Hans-Peter Bauer ist Vice President Central Europa beim Softwareanbieter McAfee (Bild: McAfee)
Die europäische Datenschutz-Grundverordnung GDPR treibt vielen Firmen die Schweißperlen auf die Stirn. Was fordert sie von den Unternehmen?
Es hat etwas von Weihnachten. Jedes Jahr findet es am 24. Dezember statt, trotzdem kaufen die Menschen am 23. erst Geschenke. Genauso ist der Termin für die GDPR schon länger bekannt. Andererseits birgt das Thema eine hohe Komplexität für die Unternehmen. Kritisch ist etwa, dass man nun in der GDPR eine konkrete Strafe für Nichteinhaltung formuliert hat. Für die Unternehmen wird so transparent, welches Risiko die Regelung für sie bedeutet. Hinzu kommt, dass mit der Datenschutz-Grundverordnung auch Incompliance bestraft wird. Bisher ging man davon aus, dass bei einer konkreten Gesetzesverletzung – etwa wenn Daten gestohlen werden – eventuell eine Bestrafung nach sich zieht. Mit dem Inkrafttreten der GDPR sind die Datenschutzbeauftragten der Bundesländer in Deutschland beauftragt, Audits zur Umsetzung des Gesetzes durchzuführen. So könnte im Juni theoretisch ein Auditor auftauchen und die GDPR-Compliance abfragen. Das trifft die Unternehmen wohl am härtesten.
Welche Konsequenzen kann eine Nichteinhaltung für Unternehmen haben?
Es gibt diese ominöse Höchststrafe von 20 Millionen Euro beziehungsweise vier Prozent des Firmenumsatzes. Vermutlich wurde das von den Regulatoren in dieser Höhe festgelegt, um zu verdeutlichen, dass es sich nicht um ein Kavaliersdelikt handelt. Die Gerichte werden sich schwer tun, die entsprechende Höhe zu formulieren. Die Summe kann ja durchaus ruinös sein.
Ist der strenge Datenschutz, den die EU jetzt Unternehmen und Organisationen mit der G2DPR auferlegt, ein Wettbewerbsnachteil gegenüber Konkurrenten wie den USA?
Das kann man unter zwei Winkeln betrachten. Zum einem kann ein Unternehmen es für einen Wettbewerbsnachteil halten, wenn es für Behörden zusätzliche Pflichten und technologische Anforderungen erfüllen muss. Zum anderen gelten diese Pflichten auch für amerikanische Unternehmen in der EU. Wenn die strengere Regulierung mehr Datensicherheit garantiert, wird daraus womöglich ein Wettbewerbsvorteil – und im Moment ist GDPR die schärfste Formulierung zum Datenschutz. Wir erwarten sogar, dass einige der großen Cloud-Anbieter, da sie hier in Europa GDPR-compliant sein müssen, künftig mehr Daten in Europa speichern als anderswo. Indem man diese Compliance als Service weltweit anbietet, können vielleicht neue Geschäftsmodelle entstehen.
Was bedeuten die neuen Regelungen für die Unternehmens-IT?
Nach dem deutschen Verordnungstext wird die Compliance bei Audits – analog zum Englischen „Best Practice“ – nach dem „Stand der Technik“ überprüft. Insofern müssen Unternehmen und Organisationen den Anschluss an den aktuellen Stand der Technik schaffen. Unserem Verständnis nach müssen sie dafür mindestens den zuständigen ISO-Normen entsprechen. Auch wenn es nicht formuliert ist, werden Gerichte, die später im Schadensfall oder Compliance-Case entscheiden müssen, eine ISO-Zertifizierung wohl als strafmildernd ansehen. Die Unternehmen werden sich stärker mit den Themen Data Leakage Protection und Reporting beschäftigen müssen. Wir stellen fest, dass es zunehmend länger dauert, bis ein wirklicher Vorfall entdeckt und gemeldet werden kann. Firmen müssen sich die Frage stellen „Wie verkürze ich die Zeit vom eigentlichen Vorfall bis zur Entdeckung des Vorfalls“. Schließlich nimmt das Ausmaß des Breaches zu, bis der Breach gefunden wird. Deshalb müssen Unternehmen wesentlich stärker Technologien einsetzen, die nicht nur schützend und reaktiv sind, sondern präventiv und proaktiv arbeiten.
Lesen Sie auf der nächsten Seite, wie sich Firmen auf die Datenschutz-Grundverordnung vorbereiten können und wie große der Beratungsbedarf in deutschen Unternehmen ist.
Wie können sich Firmen generell auf die IT-Seite der Datenschutz-Grundverordnung vorbereiten?
Die Technologien, um GDPR-konform zu sein, sind heute alle verfügbar, aber leider sind sie noch nicht überall implementiert. Wir haben bei McAfee auf Europa-Level eine GDPR-Taskforce eingerichtet. Ein spezielles Team berät Kunden dazu, welche technologischen Maßnahmen sie ergreifen können, um GDPR-compliant zu werden. Genau genommen handelt es sich im ersten Schritt um eine Rechtsberatung, im zweiten um eine Prozessberatung und erst im dritten um eine Implementierungs- und Technologie-Frage. Mit Technologie alleine werden Kunden schließlich nicht compliant. Zunächst müssen sie ihre Organisationsstruktur und die Unternehmensprozesse, ihre Datenstruktur entsprechend einrichten. Darin liegt die große Schwierigkeit, die Unternehmen vorfinden. Übrigens besagt die GDPR auch, dass man das Thema Compliance nicht an Drittanbieter delegieren kann. Firmen sind also weiterhin dafür verantwortlich, auch wenn sie das ganze Thema über ein Service-Level-Agreement outgesourced haben. Dabei weiß die Hälfte aller Kunden, die Datenservices nutzen, nicht einmal, wo ihre Daten sind und über welche Wege ihre Daten gehen.
Entsprechend groß ist der Beratungsbedarf?
Ja, wir bekommen viele Kundenanfragen zur Strukturierung von Daten. Im Grunde dreht es sich um drei Fragen. Wo sind Daten? Wie bewegen sich Daten? Wo kommen Daten an? Eine große Rolle spielt dabei die Cloud. Früher wusste man wenigstens „Meine Daten sind in einem Rechenzentrum“. Heute sind Cloud-Dienste aus Unternehmen nicht mehr wegzudenken. Um entsprechende Lösungen anzubieten, haben wir die Firma Skyhigh Networks akquiriert, die eine spezielle Cloud-Technologie CASB entwickelt hat. Der sogenannte Cloud Access Security Broker erlaubt, dass man sein selbst definiertes Regelwerk von einer lokalen Infrastruktur auf die Cloud überträgt. So lassen sich in der ganzen Transaktionskette, also von dort wo die Daten erzeugt werden, über den ganzen Transportweg hin in die Cloud die gleichen Sicherheitspolicies gewährleisten. Das gilt auch, wenn die Cloud bei einem Drittanbieter ist.
Sind die deutschen Unternehmen für den GDPR-Fall gerüstet?
Es besteht einiger Nachholbedarf darin, die Sicherheitsstandards aufzurüsten. Die meisten heute aktiven Unternehmen haben noch eine mehrstufige Sicherheitstechnologie à la „Ich habe etwas für das Netzwerk, ich habe etwas für den Endpoint, ich habe etwas für mein Data-Center.“ Aber diese Technologien muss man verbinden, sie müssen integriert arbeiten und die gleiche Intelligenz nutzen. Viele Kunden setzen auch nur reaktive Systeme wie den klassischen Virenschutz ein. Hingegen lässt sich mit Künstlicher Intelligenz, die wir in unsere Systeme eingebaut haben, und entsprechender Cloud-Nutzung fast in Real-Time agieren, falls irgendwo auf der Welt eine Bedrohung aufgetreten ist. Gerade bei sich schnell verbreitenden Systemen wie Ransomware ist es wichtig, dass alle an der Sicherheit beteiligten Komponenten der IT-Infrastruktur auf der gleichen Wissensbasis ansetzen. Heutige Attacken sind stark darauf ausgelegt, dass eine bestimmte Zeitspanne zwischen der erfolgreichen Attacke bis zum Erkennen der Attacke liegt. Wenn aber alle Systeme in dieser IT-Infrastruktur mit dem gleichen Wissen arbeiten, lässt sich diese Zeit stark reduzieren. Auch die Entdeckung sowie die Beseitigung oder die Korrektur eines Angriffes lässt sich so in hohem Maße automatisieren. Wir haben etwa von einem Quartal zum nächsten einen Zuwachs von 20 Prozent an neuer Schadware festgestellt. Manuell ist das nicht mehr korrigierbar. Bei integrierten Systemen lässt sich jedoch ein Automatisierungsgrad von 80 oder 90 Prozent erreichen. So können sich die wenigen Spezialisten, die die Unternehmen haben, auf die kritischen 10 Prozent konzentrieren. Wir erwarten schließlich, dass bis 2020 weltweit etwa zwei Millionen Sicherheitsspezialisten fehlen werden. Das sind allein in Deutschland etwa 120.000 bis 160.000 fehlende Fachkräfte.
Über Soziale Medien wie Facebook oder Twitter wandern Daten heute so stark, dass man kaum den Überblick behalten kann. Geht die Datenschutz-Grundverordnung ein Stück an der modernen Welt vorbei?
Aus meiner Geschäftssicht als Verantwortlicher für IT-Sicherheit teile ich diese Kritik zum Teil, weil sie die Komplexität des Themas enorm erhöht. Viele Geschäftsmodelle basieren ja darauf, dass man Facebook, Twitter und soziale Medien nutzt. Um 100 Prozent Sicherheit zu gewährleisten, müssten Sie dies jedoch einschränken. Mit GDPR sind wir wieder beim alten Thema, dass Gesetze und Normen Innovationen einschränken. Wir müssen eine Balance schaffen zwischen dem, was wir in den Medien nutzen können, und wie viele Daten können wir über die Medien erfassen.
(tm)
