Diskussionsrunde zur Umsetzung von DSGVO-Projekten „Ein Readiness-Check zeigt den Fortschritt an“
23. Mai 2018Grundsätzlich sollte zur Umsetzung der Anforderungen durch die DSGVO ein systematisches Vorgehen gewählt werden. Abzuraten ist von wildem Aktionismus oder der ‚Pflasterchen-Methode‘. Denn dabei werden nur punktuell Maßnahmen ergriffen, ohne dabei systematisch die Gesundheit des Patienten herzustellen. Das ist eine Empfehlung für die Umsetzung von DSGVO-Projekte aus der Experten-Diskussionsrunde.
Sofort starten
Die Sicherheit der Daten im Unternehmen und bei der Übertragung an andere ist ein wichtiges Umsetzungsthema. Immer noch investieren Unternehmen in Deutschland zu wenig und zu zögerlich in IT-Sicherheit.
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies, vertritt die Meinung, dass nur wer personenbezogene Daten im eigenen Unternehmen vor den Zugriffen Dritter schützen kann, auf Dauer DSGVO-Konformität erreichen und das Vertrauen seiner Kunden rechtfertigen wird: „Hier müssen Unternehmen ansetzen und investieren. Bislang konnten Datenschutzverstöße und Sicherheitsvorfälle noch unter den Tisch gekehrt werden, mit der DSGVO sowie den angedrohten Strafen wird sich dieses Verhältnis massiv umkehren. Zukünftig wird der Datenschutz in den Überlegungen der Unternehmen wieder eine größere Rolle spielen. Der Verbraucher ist der große Gewinner.“
Am Beispiel Slack sei zu sehen, dass ein Software-Hersteller aus dem amerikanischen Raum die Anforderungen des Gesetzgebers ernst nehmen muss und die Standorte seiner Rechenzentren nach Europa innerhalb der EU verlegen wird. Diesem Beispiel werden nach Einschätzung von Arendt in den nächsten Monaten weitere Unternehmen folgen.
„Unternehmen, die erst vor kurzer Zeit die Relevanz der Datenschutzgrundverordnung erkannt haben, sehen sich insbesondere mit der Herausforderung konfrontiert, die gesetzlichen Anforderungen zu interpretieren, um den Sollzustand abzuleiten zu können“, so skizziert Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security, die Ausgangslage. „Grundsätzlich sollte zur Umsetzung der Anforderungen ein systematisches Vorgehen gewählt werden. Abzuraten ist von wildem Aktionismus oder der ‚Pflasterchen-Methode‘. Denn dabei werden nur punktuell Maßnahmen ergriffen, ähnlich einem Pflaster für eine blutende Wunde, ohne dabei systematisch die Gesundheit des Patienten herzustellen.“
Blick über den Zaun
Nach ihrer Erfahrung sei eine dem Risiko angemessene Vorgehensweise sinnvoll – unter Berücksichtigung der Verhältnismäßigkeit und bestehender Synergien. „Besonders vor dem Hintergrund der zumeist ohnehin vorherrschenden hohen Ressourcenauslastung der verantwortlichen Funktionen ist die Einbindung von externer Expertise sinnvoll“, stellt Scheiter fest. „Sie kann Aufwände sowohl im Rahmen der DSGVO-Programme als auch im Datenschutzbetrieb optimieren.“
Generell empfiehlt die Expertin den Unternehmen, dass sie möglichst sofort starten, falls das noch nicht erfolgt sein sollte. Dazu sollten Unternehmen die Relevanz der Datenschutzgrundverordnung für Ihre Organisation bewerten und feststellen, welcher Handlungsbedarf besteht und welche Maßnahmen umzusetzen sind. Danach gilt es, sich Verbündete zu suchen, wie zum Beispiel den Informationssicherheitsbeauftragten. Zudem sei Unterstützung sowohl beim Top-Management als auch bei Experten einzuholen und dann die vorgesehenen Maßnahmen gemäß einer risikoorientierten Vorgehensweise abzuarbeiten. „Vergewissern sich zudem, dass Sie auf dem richtigen Weg sind, etwa mit einem Readiness-Check“, schreibt Scheiter den Interessierten noch ins Stammbuch. Schließlich sollten Unternehmen dabei Synergien, etwa im Zuge der Zusammenarbeit mit der Informationssicherheitsorganisation, nicht aus dem Auge verlieren.
„Hält ein Unternehmen bereits andere Vorschriften ein, lohnt es sich zu schauen, wo hier die Unterschiede liegen“, empfiehlt Michael Kretschmer, Vice President EMEA von Clearswift RUAG Cyber Security, wenn es um das Umsetzen von EU-DSGVO-Projekten geht. Dies gelte vor allem, wenn man bereits über Technologien und Prozesse zur Einhaltung der Vorschriften verfügt. „Es ist gut möglich, dass man bereits einen erheblichen Teil der DSGVO abdeckt“, so Kretschmer weiter. „Wie bei allen Compliance-Projekten geht es hier nicht nur um die IT, sondern um die gesamte Organisation, sodass ein funktionsübergreifendes Expertenteam zur Lösung der Probleme der schnellste Weg ist, um Fortschritte zu erzielen.“
Ein großes Problem hat sich laut Kretschmer bei vielen Unternehmen gezeigt: „Erst wenn man anfängt, sich mit dem Thema DSGVO zu beschäftigen, weiß man, wie groß das eigentliche Problem ist. Daher sollten Unternehmen ‚ihre Daten‘, also das ‚Wo, Was und Wer‘ verstehen und anschließend einen Plan zusammenstellen, um diese zu schützen. „Bei der DSGVO geht es nicht nur um Technologie, also muss man sich visualisieren, welche neuen Abläufe nötig sind und diese gehören dann implementiert.“ Hierbei sei alles zu dokumentieren, damit sich die zugrunde liegenden Gedanken und Handlungen nachvollziehen lassen, wenn man hinsichtlich der Compliance angefragt wird.“ Dabei sollte man nicht nur das eigene Unternehmen im Blickfeld haben, sondern auch die Lieferanten, um sicherzustellen, dass diese ebenfalls ein Compliance-Programm etabliert haben.
Einen strategischen Ansatz hält Joe Garber für den besten Weg, wenn es um das Umsetzen der DSGVO-Vorgaben geht. Der Global Head of Product Marketing, Information Management & Governance bei Micro Focus, empfiehlt, mit einer Analyse der aktuellen Anforderungen, der Möglichkeiten und Fähigkeiten zu beginnen. „Entwickeln Sie einen Fahrplan, der es Ihnen ermöglicht, Ihre wichtigsten Prioritäten zuerst anzugehen. Dokumentieren Sie hier auch auf jeden Fall die wichtigsten Meilensteine. Anschließend ist der nächste logische Schritt analytische Werkzeuge einzusetzen, um besser auf Ihre Informationen zuzugreifen, sie zu verstehen und zu klassifizieren.“ Mit dieser Einsicht lassen sich dann die notwendigen Schritte unternehmen, um die Anforderungen an Datenschutz, Sicherheit und Governance für jedes einzelne Objekt im Unternehmen zu erfüllen.
Technische Lösungen
Dagegen hat Pascal Cronauer, Regional Director DACH bei LogPoint, die Erfahrung machen müssen, dass vielfach immer noch Aufklärungsbedarf besteht, sowohl hinsichtlich technischer als auch organisatorischer Maßnahmen: „Unternehmen beginnen mit der Umsetzung noch sehr zaghaft. Wir sehen allerdings, dass es eine steigende Nachfrage nach Netzwerkanalyse-Software gibt, die auch Bedrohungen erkennen und herausfiltern kann. Da kommen wir mit SIEM ins Spiel.“
Für den Logpoint-Experten gibt es eine ganze Reihe von Empfehlungen, aber. „Aus unserer Sicht ist natürlich die Implementierung von technischen Lösungen zur Erkennung von Sicherheitsvorfällen und vor allem zur Abgrenzung von ‚False Positives‘ wichtig. Wenn dann noch die Möglichkeit zur Erkennung eines Angriffsverhaltens dazu kommt, erhöhen wir damit deutlich die Intelligenz der IT-Systeme. Zudem können wir durch selbstlernende Software diese Möglichkeiten stetig verbessern und auf die sich ändernde Bedrohungslage anpassen.“
„Die Ausgangssituation von vielen Organisationen ist sehr unterschiedlich.“ Diese Erfahrung hat Edward Driehuis gemacht, der Chief Research Officer von SecureLink. „Für alle Unternehmen gilt daher gleichermaßen, zunächst mithilfe eines umfangreichen Assessments festzustellen, wo es sich befindet. Setzen Sie nicht zu viel voraus. Für die Umsetzung der EU-DSGVO benötigt man Menschen, Prozesse und Technologien und zwar genau in dieser Reihenfolge. Wenn Sie die Technologie an erste Stelle setzen, laufen Sie Gefahr, einen zusammenhanglosen Flickenteppich an Lösungen zu implementieren. Viele Unternehmen haben bereits mit der Umsetzung begonnen – trauen Sie sich ihnen Fragen zu stellen und tauschen Sie Erfahrungen mit anderen Unternehmen aus.“
Rainer Huttenloher
Teilnehmer an dem "virtuellen Roundtable" zum Thema DSGVO waren:
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
Pascal Cronauer, Regional Director DACH bei LogPoint
Eward Driehuis, Chief Research Officer von SecureLink
Joe Garber, Global Head of Product Marketing, Information Management & Governance bei Micro Focus
Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Fabio Marti, Director Business Development bei der Brabbler AG
Eva-Maria Scheiter, Executive Consultant GRC, NTT Security
Marc Schieder, CIO von DRACOON