienter gestalten. In einer hypothetischen optimalen Umgebung sind die operativen Einheiten der IT-Struktur frei in ihrer Entwicklung und können Unternehmensabläufe nach den aktuellen technischen Möglichkeiten unterstützen. Dies sollte der Fokus einer aktiven innovativen IT-Abteilung sein.

Dagegen stehen in gewisser Weise IT-Sicherheit und Datenschutz, für eine vereinfachte Betrachtung lasse ich finanzielle Aspekte an dieser Stelle außen vor.

Die IT-Sicherheit hat in der Hauptaufgabe sicher zu stellen, dass die im operativen Geschäft betrieben Systeme nicht durch fremde Einflüsse gestoppt oder manipuliert werden. Dabei gilt es, den branchenüblichen aktuellen Stand der Technik zu kennen und entsprechend umzusetzen. Gesetzliche Anforderungen spielen hier oft erstmal nur eine nachgeordnete Rolle. Zwar gibt es heute vermehrt gesetzliche Normen, diese beschränken sich zumeist jedoch auf bestimmte Branchen (z.B. kritische Infrastruktur, Gesundheitswesen etc.). Hinzu kommen Regularien im Bereich des Schutzes von Geschäftsgeheimnissen, diese lassen jedoch einen unternehmerischen Spielraum zu und sind wohl eher unter den Unternehmen selbst relevant.

Datenschutz hingegen basiert heute fast ausschließlich aus eng definierten gesetzlichen Anforderungen, welche sanktionsbehaftet zwingend einzuhalten sind. Die Sensibilität zum Umgang mit personenbezogenen Daten führt dabei dazu, dass die Einhaltung nicht nur durch staatliche Kontrollen, sondern gerade durch die betroffenen Personen selbst eingefordert wird. Oft sind Verstöße hiergegen durch öffentliche Behörden „einfach“ nachzuvollziehen, und Sanktionen können unmittelbar und mit erheblichen finanziellen Konsequenzen folgen.

Der Balance-Akt 

Unternehmensführungen haben die Aufgabe, unter anderen Faktoren risikobasiert zu entscheiden, wie sie mit der Gewichtung der hier schemenhaft dargestellten Arbeitsfelder umgehen. Oft führt dies zur folgenden Argumentation und Ergebnis:

Die operative IT wird mit der notwendigen Mindeststärke ausgestattet, um die benötigten IT-Verfahren zum Support im Betrieb zu halten. Daneben wird die operative IT mit der Aufgabe betraut, neue Verfahren auf deren Machbarkeit zu prüfen und ggf. zu implementieren. Aufgrund der jetzt durch die DSGVO gestiegenen Risikobewertung im Bereich Datenschutz wurden in den meisten Fällen Regelungen umgesetzt, welche sicherstellen, dass alle neuen Verfahren ordnungsgemäß dokumentiert werden, und Betroffenen schnell Auskunft gewährt werden kann. Oft wird die IT-Sicherheit aufgrund von geringerer rechtlicher Relevanz, und vollständiger Ignoranz des operativen Risikos, in Personaleinheit mit der operativen IT ausgeführt. – Das Bild ist natürlich etwas überspitzt und verkürzt dargestellt.

Die Probleme hier stellen sich recht offensichtlich dar: Ein Bereich IT, der dafür verantwortlich ist, dass „der Laden läuft“, ist nicht dazu geeignet, Analysen hinsichtlich der Sicherheit der einzelnen Anwendungen und Verfahren durchzusetzen. Die Zielsetzungen dieser Bereiche widersprechen sich elementar. Aaußerdem ist der Aufbau nicht nur sicherheitstechnisch bedenklich, er führt auch dazu, dass Innovationen verlangsamt werden. Bei der Einführung neuer Projekte ist zu oft der Gedanke „das können wir nicht weil, …“. So werden IT-Abteilungen oft „Verhinderer“ anstatt „Erfinder“. Die meisten technischen Lösungen lassen sich heute mit dem richtigen Ansatz und Kompromiss durchführen. Hierzu ist jedoch ein „Ballspiel“ zwischen den Akteuren der IT, IT-Sicherheit und Datenschutz auf gleicher fachlicher Ebene notwendig. Durch eine Zusammenlegung der Bereiche, wird oft die jeweilige „Kernkompetenz“ des fachlich abschließend Verantwortlichen in den Vordergrund gestellt.

Fazit

Nach meiner Ansicht führt dies in den meisten Unternehmen zu einer deutlichen Verlangsamung von innovativen Lösungen. Es ist nicht Aufgabe der Fachbereiche, diese Entscheidungen und Abwägungen abschließend zu treffen und den Entscheidern vorwegzunehmen. Ein modernes digitales Unternehmen muss diese entscheidungserheblichen Kompetenzen auf höchster Ebene besitzen. Am ENDE steht eine unternehmerische Entscheidung, welche Gewichtung gewählt wird. Diese kann von Anwendung zu Anwendung sehr individuell sein. Sie muss jedoch immer bewusst und unter Kenntnis aller Umstände getroffen werden. Dies ist nur durch neutrale unabhängige Berichterstattung der unterschiedlichen Fachbereiche möglich.

Ziel bleibt die Erreichung des unternehmerischen Erfolges unter Einhaltung der rechtlichen Rahmenbedingung bei kalkulierten Risiken. – Es gilt, die Balance zu wahren.

Krisenmanagement bei IT-Sicherheitsvorfällen

In der heutigen Welt werden Datenschutzverletzungen immer häufiger und können verheerende Folgen für Einzelpersonen und Unternehmen haben. Wenn Sie Opfer eines IT-Sicherheitsvorfalles geworden sind, kann Ihnen ein rechtlicher Berater (Breach Counselor) dabei helfen, mit den Folgen umzugehen und Ihre Interessen zu schützen.

Was ist ein Breach Counselor?

Ein Breach Counselor ist ein Fachmann, der auf die Unterstützung und Beratung von Einzelpersonen und Unternehmen spezialisiert ist, die von einer Datenschutzverletzung betroffen sind. Seine Dienstleistungen können je nach den spezifischen Bedürfnissen des Kunden variieren, aber in der Regel bietet er eine Reihe von Dienstleistungen an, die Ihnen helfen, die Krise zu bewältigen, den Schaden zu begrenzen und Ihre Interessen zu schützen.

Welche Aufgabe hat er?

Die vielleicht wichtigste Dienstleistung eines Breach Counselors ist das Krisenmanagement. Eine IT-Sicherheitsvorfall kann eine stressige und überwältigende Erfahrung sein. Ein Berater für IT-Sicherheitsvorfälle kann Ihnen bei der Bewältigung der Krise helfen, indem er Ihnen emotionale Unterstützung, praktische Ratschläge und eine ruhige, beruhigende Präsenz bietet, die Ihnen hilft, die Situation zu bewältigen. Er kann Ihnen helfen, die Schwere des Sicherheitsverstoßes einzuschätzen, die Risiken zu erkennen und einen Plan zu entwickeln, um den Schaden zu begrenzen und weitere Bedrohungen zu verhindern.

Neben dem Krisenmanagement kann ein Breach Counselor auch wertvolle Hinweise zur Risikobewertung geben. Er kann Ihnen helfen, das Risiko einer Datengefährdung einzuschätzen und Sie über die möglichen Folgen einer Sicherheitsverletzung beraten. Er kann Ihnen auch Maßnahmen empfehlen, die Sie ergreifen können, um eine weitere Datengefährdung zu verhindern und Ihre Interessen zu schützen.

Eine weitere wichtige Dienstleistung eines Breach Counselors ist die Kommunikation. Eine Datenschutzverletzung kann eine heikle und komplexe Situation darstellen, und eine effektive Kommunikation ist unerlässlich, um sicherzustellen, dass die richtigen Informationen zur richtigen Zeit an die richtigen Personen übermittelt werden. Ein Breach Counselor kann Sie bei der Kommunikation mit Kunden, Interessenvertretern und Aufsichtsbehörden unterstützen, um sicherzustellen, dass alle informiert sind und die Nachricht effektiv übermittelt wird. Er kann Nachrichten entwerfen, Gesprächsleitfäden erstellen und sich mit den betroffenen Parteien abstimmen, um sicherzustellen, dass die Nachricht konsistent und korrekt ist.

Komplexe Rechtslage beraten aus einer Hand

Ein Breach Counselor wird auch wertvolle Rechtsberatung in Bezug auf die potenzielle Haftung der Organisation und die gesetzlichen Verpflichtungen zur Benachrichtigung betroffener Personen oder Aufsichtsbehörden bieten. Er kann Ihnen helfen, sich in der komplexen rechtlichen Landschaft rund um Datenschutzverletzungen zurechtzufinden und sicherstellen, dass Sie Ihre Rechte und Pflichten verstehen und Ihre Interessen schützen können.

Schwachstellenmanagement nach Krisenbewältigung

Schließlich kann ein Breach Counselor auch bei der Koordination zur Behebung der Schwachstellen helfen, die zu der Verletzung geführt haben. Er kann Ihnen bei der Entwicklung und Umsetzung eines Plans zur Verhinderung künftiger Datenschutzverletzungen helfen und so sicherstellen, dass Sie besser vorbereitet sind, um Ihre Interessen zu schützen und ähnliche Vorfälle in Zukunft zu verhindern.

Vorteile eines Breach Counselors

Zusammenfassend lässt sich sagen, dass ein IT-Sicherheitsvorfall ein traumatisches und überwältigendes Erlebnis sein kann, aber ein Breach Counselor kann Ihnen wichtige Dienste anbieten, die Ihnen helfen, die Folgen zu bewältigen und Ihre Interessen zu schützen. Von Krisenmanagement und Risikobewertung bis hin zu Kommunikation, Rechtsberatung und Abhilfemaßnahmen kann ein Breach Counselor Ihnen die Beratung und Unterstützung bieten, die Sie benötigen, um die Krise zu bewältigen, den Schaden zu begrenzen und Ihren Ruf, Ihre Finanzen und Ihre Kunden zu schützen.