Natürlich konnte niemand annehmen, die Kette von Datenmissbräuchen, Datendiebstählen und Datenverlusten, die uns 2008 beschäftigt hatte, würde im Jahr 2009 plötzlich abreißen. Womöglich sogar, weil alle Instanzen, die mit dem Thema Datenschutz praktisch befasst sind, ihre Lehren gezogen und sowohl die Speicherung als auch die Übermittlung von sensiblen Daten nunmehr perfekt im Griff hätten? Das wäre dann doch zu schön gewesen, um wahr zu sein.
Dennoch, auch wenn mittlerweile die ersten Skandale des Jahres 2009 über die öffentliche Bühne gingen, muss man konstatieren, dass gerade unter dem Eindruck des Skandaljahres 2008 die Sensibilität gegenüber dieser Problematik gestiegen ist. Öffentlichkeit und Politik schauen bei diesem Thema nicht mehr achselzuckend in eine andere Richtung. Auch die Unternehmen wissen mittlerweile, was passieren kann, wenn sie bei ihren Daten nicht äußerste Vorsicht walten lassen – und dass sie andernfalls nicht nur ihr Image, sondern auch ihre Geschäftsbeziehungen nachhaltig beschädigen können.
Allerdings ist auch klar, dass Problembewusstsein allein nicht reicht. Zu viele Unternehmen wiegen sich in der Illusion, man könne irgendwo ein schlaues Tool installieren oder einen Server implementieren und hätte das ganze Problem damit gelöst. Tatsächlich aber ist Sicherheit nicht allein ein technisches Problem, sondern verlangt einen ganzheitlichen Ansatz. Es darf im Unternehmen weder weiße Flecken noch schwarze Löcher geben, und zwar sowohl innerhalb der eigenen Systeme und Prozesse als auch bei der Übermittlung von Daten. Gerade hier hatte ja – passend zum Ausklang des Skandaljahres 2008 – eine recht skurrile Panne der Berliner Landesbank für Aufsehen gesorgt, als die auf Mikrofilmen gespeicherten Kreditkartendaten von Kurierfahrern mit einer Lieferung von Christstollen vertauscht worden waren. Der Fall zeigt exemplarisch, wie wichtig es ist, die gesamte Prozesskette des Datenaustausches unternehmensübergreifend lückenlos und klar zu strukturieren, weil auch kleinste organisatorische Schwachstellen zum GAU führen können.
Die aus derartigen Fällen zu ziehenden Lehren sind im Grunde einfach: Auf technischer Ebene müssen die Daten auf dem ganzen Weg verschlüsselt sein, nur der Absender und der berechtigte Empfänger dürfen Daten im Klartext zu Gesicht bekommen. Auf der Ebene der Prozessorganisation wiederum muss sichergestellt werden, dass auch mit den verschlüsselten Daten nur autorisiertes Personal in Kontakt kommt – egal ob der Datentransport auf physischem oder auf elektronischem Weg erfolgt.
Angesichts der immensen Bedeutung, die digitale Daten heute im sozialen und wirtschaftlichen Leben haben, und angesichts der möglichen Schäden eines Missbrauchs stellt zunächst einmal jeder, der mit diesen Daten in Kontakt kommt – gleich ob Kurierfahrer oder IT-Administrator – ein Sicherheitsrisiko dar. Bei dieser Sichtweise handelt es sich nicht um Paranoia, sondern um Problembewusstsein. Unternehmen, die sensible Daten befördern, müssen alle Aspekte des Prozesses im Griff haben – nicht nur die technischen, sondern auch die personellen Risiken. Dies muss natürlich auch für sämtliche in die Prozesskette eingeschalteten Dienstleister gelten, denn es sollten nur solche Dienstleister die Daten verarbeiten und befördern dürfen, die entsprechend qualifiziert sind. Hier reicht es nicht aus, dass die Anbieter sich selbst für befähigt halten oder dass sie es „immer schon“ gemacht haben. Sie müssen vielmehr die Anforderungen nach ISO 27001 erfüllen und selbstverständlich entsprechend zertifiziert sein. ISO 27001 ist ein international anerkannter Sicherheitsstandard, der umfassende Anforderungen für den Aufbau, die Umsetzung und die Dokumentation eines wirksamen Systems für das Sicherheits-Management definiert – darunter geht gar nichts.
Außenstehende sind oft verwundert, dass mit so sensiblen Aufgaben wie der Verarbeitung und dem Transport wichtiger Daten überhaupt Dienstleister betraut werden. Dass also beispielsweise Banken nicht nur den Transport von Bargeld an Dienstleister für Werttransport übergeben haben, sondern auch die Verarbeitung und Übermittlung personenbezogener Daten an entsprechende Managed-Hosting-Provider. Tatsächlich aber sind gerade die Sicherung von Daten und die lückenlose Einhaltung der entsprechenden Regelungen heute so anspruchsvoll und komplex, dass diese Aufgaben nur noch von Spezialisten angemessen erfüllt werden können. Wobei diese Spezialisten in einem richtig organisierten Prozess ohnehin nur verschlüsselte Daten in die Hand bekommen.
Neben klaren vertraglichen Vereinbarungen und SLAs empfiehlt es sich für Unternehmen, regelmäßige Audits der gesamten Prozesskette durchzuführen, um mögliche Risiken zu identifizieren. Oft ist es einfacher und vor allem effizienter, die Einhaltung eines sensiblen Prozesses bei einem qualifizierten Dienstleister durchsetzen und überwachen zu lassen, als dies mit vorhandenen Mitteln intern der Fall wäre.
Wichtig ist daher nicht, ob Daten über externe oder interne Stellen laufen, sondern dass die mit dem Austausch von Daten befassten Instanzen über ein zertifiziertes Know-how verfügen, dass sie erforderliche Ressourcen einsetzen können und dass der Gesamtprozess klar strukturiert und perfekt organisiert ist. Anforderungen, die derzeit von Managed-Hosting-Providern besser erfüllt werden. Auf dieser Basis muss man den nächsten Datenskandalen nicht wie einer unabwendbaren Naturkatastrophe entgegensehen.
Keine Kommunikationsobjekte vorhanden.
