Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1

Transkript

1 Ausgabe 1/2009 Datensicherheit IT SECURITY ADVISOR Konvergenz zwischen Datenschutz und Datensicherheit US1 üngste üngste Entwicklungen in PLATZHALTER der Datenschutz- 1 Hier könnte und Sicherheitsgesetzgebung Ihre Überschrift stehen IT-Risiko-Management: Mittel zur Konvergenz THEMATIK von 2 Datenschutz Hier und wäre Datensicherheit? der Platz dafür Datensicherheit AUS - Beyond BEyond DEM INHALT the Hype 3 Noch ein Schwerpunkt Eine Publikation von 1

2 2

3 EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen Unter dem Druck der aktuellen Gesetzgebung und aufgrund wachsender Sensibilität wachsen die klassischen Aufgaben des Datenschutzes und der IT-Sicherheit immer stärker zusammen Informationssicherheit bedeutet heute nicht mehr die Abschottung eines Unternehmensnetzes gegenüber dem Internet, sondern den optimalen Schutz aller in einem Unternehmen gespeicherten Informationsressourcen in Form von strukturierten (Datenbanken) und unstrukturierten Daten (Dokumenten). Der Schutz umfasst dabei Informationen, die dem Unternehmen einschränkungslos gehören, und Informationen, die ihm lediglich anvertraut werden darunter Kunden-, Partner- und Mitarbeiterdaten. Speziell vom Umgang mit den zuletzt genannten Daten hängt das Vertrauen ab, dass ein Unternehmen bei seinen Kunden, Geschäftspartnern und Mitarbeitern genießt. Auf die Konvergenz von Datenschutz und IT- Sicherheit sind Unternehmen bisher schlecht vorbereitet bei Managern und Fachleuten beider Richtungen herrscht oft noch die Vorstellung von der Unvereinbarkeit beider Gebiete vor, und die Technik wird dem neuen Konzept nicht gerecht. Aus Management-Sicht war Datenschutz lange Zeit meist den Unternehmenszielen im Weg und vertrug sich schlecht mit der Sicherheit, weil Datenschutz Kontrollmöglichkeiten der Kommunikationsflüsse einengte. Ein typischer Konfliktbereich war in dieser Hinsicht der Mitarbeiter-Datenschutz, der zum Beispiel dem Einsatz von Content- Filtern im Weg war. Diese Ausgangslage beeinflusst die Auffassung des Datenschutzes in den Unternehmen Datenschutz galt außerdem als staatlich geregelter Bereich, Sicherheit als Sache des Unternehmens. Die Existenz von Datenschutzbeauftragten und deren Sonderrolle brachte ein weiteres störendes Element in die Unternehmen. Datenschützer arbeiteten außerdem hauptsächlich mit der Vorgabe von Verfahren und mit Einschränkungen für die Aufbewahrung von Daten. Beides deckte sich nicht mit den Zielen der Sicherheitsfachleute, die vor allem die Infrastruktur eines Unternehmens vor unbefugten Zugriffen schützen wollten und noch nicht die dort gespeicherten Informationen selbst im Blick hatten. Die Aufgaben beider Fachgebiete waren sich also entweder im Weg oder liefen nebeneinander her. Kommunikation zwischen beiden Ebenen fand kaum statt. Große Unternehmen allerdings pflegten weitgehend unbeachtet von der öffentlichen Diskussion einen gänzlich anderen Umgang mit der Datenschutzthematik. In einigen Unternehmen galten alle IT-Sicherheitsmaßnahmen von vornherein dem Schutz von Informationen wie Kundendaten, Firmengeheimnissen und Mitarbeiterdaten, jeweils unter spezifischen Bedingungen, zu unterschiedlichen Zwecken und für die unterschiedlichen Interessengruppen. In solchen Fällen wurden Datenschutz und Sicherheit unter einer Leitung zusammengefasst. Jetzt denken immer mehr Manager um: Compliance-Vorschriften und der Druck der Öffentlichkeit machen nachweislich guten Umgang mit Datenschutz zu einem Qualitätsmerkmal für Unternehmen. Wer den Datenschutz beherrscht, ist vertrauenswürdig. Außerdem denkt man auch beim Datenschutz 3

4 EINFÜHRUNG selbst um: Nicht mehr allein das Vermeiden der Speicherung ist das wichtigste Mittel des Datenschutzes die vor unbefugten Zugriffen geschützte Ablage erhält immer mehr Bedeutung. Sie wiederum lässt sich nur mit den Mitteln der Informationssicherheit bewerkstelligen. Dieser Trend erhält zusätzlichen Schub durch aktuelle Vorschriften, die die Archivierung der gesamten elektronischen Geschäftskorrespondenz von Unternehmen verlangen. Die IT-Sicherheit wandelt sich aus dem Abschotten von Netzen wird angemessener Schutz für jedes Dokument, gestützt auf eine stringente Klassifizierung. Der Datenschutz ist in die IT-Sicherheit integriert. Der juristische Rahmen gewinnt mehr und mehr an Bedeutung Das Einhalten von Datenschutzrichtlinien zu kontrollieren, gestaltet sich schwierig. Es gibt keine Radarfallen für Datensünder, so Prof. Dr. Forgó von der Universität Hannover. Notwendig ist daher eine umfassende Aufklärung über Datenschutzstandards und Datenschutzrecht und das aus dieser Aufklärung resultierende gesellschaftliche Bewusstsein. Persönliche Freiheiten würden durch rechtliche Regulierungen im Internet nicht eingeschränkt, meint Forgó. Im Gegenteil, persönliche Freiheit im Netz sei eine Illusion: Die Privatsphäre kann durch Datenschutzkontrollen nicht gefährdet werden: Privatsphäre ist eine zentrale juristische Kategorie und vor allem im Grundrecht auf Datenschutz verkörpert, erklärt Forgó. Welches Recht im Internet angewendet wird, hängt vom Fall ab. In vielen Fällen, insbesondere im E-Commerce, kommt in der Regel das Recht des Staates zur Anwendung, in dem der Verbraucher seinen Wohnsitz hat, so Forgó. Im Verkehr zwischen Unternehmen kommt es zumeist auf das Recht des Staates an, in dem der Dienstanbieter seinen Sitz hat. Im Strafrecht hingegen sei es in der Regel jenes Recht, in dem sich die Straftat realisiert, bei Internetdelikten daher im Zweifel das Strafrecht jedes Staates, in dem der Inhalt abrufbar ist. An das Recht stellen sich aber im Rahmen von Datenschutz und Datensicherheit noch viele andere interessante Fragen. Fazit: Datenschutz und Datensicherheit gehören zusammen eine isolierte Betrachtung ist schon allein aufgrund der verschärften Regelwerke und Rechtsvorschriften nicht ratsam. Nicht zuletzt die aktuellen Datenschutzverstöße, die in den letzten Monaten bekannt wurden, haben die Relevanz des Datenschutzes auf eine neue gesellschaftspolitische Ebene gehoben. Wir werden gezwungen, uns auf Websites zu registrieren, wenn wir bestimmte Informationen haben wollen, wir werden gezwungen, bestimmte technische Standards einzuhalten, die Anonymität fördern oder behindern können. Wir werden auch dazu gezwungen, bestimmte sicherheitsrelevante Funktionen wie z.b. Cookies zuzulassen. Spezielle rechtliche Regeln, richtig eingesetzt, gefährden die persönliche Freiheit nicht, sondern sichern sie. 4

5 Inhalt EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen... 3 Welche Rolle spielt Bewusstsein?... 6 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Datenschutz und Sozialethik auf der schiefen Bahn? AUS DER PRAXIS Konvergenz aus Datenschutz und Datensicherheit Interview Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark AUS DER PRAXIS Datensicherheit: Beyond the Hype Phishing, Pharming und Trojaner. Die Netze der Datenmafia À la card: Smartphones sicher im Firmennetzwerk Erst Sicherheit, dann Compliance End-to-End Data Protection zuverlässiger Datenschutz vom Anfang bis zum Ende Sichere Lösung für den Abfallkreislauf Neue Wege für Data Protection dank WAN Acceleration Mit Unified Threat Management vor allen Gefahren sicher SUCCESS STORY Hilfe leisten mit Engagement und Professionalität Erstmals preiswerte IT-Security für Unternehmen mit hohem Sicherheitsanspruch AUS DER PRAXIS Von der Aktenhalde zum sicheren High-Tech-Archiv IT-Risiko-Management: Mittel zur Konvergenz von Datenschutz und Datensicherheit? Impressum

6 EINFÜHRUNG - FAKTOR MENSCH Welche Rolle spielt Bewusstsein? Warum Informationssicherheit nach wie vor kein angenehmes Thema ist. Von Manuel Hüttl Vielerorts wird behauptet, dass der Mensch die eigentliche Schwachstelle sei, wenn es um das Thema Informationssicherheit geht. Insbesondere die Administratoren der IT-Systeme raufen sich manchmal die Haare, wenn sie Anwender beim Umgang mit unternehmenskritischen Daten oder persönlichen Zugangsinformationen beobachten. Doch es wäre zu einfach, das essentielle Problem IT-Sicherheit auf den Menschen zu reduzieren. Richtig ist jedoch, dass der Anwender das Bewusstsein im Umgang mit IT schärfen muss. Hier sind unterschiedlichste Anspruchsgruppen in der Bringschuld. Wenn man die zentralen Diskussionen in der Welt der Informationstechnologie verfolgt, wird man feststellen, dass die wirklich großen Herausforderungen der Branche mit Bildung und Bewusstsein zu tun haben und nicht mit Soft- und Hardware Engineering. Es geht also um weiche Faktoren. Der Mensch selbst ist verantwortlich für technische Innovationen er entwickelt neue Lösungen, die das Leben einfacher gestalten, Arbeitsabläufe optimieren oder neue Geschäftsmodelle eröffnen. Wie kann also derjenige zur eigentlichen Schwachstelle werden, der die Systeme entwickelt. Schnell kommt da die Frage auf, ob uns die Technologie einholt, ja sogar schon überholt? Das Problem ist also an anderer Stelle zu suchen und lässt sich nicht einfach auf einen Bereich reduzieren. Bewusstsein für IT-Sicherheit wächst an vielen Stellen und erst ein Zusammenspiel einzelner Faktoren kann dazu beitragen, dass IT-Sicherheit in Zukunft nichts als einen lästiger Beigeschmack der wunderbaren Vorteile des Cyber-Zeitalters bedeutet. 6

7 Unterteilt man High-Tech-Themen in die vier Aspekte Organisation, Technologie, Recht und Psychologie, so scheint es, dass die beiden ersten Bereiche auf balancierte Weise bereits abgehandelt sind. Die Themenbereiche, die sowohl gesetzliche Rahmenbedingungen als auch Regelwerke tangieren werden derzeit intensiv bearbeitet. Die psychologischen Aspekte beim Umgang mit der Informationstechnologie stellen mit Sicherheit die größten Herausforderungen dar. In diesem Zusammenhang tun sich Fragen auf wie: Steht das Bewusstsein der Konsumenten dem technischen Fortschritt im Weg oder bildet es gerade den notwendigen Gegenpol zur Erkennung der Grenzen im Zuge der progressiven Technokratie? Wie gehen wir damit um, dass die von Menschenhand ausgelöste Entwicklungsgeschwindigkeit der Informationstechnologie die genetisch bedingten Grenzen für die Entwicklung unserer geistigen Kapazität bei weitem überschritten hat? Nach welchen Gesichtspunkten reagieren Verbraucher auf neue Technologien? Kann man diese Wahrnehmungen überhaupt beeinflussen? Welche Protagonisten müssen derartige Fragen beantworten? Dem recht breiten Bewusstsein für das Vorhandensein einer neuen Technologie, steht oftmals ein fehlendes Verständnis für deren Einsatz gegenüber. Wir können den Rahmenbedingungen unserer genetischen Voraussetzungen also offensichtlich nicht entkommen. Demnach stellt die gesellschaftliche Akzeptanz eine zwingende Voraussetzung für die erfolgreiche Umsetzung eines technologischen Potenzials dar. Gerade im Bereich der IT-Sicherheit hat man sich viel zu lange schon auf eine technisch-organisatorische Betrachtungsweise fokussiert. Man konzentrierte sich auf einen rein technischen Pragmatismus, der die unzweifelhaften Wechselwirkungen zwischen Technologie, Gesellschaft und Individuum, mithin also die sogenannten weichen Faktoren, weitgehend außer acht gelassen hat. Weiche Faktoren stehen im Blickpunkt Die Psychologie setzt sich unter anderem mit den Wahrnehmungen einer Technologie, eines Unternehmens, eines Produktes oder einer Dienstleistung auseinander. Wird beispielsweise eine Technologie als negativ oder sogar gefährlich wahrgenommen, verunsichert dies Mitarbeiter, Kunden und Geschäftspartner. Die Risiken im Umgang mit Informationsstrukturen sind dafür ein gutes Beispiel: Niemand kann so recht einschätzen, ob die potentiellen Gefahren nun auch wirklich existent sind oder nur für Marketingzwecke benutzt werden. Eines ist jedoch klar: Wenn das Disaster einsetzt und ein Angriff die Unternehmens-IT lahm gelegt hat, kann die mögliche Zerstörung von Geschäftsbeziehungen oder sonstigem Schaden eine für den Fortbestand einer Organisation bedrohende Krise werden. Prof. Peter Bienert, Vorstand der Unternehmensberatung forte advisors weiß: Information allein reicht nicht aus, um Skepsis gegenüber neuen Technologien abzubauen. Unternehmen müssen vor allem eine vertrauensvolle Beziehung zu ihren Stakeholdern aufbauen. Dieser langwierige Prozess gilt insbesondere für das Thema IT-Sicherheit. Erst ein entsprechendes Bewusstsein für die Risiken zieht eine Affinität nach sich. Einsatz von Technologien erfordert Bewusstsein Der Teilnehmer am digitalen Leben ist in hohem Maße gefordert, sich mit dem Schutz und der Verwaltung seiner Identität persönlich auseinander zu setzen. Technologie ist in Zeiten eines weltumspannenden digitalen Netzes eine zwar notwendige, ohne das entsprechende Bewusstsein jedoch keinesfalls hinreichende Voraussetzung für Sicherheit. Nach dem Verständnis der meisten Bürger fällt es in das Aufgabenspektrum des Staates, die für Sicherheit notwendigen Voraussetzungen für die von ihm vertretene Gemeinschaft sicherzustellen. Da unabhängig davon gemäß Grundgesetz die Trägerschaft aller Bildungseinrichtungen der Bundesrepublik in Bund und Ländern abgebildet ist, müsste man ein deutschlandweites Netz 7

8 EINFÜHRUNG - FAKTOR MENSCH an Weiterbildungsmaßnahmen und einen auf die Erfordernisse der digitalen Gesellschaft abgestimmter Lehrplan an Schulen und Universitäten erwarten. Zu unserer Überraschung stellen wir fest, dass ein Staatswesen, in dem der Begriff der Informationsgesellschaft in beständiger Regelmäßigkeit strapaziert wird, erstaunlich geringe Anstrengungen unternimmt, um seine Bürger auf die spezifischen Anforderungen dieses Zeitalters vorzubereiten. Maßgaben für eine kritische Auseinandersetzung mit Informationen, Informationsquellen, Medien und Identitäten bleiben eine so seltene Ausnahmeerscheinung im Rahmen der schulischen und akademischen Ausbildung, dass sich der zynische Verdacht aufdrängt, der moderne Staat sei aus nachvollziehbarem Grund an aufgeklärten Bürgern nur wenige interessiert. So müsste ein bewusstseinsbildender Prozess also bereits im Kindesalter ansetzen. Denn wir bewegen uns nicht erst auf ein Szenario zu, in dem Informationen das höchste Gut darstellen und Informationstechnologien in alle Lebenslagen Einhalt bekommen nein, wir befinden uns mitten in dieser Welt. Und wenn die Informationsstrukturen jetzt schon derart komplex aufgebaut sind, die Transaktionen von kritischen Daten weltweit in sekundenschnelle ausgeführt werden, müsste es relativ logisch erscheinen, wenn diese Strukturen und der Datenaustausch auch entsprechenden Schutzmechanismen unterliegen. Bewusstseinsbildung geht uns alle an! Die einzige Möglichkeit, dass die Unternehmenswelt den wachsenden Gefahren, die sich über das Web verbreiten, standhalten kann, ist, das Bewusstsein der eigenen Mitarbeiter in Sachen IT-Sicherheit zu schärfen. Dieses Bewusstsein für IT-Sicherheit fehlt in den meisten Führungsetagen, dabei sollte die Sicherheit, wie alles andere in einem Untenehmen auch, vom Management gesteuert und vorgelebt werden. Wichtig für das Management sind einerseits wirtschaftliche Aspekte und andererseits Fakten zur Einschätzung eines Gefahrenpotentials bei der Balance zwischen Sicherheit und Produktivität. Es gibt viele Hürden, die im Kontext Bewusstseinsbildung genommen werden müssen. So gilt es grundsätzlich, jedermann von der Wichtigkeit des Themas zu überzeugen. Darüber hinaus reicht es nicht, Policies in einem Unternehmen festzuschreiben. Sie müssen auch gelebt werden. Im Klartext: Wie sieht es aus mit der Exekution von Sanktionen? Was passiert, wenn die Assistentin am Empfang Downloads durchführt, zu denen sie laut Unternehmensrichtlinien gar nicht befugt gewesen wäre? IT-Geräte unterscheiden sich von anderen Geräten, die unsere moderne industrielle Gesellschaft ausmachen, in einem bedeutenden Punkt. Betrachten wir ein Automobil im Vergleich zu einem vernetzten Heimcomputer: Während ein Automobil in die Transportinfrastruktur einer modernen Gesellschaft ein mehr oder weniger geschlossenes System ist, das ohne andere Fahrzeuge tadellos funktioniert und selten von Verbindungen zu anderen Autos abhängt, ist ein Datenverarbeitungsgerät in Zeiten des Internets geradezu nutzlos, wenn es nicht mit anderen Datenverarbeitungsgeräten verbunden ist. Das heißt, wenn mein Auto unsicher ist, hat dies keine ernsten Konsequenzen für die Funktionsfähigkeit des Autos meines Nachbarn oder die globale Transportinfrastruktur. Wenn jedoch mein Heim-PC Teil eines Botnetzes wird oder Viren verstreut, kann dies verheerende Konsequenzen für andere PCs, Computeranwendungen und sogar für die IT-Infrastruktur als Ganzes haben. Bis zu einem gewissen Grad kann man bei Geräten wie Autos grundsätzlich darauf vertrauen, dass sie so funktionieren, wie es in der Gebrauchsanweisung beschrieben ist. Unliebsame Überraschungen tauchen selten auf oder sind durch ein vertrauenswürdiges Ökosystem (Gesetzgebung, Werkstätten, etc.) abgeschwächt. Datenverarbeitenden Systemen kann nicht vertraut werden und sie arbeiten zumindest in einer Heimanwender- oder Microbusinessumgebung nicht in einem vertrauenswürdigen Ökosystem. 8

9 Wie Untersuchungen zu Vertrauen zeigen, kann das Fehlen von notwendigen Bezugselementen des Vertrauens in der Beziehung zur Softwareindustrie ein wichtiger Faktor für das IT-Verhalten sein Neuartiger Simulationsansatz: Internet Risk Behaviour Index (IRBI) Die Methodik des IRBI wurde in Zusammenarbeit mit der Ludwig-Maximilians-Universität München (LMU) entwickelt. IRBI ist eine adaptive Lernumgebung. Der Simulator spielt dem Benutzer Situationen aus dem realen Umgang mit PC und Internet vor. IRBI verbindet auf völlig neue Art und Weise Forschung sowie positive Einflussnahme auf das Sicherheitsverhalten von Computernutzern im Rahmen einer Online-Plattform. Er bietet mit Hilfe einer Serie von innovativen Online-Tests einen fundierten Ansatz, um Informationen über das Verhalten von privaten PC-Anwendern zu gewinnen. Daraus entsteht ein Verfahren, das einen Index des Wissens über die Einstellungs- und Motivationsmerkmale der privaten Anwender im Bereich Sicherheit ermöglicht. Zugleich stellt IRBI eine E-Learning- und Support-Umgebung dar, die das Verhalten der PC-Nutzer positiv und nachhaltig beeinflusst. Der Anwender muss sich entscheiden, wie er in einer bestimmten Situation am besten handelt. Für richtige oder falsche Entscheidungen gibt es dann mehr oder weniger Punkte und unmittelbares Feedback. Die Simulation macht es so möglich, realitätsnah Erfahrungen mit echten Bedrohungen zu sammeln. IRBI trainiert richtiges Verhalten. Hierin liegt auch das wichtigste Unterscheidungsmerkmal zu gängigen Online-Tests: Es wird nicht nur theoretisches Wissen abgefragt, sondern praktisches Handeln eingeübt. Der Anwender kann sein tatsächliches Verhalten in potenziell gefährlichen Situationen überprüfen und verbessern. Dieser Aspekt ist deshalb so wichtig, weil abstrakte Kenntnisse allein keinen ausreichenden Schutz in Situationen bieten, bei denen richtiges Handeln über den Erfolg der Gefahrenabwehr entscheidet. Gefahren, die man sich nicht vorstellen und auch nicht an Personen festmachen kann, werden leicht unterschätzt. Wer unsicher ist, unter Zeitdruck steht oder unbedingt ein bestimmtes Ziel erreichen will etwa den Download eines Films im Internet erliegt außerdem der Versuchung, abstrakte Risiken zu ignorieren. Wer allerdings zumindest in einer Simulation einmal die Indikatoren für ein vergrößertes Risiko erleben und die richtigen Verhaltensweisen durchspielen konnte, wird sich eher für den ungefährlicheren Weg entscheiden. Wie groß der Schritt vom Wissen um eine Gefahr zum angemessenen Verhalten ist, weiß außerdem jeder, der beispielsweise einmal versucht hat, sich das Rauchen abzugewöhnen. Spielerisch lernen Alle Anwendungsfälle des IRBI basieren auf dem wissenschaftlichen Critical-Incidents- Verfahren nach Flanagan, die im Wesentlichen eine Methode der Informationssammlung über kritische das heißt nennenswerte positive und negative Ereignisse bei der Erfüllung einer Aufgabe verfolgt. Das Situationsrepertoire des IRBI erfasst aktuelle Online-Gefahren. Wichtige Risiken, für die das System Simulationen bereit hält, sind beispielsweise die unterschiedlichen Spielarten des Identitätsdiebstahls, wie sie beim Ausspionieren persönlicher Informationen über 9

10 EINFÜHRUNG - FAKTOR MENSCH 10 Internet-Plattformen oder beim Phishing eine zentrale Rolle spielen. Außerdem simuliert das System die unterschiedlichsten Tricks, mit denen Angreifer Viren und Trojaner auf die PCs von Anwendern schleusen. Das richtige Verhalten aller Internet-Nutzer entscheidet darüber, wie sicher das Internet insgesamt ist. Solange beispielsweise Privatanwender ihre Computer nicht gegen die Installation von Trojanern abschotten, können Angreifer mit den gekaperten Rechnern Botnetze aufbauen, die sie für hoch wirksame Angriffe auf wichtige Dienste und Organisationen einsetzen können etwa auf Institutionen, die Finanz- oder Gesundheitsdaten speichern erläutert Dr. Werner Degenhardt von der Fakultät für Psychologie an der LMU. Aber auch die PCs der Privatanwender selbst werden immer lohnendere Ziele, da auf ihnen wichtige private Daten liegen und weil sie bei der persönlichen Kommunikation eine immer zentralere Rolle spielen. Das Verhalten von Privatanwendern durch Zwang oder Regeln beeinflussen zu wollen, widerspricht den Konzepten einer freien Internetkommunikation und der informationellen Selbstbestimmung. Der einzige Weg zu einem adäquaten Anwenderverhalten führt über offene Weiterbildungsangebote. Deshalb will Microsoft mit dem IRBI einen Anreiz bieten, sich über das richtige Verhalten im Internet spielerisch zu orientieren und es im eigenen Interesse zu trainieren. Als Hersteller eines Großteils der weltweit für den Internetzugriff benutzten Technik möchte Microsoft so seiner Verantwortung für seine Kunden und für die Kommunikationsinfrastrukturen nachkommen. IRBI ist ein Beispiel für die gesellschaftlichen Initiativen des Unternehmens für mehr Sicherheit im Internet. Fazit Der Mensch ist also nicht einfach per se die Schwachstelle im System. Vielmehr sollte sein Verhalten und Agieren in den Vordergrund gestellt werden. Hilfestellung und Bewusstseinsbildung sind die Mechanismen, die einzusetzen sind. Die Erkenntnis des IRBI-Ansatzes ist, dass viele Aktionen im IT-Securitybereich generell motiviertes Verhalten in Reaktion auf Anreize sind, mit denen Personen in Berührung kommen. Durch sorgfältiges Strukturieren der Vorteile, die durch das Nutzen einer Technologie oder ein bestimmtes Verhalten gewonnen werden, können wir die Benutzer dazu bringen, die Entscheidungen zu treffen, von denen das Gesamtsystem profitiert. Sicherheitsversagen aufgrund von zu wenig Informationen kann z.b. als ein Fehlschlag angesehen werden, Anreize zu liefern, sich besser zu informieren. Es ist also zuerst notwendig, zu verstehen, wie die Nutzer Sicherheitsentscheidungen treffen und dann Sicherheitsprobleme zu charakterisieren, die aus diesen Entscheidungen resultieren. In diesem Zusammenhang ist es wichtig die bei Nutzern existierenden Modelle der Sicherheitsrisiken und zu verstehen. Manuel Hüttl ist Vorstandsmitglied der European Expert Group for IT Security (EICAR) und General Manager DACH bei der Kommunikationsagentur Waggener Edstrom Die EICAR wurde 1991 als eingetragener Verein in Deutschland gegründet. Zunächst mit dem Ziel, Know-how im Bereich der Antivirenforschung zu bündeln, gilt die EICAR mittlerweile als anerkanntes IT-Security Expertennetzwerk. Das Institut versteht sich als Plattform für den Informationsaustausch für alle Sicherheitsexperten, die in den Bereichen Forschung und Entwicklung, Implementierung sowie Management tätig sind. Hierdurch soll die globale Zusammenarbeit im Bereich der Computersicherheit gefördert werden. Ziel des Instituts ist es, Lösungen und Präventivmaßnahmen gegenüber allen Arten der Computerkriminalität, wie z.b. das Schreiben und Verbreiten von Computer-Viren, Betrug sowie das Ausspähen von personenbezogenen Daten, zu entwickeln. Dabei arbeitet das Institut sowohl sehr eng mit Unternehmen, politischen Organisationen oder universitären Einrichtungen als auch Medien,Technik- und Rechtsexperten zusammen.

11 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Von Prof. Dr. Nikolaus Forgo, Chairman Legal Advisory Board EICAR Der derzeitige Status Quo bei der Gesetzgebung zum Thema Datenschutz in Europa und Deutschland stellt sich uneinheitlich dar. Einerseits erfährt das Thema außergewöhnliche Aufmerksamkeit in den Medien, andererseits wird Deutschland nicht nur von einigen handfesten Datenschutz-Skandalen erschüttert, sondern auch von diversen Rechtsstreitigkeiten und Initiativen auf diesem Gebiet. Das deutsche Bundesverfassungsgericht, welches 1983 das Recht auf informationelle Selbstbestimmung ins Leben rief, übernimmt immer mehr eine Schlüsselrolle in punkto Datenschutz. Dabei stellte das Gericht ein neues grundlegendes Recht auf Privatsphäre und Sicherheit in der Informationsverarbeitung fest (Urteil vom 27. Februar 2008, Aktenzeichen 1 BvR 370/07; 1 BvR 595/07, Grundrecht auf Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme ) und erklärte daher Anfang letzten Jahres ein Bundesgesetz zur Onlinedurchsuchung für verfassungswidrig. In diesem Jahr steht das Gericht erneut im Mittelpunkt des internationalen Interesses. Es muss eine Entscheidung zu einer Sammelklage von mehr als Klägern gegen die deutsche Umsetzung der EU-Direktive 2006/24/EC zur Speicherung von Traffic-Daten fällen. In zwei vorläufigen Urteilen brachte das Gericht bereits deutlich seine Besorgnis über das nationale Vorgehen zum Ausdruck (Aktenzeichen 1 BvR 256/08). Die finale Entscheidung des Gerichts zur Verfassungsmäßigkeit der nationalen Richtlinien zur Datenspeicherung wird auch über Deutschland hinaus von Bedeutung sein. Vor kurzem beschränkte das Verfassungsgericht auch die Aktivitäten des Gesetzgebers in einem anderen Bereich der Datenverarbeitung. Im Urteil vom 3. März 2009 (Aktenzeichen 2 BvC 3/07, 2 BvC 4/07) erklärte das Gericht, dass der Einsatz von Computern für politische Wahlzwecke voraussetze, dass der Wahlprozess für jedermann ohne besondere IT-Vorkenntnisse transparent und nachvollziehbar sei. Das Gericht erklärte daher eine Verordnung über elektronische Wahlgeräte für verfassungswidrig. Bundesregierung plant neue Alternativen Trotz dieser Vorbehalte des Gerichts, entfaltete die Deutsche Bundesregierung auf diesem Gebiet erneut eifrige Aktivität. Zwei Gesetzesentwürfe wurden verabschiedet beide mit dem Ziel, das Bundesdatenschutzgesetz zu ändern. In einem Gesetzesentwurf vom 10. Oktober 2008 (BT- DS 16/10529) bezieht sich die Regierung auf das so genannte Scoring, ein Verfahren der Datenauswertung zur Bonitätsprüfung. Die Übermittlung von Daten an Institutionen, welche 11

12 EINFÜHRUNG 12 mit Informationen zur Bonitätsprüfung handeln, solle beschränkt werden. Ein Datensubjekt solle das Recht haben, auf Anfrage umfangreiche Informationen über die Einstufung seiner Bonität und der zu ihrer Berechnung verwendeten Algorithmen zu erhalten. In einer zweiten Initiative begann die Regierung, den Austausch grundlegender Adressdaten der Bundesbürger zu beschränken. Zukünftig soll es deutschen Unternehmen schwerer gemacht werden, Anzeigen zielgerichtet an mögliche Kunden zu richten. Zudem befindet sich noch ein (sehr allgemein gehaltenes) Gesetz zum Thema Prüfung der Datensicherheit in der Vorbereitung. Genau genommen beschränkte die Bundesregierung ihre Bestrebungen zu einer Reform des Datenschutzgesetzes in keiner Weise. Sie reformierte zudem das Bundesgesetz über die Tätigkeit des Bundeskriminalamtes. Im Dezember 2009 wurde der Einsatz jeglicher Art von Malware legalisiert: Artikel 20k des Gesetzes gestattet dem BKA den Einsatz vom Malware zu kriminaltechnischen Zwecken. Die notwendigen technischen Lösungen für ein derartiges Eindringen werden ausgerechnet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt. Daher ist eine Reform des Gesetzes über die Tätigkeit des BSI ebenfalls auf dem Weg. Das Ergebnis dieses Entwurfs, der vom Innenministerium verfasst wurde, wird sein, dass das BSI die Arbeit der Polizei zu unterstützen hat. Malware, die nicht von Hackern oder Kriminellen, sondern von einer Bundesbehörde geschrieben wird, stellt definitiv eine neue Entwicklung dar IT-Sicherheit, die dazu genutzt wird, um Vertrauen und Sicherheit zu schwächen. Datenschutz muss umfassender diskutiert werden Die deutsche Datenschutz-Strategie stellt sich paradox dar. Oberflächlich gibt man sich gern den Anstrich, über Datenschutz zu diskutieren und auch dafür einzutreten. Jedoch existieren weder eine ausreichende Diskussion noch eine zureichende Definition der Prioritäten. Zudem werden einige der grundlegendsten Prinzipien von Datensicherheit und Datenschutz permanent ignoriert. Um nur einige der Plattitüden zu nennen: a. Der beste Schutz für private Daten ist, sie erst gar nicht zu sammeln statt dessen führt die Gesetzgebung über die Datenspeicherung zu einem riesigen Volumen sensibler persönlicher Daten über jeden deutschen (und europäischen) Bürger. b. Eine Agentur, die für Datensicherheit verantwortlich ist, sollte unabhängig und ausschließlich für Datensicherheit verantwortlich sein stattdessen muss sich das BSI regelmäßig an (legalen) Angriffen gegen Datensicherheitsmaßnahmen beteiligen. c. Datensicherheit und Datenschutz sind eine Sache der bewussten Aufmerksamkeit. Diese bewusste Aufmerksamkeit muss nicht nur durch politische Aussagen bestärkt werden, sondern auch durch politische Rahmenbedingungen zur Stärkung und Unterstützung des Datenschutzes. Jedoch ist genau das Gegenteil der Fall, wenn (relativ) zweitrangige Themen in den Gesetzesentwürfen angesprochen und gleichzeitig (relativ) vorrangige Themen (wie zum Beispiel Datenschutz für Beschäftigte) hinten angestellt werden. d. Datenverarbeitung ist ein globales Phänomen. Das Netz sieht nationale Bestimmungen als Schaden an und bietet Möglichkeiten zu ihrer Umgehung (John Gilmore). Daher müssen die bereits ergriffenen Maßnahmen (zumindest) in Europa angepasst werden. EICAR wird auch weiterhin die gesetzlichen Entwicklungen in Deutschland und Europa sehr aufmerksam verfolgen. Generell bedarf es einer verstärkten und grundlegenden Analyse, welche auch die wirtschaftlichen Implikationen der ergriffenen Maßnahmen betrachtet Aus diesem Grund wird im ersten Halbjahr 2009 ein Positionspapier zum Datenschutz veröffentlicht. Darin wird der Versuch unternommen, die Gesamtsituation eingehend zu beleuchten.

13 Datenschutz und Sozialethik auf der schiefen Bahn? Dunkle Seiten von Datensammlungen und Compliance Von Hadi Stiel, freier Journalist in Bad Camberg Die Geschäfte werden zunehmend digital abgewickelt. Was früher offensichtlich auf Papier stand, tritt heute in elektronischer Form in den Hintergrund. Dort haben sich riesige Datenbestände aufgetürmt. Sie werden, eben weil im Hintergrund, über intelligente Filter- und Analysemechanismen auch zu inlegitimen und nicht sozial verträglichen Ergebnissen genutzt. Digitale Bearbeitungswege, weil uneinsichtig und flüchtig, entziehen sich für die daran Beteiligten und Betroffenen der Überwachung. Compliance und egovernance sollen mehr Licht ins Dunkel digitaler Vorgänge bringen. Doch auch ihre Registrierungs- und Überwachungsmechanismen laden zum Missbrauch ein. Die Folgen: Der Datenschutz und die Privatsphäre von Mitarbeitern und Bürgern drohen immer mehr unter die Räder zu kommen. Mit der Öffnung zum Internet werden Kundendaten im Hintergrund gehandelt wie auf einem Basar. Je differenzierter sie Auskunft über die Vorlieben geben, um so lukrativer fällt für die schwarzen Schafe das Geschäft aus. Die Hemmschwelle beim Umgang mit persönlichen Kundendaten senkt sich, registriert Thomas Gläsner, verantwortlich für den Bereich Geschäftstransformation beim IT-Dienstleister Logica. Er macht einen direkten Zusammenhang zwischen der zunehmenden Hinwendung der Unternehmen zu Internet-Geschäften und dem Verfall der Sitten aus. Das wirtschaftliche Interesse an gläsernen Kunden ist groß, weil so die eigenen Offerten gezielter an den Mann respektive die Frau gebracht werden können, erklärt er. Im Hintergrund werden ausgefeilte Filter- und Analysewerkzeuge genutzt, um keine Verkaufschance außer Acht zu lassen. Bedenklich sind die Folgen: Die Kunden werden über alle Kanäle aggressiv mit Angeboten adressiert. Viele sehen sich in der Konsequenz als Individuum 13

14 EINFÜHRUNG buchstäblich ausgezogen. Gläsner wähnt deshalb das Web der zweiten und dritten Generation als gefährdet. Die Anbieter werden künftig verhaltener, sorgsamer und verantwortungsbewusster mit den mitgeschnittenen Profildaten ihrer Kunden umgehen müssen. Andernfalls könnten sich die Kunden schnell enttäuscht von Internet-Käufen abwenden. Bei einigen großen DAX-Unternehmen finde immerhin in punkto Kundenakquise und Datenschutz ein Umdenkprozess statt. Anders bei den Internetlastigen Anbietern; Sie reizen alles aus, was geht, so Gläsner. Peter Schaar, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, moniert Adressverkäufe, Kontenweitergaben und die Überwachung von Kunden. An die Adresse des Staates fordert er auf, Datenvorratshaltungen und Online- Recherchen zurückzuführen. Datenaffairen wie Deutsche Telekom, Deutsche Bahn, Airbus, Lidl und Müller führen drastisch vor Augen, welche Dimension der Missbrauch von Kunden-, Partnerund Mitarbeiterdaten auch bei klassisch aufgestellten Unternehmen angenommen hat. Im ersten Fall wurden gleich mehrfach Kundenverbindungsdaten, so unter anderem an das Bundeskriminalamt (BKA) weitergereicht. Alle vier Anbieter haben sich mehrfach der Daten eigener Mitarbeiter bedient, ohne den Betriebsrat zu unterrichten. Nach Einschätzung von Mathias Hein, freier IT-Berater in Neuburg an der Donau, sind die bisher aufgedeckten Datenaffairen nur die Spitze des Eisbergs. Die professionellen Filter- und Analysemechanismen und die reichlich gefüllten Datentöpfe verführen zahlreiche Top-Manager dazu, illegale Wege zu gehen. Dazu käme ihnen die im Hintergrund verdeckt ablaufende Prozesse entgegen. Bestenfalls die Top-Manager sind noch in der Lage, die digitalen Abläufe und Datenbewegungen im Unternehmen zu überblicken. Hein: Datenaffairen werden nur publik, wenn auf oberster Etage politische Lecks entstehen, der Systemadministrator aus Gewissensgründen nicht still hält oder schlicht und einfach Pannen passieren. So wenn die erfassten Krankheitsdaten zu den Lidl-Mitarbeitern versehentlich ausgedruckt werden und in einem Müllcontainer landen. Was Hein besonders wundert: Hinter mehr als der Hälfte der bisher bekannt gewordener Datenaffairen stecken Ex-Staatsunternehmen, obwohl es davon nur eine handvoll gab. Ob Maßnahmen wie egovernance und Compliance solchen Fehlentwicklungen einen Riegel vorschieben können, ist fraglich. Solange sich das Management bei Finanzdienstleistern und anderen Unternehmen von Audits und Reports ausnimmt, wird beides, egovernance und Compliance, ins Leere laufen, schätzt Dr. Karsten Füser, Verantwortlicher für Qualitäts- und Risikomanagement im Finanzbereich bei der Unternehmensberatung Ernst & Young, ein. Ihre grundsätzliche Einstellung müsse sich ändern, was sich, bedingt durch die Finanzmarktkrise, zumindest andeute. Füser gibt sich optimistisch: Einmal etabliert, werden die neu entwickelten egovernance- und Compliance-Richtlinien den gewünschten Effekt entfalten sofern das Top-Management die Einführung vorbehaltlos mit trägt, wie er einschränkt. Wohin eine mangelnde Überwachung und Kontrolle führe, so Füser, habe der Finanzsektor gezeigt. Viele Akteure haben im Dschungel der Digitalisierung ihrer Finanzgeschäfte und falsch gesetzter Prüfungen buchstäblich den Überblick über die Risiken verloren. Systemische Probleme sind aber nicht auf den Finanzsektor begrenzt. Das beispielsweise egovernance nicht jedes Top-Managers Liebling ist, hat Ernst & Young schon vor drei Jahren durch eine Fraud-Studie im deutschsprachigen Bereich herausgefunden. Zwei Drittel aller Finanzbetrüger sind Manager, die von ganz oben zugreifen, so das Ergebnis. Sie fügen ihrem Unternehmen aufgrund ihrer Verfügungsgewalt einen überproportional hohen Schaden zu. Füser spricht deshalb von einem ethischen Bewusstseinsruck, der durch die Gesamtwirtschaft gehen müsse. Dazu gehöre auch, endlich mehr für den Datenschutz und das Recht auf Privatsphäre der Mitarbeiter und Bürger einzustehen. Bisher ist von diesem Wandel wenig zu verspüren. Zahlreiche Top-Manager unterstreichen mit ihrer Bonus-Mitnahmementalität, dass sie ihre eigenen Geschäftsinteressen weit höher bewerten als soziale Belange und die Datenschutzinteressen ihrer Mitarbeiter. Die Krise könnte die Neigung vieler Unternehmenslenker noch verstärken, sich, solan- 14

15 ge es geht, zu bedienen oder, unter Kostendruck und vorbei an gesellschaftlichen und politischen Regeln, das Mögliche aus ihrem Unternehmen herauszuholen. Erwin Schöndlinger, Geschäftsführer des Sicherheitsspezialisten Evidian Deutschland, verfolgt: Die Unternehmen aller Branchen müssen verantwortungsbewusster mit persönlichen Daten umgehen. Das beginne damit, vor der Erfassung, Speicherung und Archivierung im Rahmen des eigenen Geschäftsmodells deren Inhalt, Bedeutung für das Unternehmen, aber auch die langfristigen Konsequenzen für das Unternehmen und die Gesellschaft abzuwägen. So würden viel zu viele Daten aufgenommen, gehortet und verarbeitet werden, die in keinem direkten Bezug zum Geschäft oder zu notwendigen egovernance- oder Compliance-Auflagen stünden. Schon heute rauben förmlich explodierende Datenbestände und die Befolgung oft unnötiger, meist selbst auferlegter Regelungen den Mitarbeitern viel an Motivation und Produktivität, sagt Schöndlinger. Ein weiteres Problem eines ungezügelten Daten- und Bearbeitungswachstums sei, dass auf dieser unübersichtlichen Basis kaum etwas kontrolliert und geregelt werden könne, weil keine Transparenz herrsche. Eigentlich müssten Datenbestände und Vorgänge zuerst dereguliert, also vereinfacht und entflochten werden, bevor nachhaltig etwas geregelt werden kann, erteilt er einer unreflektierten und unvorbereiteten Regulierung eine Absage. Vielleicht hat das unreflektierte Sammeln und Horten digitaler Informationen für viele Unternehmen - und nicht nur für sie - System. Intelligente Filter- und BI-Werkzeuge durchstöbern mittlerweile gigantische Datenbestände in Sekunden und liefern komplexe Auswertungen in Minuten. Heute scheinbar belanglose Daten könnten morgen, je nach Ausrichtung der Recherche, entscheidend zu Ergebnissen beitragen. Auditing und Reporting, die einerseits dazu angetreten sind, im Sinne von Compliance und egovernance legitimes Licht ins Dunkel zu bringen, liefern andererseits detaillierte Mitschnitte, um Mitarbeiter und Bürger besser zu überwachen und zu beeinflussen. Solange Sozialverantwortung und Sozialethik das Handeln bestimmen, bewegen sich beide Maßnahmen im grünen Bereich. Was passiert aber, wenn andere Beweggründe wie Gier, Macht und Beherrschungswahn überhand nehmen? Dann gehen solche Maßnahmen und Techniken auf Kosten des Datenschutzes, der sozialen Ethik und Ausgewogenheit, schließlich der Demokratie. Rein betriebswirtschaftlich gesehen spricht alles dafür, weder mit den Datensammlungen noch mit den Compliance- und egovernance-vorkehrungen zu übertreiben. Mit einer wachsenden Komplexität schwindet, trotz Einsatz technischer Hilfsmittel, die Beherrschbarkeit. Zu viele, unnötige Regeln gehen auf Kosten der Transparenz. Sie führen zu überbordenden Unternehmensstrukturen, mehr Bürokratie und zusätzlichen Schlupflöchern, die es eigentlich auszumerzen gilt, sagt Wolfgang Kemna, CEO der zetvisions AG. Auch Kemna wendet sich als Compliance- und egovernance-spezialist gegen den aufkommenden Regelwildwuchs. Zumal zuviel des Guten eine effiziente und effektive Unternehmenssteuerung und Risikoabwehr erschwere. Er plädiert für eine Balance zwischen produktiven Freiräumen und zwingenden, generell aber produktivitätshemmenden Regeln. Das Quartett aus Compliance, egovernance, Unternehmenssteuerung und Risikomanagement muss außerdem organisationsweit mit der technischen und Prozessinfrastruktur zusammenspielen, wenn es Früchte tragen sollen, sagt er. Auch das mache es dringend ratsam, soweit wie möglich zu vereinfachen anstatt weiter zu verkomplizieren. Die Datenschützer und Sozialethiker, die die bisherige Entwicklung mit wachsender Sorge betrachten, würden diese Begrenzung auf das Notwendigste begrüßen. Der Elan bei Datensammlungen und bei der Etablierung von Vorschriften und Regeln werden wichtige Indikatoren dafür sein, welcher Geist und welche Absichten tatsächlich hinter diesen Maßnahmen stecken, konstatiert Padeluun vom Foebud (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.). Das gelte sowohl für die Unternehmen in der Rolle als Anbieter als auch den Staat mit seinen Behörden. Beide, so Padeluun, werden maßgeblich mitverantwortlich dafür sein, ob die Krise ein Umdenken fördert oder Datenschutz und Sozialethik noch weiter unter die Räder kommen werden. 15

16 AUS DER PRAXIS - CONSULTING Konvergenz zwischen Datenschutz und Datensicherheit Konvergenz bezeichnet im Allgemein das Sich- Aufeinander-zu-Entwickeln unterschiedlicher Ausgangszustände. Im Hinblick auf Datenschutz und Datensicherheit lassen sich diese Ausgangszustände wie folgt beschreiben: Datensicherheit soll den Schutz sämtlicher Unternehmensdaten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Der Datenschutz betrifft dagegen ausschließlich personenbezogene Daten und soll das informationelle Selbstbestimmungsrecht der Betroffenen schützen, d.h. selbst darüber bestimmen zu können, ob und wie ihre Daten erhoben, verarbeitet oder genutzt werden. Insofern bestehen unterschiedliche Ausgangssituationen bezüglich des Schutzgegenstandes und des Schutzzieles. Bei einem Sich-Aufeinander-zu-Entwickeln von Datenschutz und Datensicherheit beschränkt sich die Betrachtung meist auf den technischen Datenschutz nach der Anlage zu 9 BDSG. Dort beschrieben sind acht Kontrollmaßnahmen zur Gewährleistung der Datensicherheit personenbezogener Daten, wie Zutritts-, Zugriffs-, Eingabe- oder Weitergabekontrollen. Diese stellen jedoch nur die direkte Schnittmenge zwischen den beiden Ausgangszuständen dar. Der Grenzbereich zwischen Datenschutz und Datensicherheit ist größer und birgt eine Reihe von Schwierigkeiten, die sich vor allem aus den unterschiedlichen Herangehensweise ergeben Datenschutz eher rechtlich, Datensicherheit eher technisch orientiert. In der Praxis finden sich mehrere Beispiele für einen gemeinsamen Grenzbereich beider Gebiete. Eine Aufgabe der IT-Sicherheit ist es, Richtlinien für verschiedene Bereiche zu erstellen, so auch Benutzerrichtlinien für den Bereich Notebooks/mobile Endgeräte. Festzulegen sind Regelungen für den Umgang mit den Geräten, Bestimmungen zu Verschlüsselungen und Notfallmaßnahmen. Es müssen aber auch Belange des Datenschutzes berücksichtigt werden, da in den meisten Fällen auf solchen Geräten personenbezogene Daten gespeichert sind sei es auch nur im persönlichen Adressbuch. Ein weiteres Beispiel, welches in der Beratungspraxis besonders häufig vorkommt, betrifft die private Internet- und nutzung in der Firma. Durch ungeregeltes Erlauben oder Dulden der Privatnutzung setzen sich Unternehmen rechtlichen Risiken aus, welche die Anforderungen aus Datenschutz und Telekommunikationsgesetzen betreffen. Die Protokollierung und Durchführung der erforderlichen Kontrollen von geregelter Nutzung wäre dann wiederum Aufgaben der Datensicherheit. Die hierbei zu erstel- 16

17 lenden Richtlinien liegen also im Grenzbereich beider Gebiete. Auch in anderen Bereichen der IT-Sicherheit ergeben sich Berührungspunkte mit dem Datenschutz. So sind z.b. bei den Schutzbedarfsfeststellungen die besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG) wie z.b. Gesundheitsdaten mit einzubeziehen, da sie einen höheren Schutzbedarf haben als unsensible Daten. Der Grenzbereich kann teilweise auch von der Seite des Datenschutzes her erreicht werden. Dies tritt vor allem bei Vertragsgestaltungen, z.b. beim Outsourcing (ggf. Auftragsdatenverarbeitung nach 11 BDSG) auf. Die datenschutzrechtliche Begleitung der Einführung neuer Verfahren bedarf daher regelmäßig der Kommunikation zwischen den Disziplinen. Hier zeigt sich in der Praxis, dass die unterschiedlichen Herangehensweisen und die entgegensetzten Ausgangszustände zu Störungen im Ablauf führen können, da nicht dieselbe (Fach-) Sprache gesprochen wird. Parallel zu den Richtlinien im IT-Sicherheitsbereich ist im Datenschutzbereich ein Konzept zu erstellen (i.s.v. 9a BDSG). Bei der Arbeit an Richtlinien und Konzepten ergeben sich Überschneidungen, die kommuniziert werden müssen. Im Grenzbereich liegen weiterhin Aufgaben, die von beiden Bereichen zu erledigen sind, wie z.b. erforderliche Schulungen. Ein Schulungskonzept, welches Gemeinsamkeiten berücksichtigt und Raum für Unterschiede lässt, kann zu der erwünschten Annäherung und damit zu Synergieeffekten führen. Somit besteht zweifellos ein großer Abstimmungsbedarf sowohl organisatorisch als auch inhaltlich, um eine Konvergenz zwischen Datenschutz und Datensicherheit zu erreichen. Eine mögliche Umsetzung dieser Anforderung könnte in der Vereinigung des Datenschutz- und IT-Sicherheitsbeauftragten in einer Person gesehen werden. Leider wird sich diese Lösung in den seltensten Fällen realisieren lassen, da nur wenige Personen die benötigte Fachkunde in sich vereinen. Zudem könnte es auch aufgrund der eingangs erwähnten unterschiedlichen Ausgangszustände zu einem Zielkonflikt kommen, z.b. wenn Aspekte der Datensicherheit für Protokolle sprechen, diesen jedoch Anforderungen des Datenschutz entgegenstehen - oder wenn eine gegenseitige Kontrolle angebracht ist. Daher wird ein sich ergänzendes Team, das gut aufeinander eingespielt ist und sich aufgrund langjähriger interdisziplinärer Fachkompetenz auf der gleichen Kommunikationsebene befindet, die bessere Wahl für solche Positionen sein, auch, um eine funktionierende Konvergenz zwischen Datenschutz und Datensicherheit herzustellen. Katrin Clüver, Rechtsanwältin und Informatikerin, Consultant Datenschutz und IT-Sicherheit, Matthias Lindner, Rechtsanwalt und Wirtschaftsinformatiker, Consultant Datenschutz und IT-Compliance, intersoft consulting services GmbH intersoft consulting services Die intersoft consulting services GmbH ist ein branchenneutrales Hamburger Beratungsunternehmen, spezialisiert auf Unterstützungsleistungen in den Bereichen IT-Sicherheit, Datenschutz, IT-Compliance und IT-Governance. Unsere Leitidee ist, nachhaltige Lösungen für ihr Unternehmen zu schaffen. Wir orientieren uns an neuesten Standards, wie COBIT, ISO und an den BSI Standards. Wir beraten nach Datenschutzgesetzen des Bundes und der Länder sowie nach den für Ihr Unternehmen zutreffenden weiteren gesetzlichen Anforderungen. Unsere Kunden profitieren sowohl von der langjährigen Tätigkeit unserer Consultants in unterschiedlichen Fachgebieten, als auch von den sich überschneidenden Fachkompetenzen im Datenschutz-, IT-, und Rechtsbereich. Unser Know-how stellen wir in den Dienst Ihres Unternehmens. 17

18 INTERVIEW Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark Welche Lösungen bieten Sie im Segment Privileged Identity Management (PIM) an? Jochen Koehler: Den Bereich Privileged Identity Management decken wir mit drei komplementären Lösungsmodulen ab. Im Mittelpunkt steht dabei der Enterprise Password Vault für die automatische Verwaltung und Änderung von privilegierten Administratoren-Accounts. Mit dem Application Identity Manager bieten wir eine Lösung an, die die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files den sogenannten Hardcoded Software Accounts ermöglicht. Abgerundet wird unser Lösungs-Portfolio vom Privileged Session Manager zur Aufzeichnung von Admin-Sessions. Durch die Kombination dieser drei Produkte in der Privileged Identity Management Suite sind wir der einzige Anbieter einer kompletten und durchgängigen Lösung für die Sicherung, Verwaltung und Überwachung privilegierter Accounts. Wo sehen Sie heute auf Unternehmensseite den größten Handlungsbedarf? Jochen Koehler: Eindeutig im Bereich der privilegierten Accounts. Passwörter sind schließlich der Schlüssel zu allen unternehmenskritischen Daten. Und Status quo ist leider immer noch: Auf den IT-Systemen finden sich teilweise identische und meistens leicht zu entschlüsselnde Passwörter. Warum ist dies so? Jochen Koehler: Ganz einfach: Wenn keine entsprechende Lösung implementiert ist, kann auch die Änderung und Verwaltung von Passwörtern nur manuell erfolgen und das ist natürlich mit einem immensen Zeitaufwand verbunden. Was bietet hier Ihr Enterprise Password Vault konkret? Jochen Koehler: Der Enterprise Password Vault ermöglicht eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern. Darüber hinaus kann mit ihm durch eine vollständige Zugriffskontrolle und Protokollierung die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden. Neueste Lösung im Portfolio ist der Privileged Session Manager. Warum sehen Sie hier ein hohes Vermarktungspotenzial? Jochen Koehler: Wenn Unternehmen heute über eine Outsourcing-Lösung nachdenken und sich gegen eine solche entscheiden, sind oftmals Sicherheitsbedenken hinsichtlich der Auslagerung unternehmenskritischer Daten der 18

19 ausschlaggebende Faktor: nicht zuletzt auch im Hinblick auf privilegierte Accounts, wie sie Administratoren auf Seiten des externen Dienstleisters beziehungsweise Insourcers besitzen. Mit unserer neuen Lösung Privileged Session Manager zur Aufzeichnung von Admin-Sessions kann nun nicht nur überprüft werden, wer Zugang zu sensiblen Informationen hat, sondern auch, was er mit diesen Informationen macht. Das erhöht die Sicherheit für den Outsourcer an einem kritischen Punkt natürlich nachhaltig. Welchen Zielmarkt adressieren Sie? Wie groß muss das Unternehmen sein? Jochen Koehler: Generell adressieren wir mit unseren Lösungen alle Branchen. Weltweit zählen wir heute über 500 Unternehmen zu unseren Kunden. Mit unserer zentralen Lösung Enterprise Password Vault richten wir uns natürlich vornehmlich an große Unternehmen, da mit der Anzahl an Administratoren natürlich auch das Gefährdungspotenzial und der Verwaltungsaufwand zunehmen. Konkreter: Wir richten uns in diesem Bereich an Unternehmen mit mehr als zehn Administratoren. Welche Lösungen hat Cyber-Ark abgesehen von PIM im Lösungs-Portfolio? Jochen Koehler: Zu nennen sind hier der Sensitive Document Vault, mit dem vertrauliche Dokumente sicher gespeichert und verwaltet werden können, und der Inter-Business Vault, eine Managed-File-Transfer-Lösung für den Datenaustausch über das Internet. Sehen Sie aktuell einen steigenden Bedarf an Ihren Lösungen? Jochen Koehler: Definitiv ja. Ein Ergebnis einer kürzlich von uns durchgeführten Studie war, dass rund 55 Prozent aller Mitarbeiter beim Verlassen ihres Arbeitgebers Daten mitnehmen würden. In einer Zeit steigender Mitarbeiterentlassungen erhöht das natürlich für die Unternehmen auch die Gefahr des Datenabflusses, der gerade mit unseren Lösungen zuverlässig verhindert werden kann. Welche Rolle spielt das gegenwärtig vielfach diskutierte Thema PCI-DSS? Jochen Koehler: Für uns eine sehr große. Aktuell sind wir in mehreren Projekten tätig, die im Zuge einer erforderlichen PCI-DSS-Zertifizierung aufgesetzt wurden. Zentrale Anforderungen, die sich aus dem PCI-Regelwerk ergeben, erfüllen wir mit unseren Lösungen Enterprise Password Vault und Inter-Business Vault exakt: zum Beispiel hinsichtlich der Regelungen zum Schutz gespeicherter Daten oder zur Änderung von Kennwörtern. Abschließende Frage: Wie vertreiben Sie Ihre Lösungen in Deutschland, direkt oder indirekt? Jochen Koehler: Wir setzen in Deutschland eindeutig auf ein indirektes Vertriebsmodell. Zu unseren Partnern gehören unter anderem Computacenter, Controlware, Crocodial und Integralis. Über Cyber-Ark Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich Privileged Identity Management. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Das Unternehmen hat mit weltweit rund 100 Mitarbeitern im Geschäftsjahr 2008 einen Umsatz von rund 18 Millionen US-Dollar erzielt. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten. 19

20 AUS DER PRAXIS - DATENSICHERHEIT Datensicherheit: Beyond the Hype von Eberhard von Faber, T-Systems und FH Brandenburg Wir leben in einer Wissensgesellschaft, in der geistiges Eigentum zum entscheidenden Kapital eines Unternehmens gehört und dessen Schutz mit über die Wettbewerbsfähigkeit entscheidet. Die elektronische Speicherung und Verarbeitung der Informationen steigert die Produktivität der Unternehmen, macht sie aber gleichzeitig verwundbar für den Verlust vertraulicher Informationen oder die Manipulation von Daten und Systemen. So wundert es nicht, dass Datensicherheit zu den Top-Prioritäten der Verantwortlichen gehört. Der nachfolgende Artikel wirft einen Blick hinter die Kulissen und zeigt verbundene Aufgaben und offene Fragen. 1. Sicherheit ist eine Frage der Organisation. Ob man zentrale Einheiten schafft, mit virtuellen oder projektorientierten Organisationen arbeitet oder Mischformen bevorzugt und unabhängig davon, wie man Aufgaben verteilt und Prozesse gestaltet, am Ende steht immer die Frage, welcher Aufwand adäquat ist. Oder kurz und griffig: Wie viele Sicherheitsverantwortliche braucht ein Unternehmen wirklich? Die entsprechend direkte, ungezierte Antwort auf diese schlichte Frage könnte lauten:...eigentlich nur einen. Denn Sicherheit ist oft lautlos und abseits des geschäftigen Kampfgetümmels am größten. Auf ein Unternehmen übertragen, braucht man nur einen Verantwortlichen, aber natürlich nur bei einem perfekt arbeitenden Ganzen. Jeder muss seinen Beitrag leisten! Dazu muss zunächst das notwendige Sicherheitsbewusstsein die Awareness geschaffen, entwickelt und erhalten werden. Mitunter sind Maßnahmen, die Mitarbeiter stärken, wirkungsvoller und effektiver als vieles, was ihnen technisch auferlegt wird. Die Erfahrung zeigt weiterhin, dass Secu- 20