Unternehmen droht der Daten-Tsunami

Cloud, Big Data, permanent zunehmende Datenflut und Datenkomplexität sind nicht nur im Rahmen der DSGVO Schlagwörter, die Unternehmen und deren IT-Verantwortliche derzeit umtreiben. Sie sind auch ein weiteres kritisches Handlungsfeld, das den so schon übervollen Alltag der Verantwortlichen in Unternehmen mit zusätzlichem „Verbrauch“ von Zeit und Ressourcen belastet. Was sich dahinter verbirgt und was getan werden kann, um dieses komplexe Feld mit passenden Ansätzen zu beherrschen erläutern die Experten Michael Jost und Ralf Matwin der SCOPAR GmbH in diesem Interview.

Sourcing: Ist Data Governance ein neues Buzzword oder Erfolgsfaktor in der IT?
Matwin: Nein zum Buzzword, Ja zum kritischen Erfolgsfaktor mehr denn je – die Data Governance und die Ansätze zur kontrollierten Steuerung der Unternehmensdaten gibt es schon seit einigen Jahren. Allerdings haben diese Ansätze oft nur Großunternehmen, meist börsennotiert, verfolgt bzw. aus Gründen von Compliancy-Vorgaben (z.B. Sarbanes Oxley) verfolgen müssen. Aufgrund des starken Datenwachstums der letzten Jahre und der zunehmenden Digitalisierung der Haupt- und Nebenprozesse in den Unternehmen, gewinnt dieses Thema auch im mittelständischen Umfeld stark an Bedeutung.

Sourcing: Warum ist es so wichtig, die Daten im Unternehmen zu beherrschen?
Matwin: Mittlerweile ist auf breiter Front bekannt, dass in den Daten eines jeden Unternehmens ein hoher Nutzenwert enthalten ist, vorausgesetzt diese erfüllen die wichtigen Kriterien Qualität, Sicherheit und prozessseitig passende Bereitstellung zur richtigen Zeit am richtigen Ort bzw. System. Auf der Basis von Daten und den darauf basierenden Auswertungen werden wichtige Entscheidungen getroffen – allein daraus ergibt sich der hohe Stellenwert.

Sourcing: Wer ist verantwortlich – Geschäftsführung oder IT-Leiter / CIO?
Jost: Das kommt darauf an, wie man „Verantwortung“ definiert. Aus Datenschutz- bzw. DSGVO-Sicht ist die Geschäftsführung voll verantwortlich. Sie kann zwar Mitarbeiter, also auch den IT-Leiter oder den Datenschutzbeauftragten, einsetzen, um die DSGVO Vorgaben zu erfüllen, die Verantwortung selber ist aber nicht delegierbar.

Bzgl. einer unternehmensweiten Data-Governance die Verantwortung einzelnen Personen oder Personengruppen zuzuweisen, ist m.E. nach per se nicht richtig. Daten sind im Informationszeitalter eine essentielle Unternehmensressource. Dass damit verantwortungsvoll umgegangen wird, muss im Interesse jedes einzelnen Mitarbeiters liegen. Diese Haltung zu vermitteln muss im Interesse der Verantwortlichen, also auch der Geschäftsleitung und des IT-Leiters und darüber hinaus auch des Vertriebsleiters, des Produktionsleiters etc. sein.

Sourcing: Durch welche Risiken sind Daten gefährdet und welche Folgen können diese haben?
Jost: Bzgl. der Risiken von Daten werden gerne „Untergangsszenarien“ an die Wand gemalt: „Hackerangriffe und Erpressung“, „Diebstahl von Unternehmensgeheimnissen und Know-how-Diebstahl“, „Viren, Trojaner und Co. die das Unternehmen lahm legen“.

Das sind alles durchaus reale Gefahren, gegen die man sich nach Möglichkeit schützen muss. Was mir da oft vergessen wird, sind die andere „Bedrohungen“ mit z.T. gravierenden Auswirkungen:
• Ein Key-Account-Manager hat einen Unfall. Wo sind die aktuellen Unterlagen zum wichtigsten Kundenauftrag seit 3 Jahren?
• Das Unternehmen wird umstrukturiert. Die Liste der geplanten Entlassungen liegt auf einem unzureichend geschützten Cloud-Laufwerk.
• Die IT-Leiter erhält einen Anruf des Finanzchefs, dass der Entwicklungsleiter das Unternehmen „überraschend“ verlässt. Die Daten im persönlichen Speicherbereich des Entwicklungsleiters sollen dem Finanzchef übergeben werden. Natürlich kommt der IT-Leiter dieser Bitte nach. Es stellt sich heraus, dass nicht der Entwicklungsleiter das Unternehmen verlässt, sondern der Finanzchef.

Die Folgen solcher Ereignisse mag sich jeder selber vorstellen. Gerne werden auch DSGVO-Strafen in Millionenhöhe als „Risiko“ angeführt. Ja, die gibt es, aber wie hoch sind die Verluste, wenn ein Unternehmen als „Datensünder“ durch die Presse geht, ohne dass es zu einer Strafzahlung nach DSGVO kommt?

Sourcing: Sind diese Risiken nicht bereits durch die DSGVO abgedeckt?
Matwin: Ganz klares nein. DSGVO bezieht sich im Kern auf personenbezogene Daten und deren Umgang damit. Im Unternehmen existieren aber noch Unmengen anderen Daten, z.B. F&E-Informationen, Produktionsdaten, Patente etc. – kurz entlang jeglichen Prozessketten entstehen heute Daten, die hochwertig sind und entsprechend geschützt werden müssen.

Sourcing: Haben Sie Beispiele aus dem Alltag, was passieren könnte, wenn es keine klaren Regeln zum Umgang mit Daten gibt?
Jost: Ja. Nehmen wir das Beispiel des ausgefallenen Key-Account-Managers. Wenn es keine klaren und überwachten Regeln für die Datenspeicherung gibt, geht das große Suchen los. Und nachher kann man sich nicht sicher sein, ob man das letzte Angebot „gefunden“ hat. Wenn es keine klaren Regeln zur Ablage von Kundendaten gibt, gibt es bei einer Löschanforderung nach DSGVO eine wilde Suche nach Kundendaten. Und nachher schickt man dem Kunden „aus Versehen“ einen Newsletter, weil irgendein System „übersehen“ wurde.

Sourcing: Wie geht man grundsätzlich vor, um auf der sicheren Seite zu sein?
Matwin: In der Regel starten wir mit einem pragmatischen Ansatz und identifizieren zusammen mit dem Kunden die besonders schützenswerte Systeme und Daten, danach erfolgt eine Risikoidentifikation mit anschließender Risikobewertung. Anhand dieser Ergebnisse erfolgt eine Maßnahmenplanung mit abgestimmten Prioritäten. Wenn ein Unternehmen bereits Data Governance Verfahren nutzt, werden diese natürlich mit einbezogen und bewertet. Zur erfolgreichen Umsetzung nutzen wir als Basis die Standards aus ISO 2700x, Cobit oder vom BSI.

Sourcing: Wozu dient eine Risikomatrix?
Jost: Machen wir uns nichts vor. Datensicherheit und Data-Governance sind lästig, kosten Zeit und Geld. Mit einer Risikobetrachtung kann man ermitteln, wo die knappen Ressourcen Geld und Zeit am effektivsten eingesetzt sind.
Wenn ich meine knappen Ressourcen einsetze um meine Patente zu schützen, mein Unternehmen aber keine 5 Tage ohne Auslieferung überlebe, habe ich „falsch“ investiert. Ohne Zweifel ist mein Kern-Know-how wichtig, aber es hilft mir nicht, wenn die wichtigsten Kunden abspringen, weil ich wegen einer Ransomware nicht liefern kann.

Sourcing: Was verstehen Sie unter Data-Guidelines und wo kommen sie zum Einsatz?
Matwin: Die Data-Guidelines stehen relativ weit am Ende des Prozesses, leiten sich natürlich aus den (ggf. neu) festgelegten Data Governance-Policies ab und enthalten sehr konkrete Hinweise und Vorgehensweisen in den betroffenen Sicherheitsthemenwelten für alle Mitarbeiter des Unternehmens. Das betrifft z.B. den Umgang mit mobilen Endgeräten, allgemeine Hinweise zum Umgang mit Daten, Emailsystemen, Anwendungen, etc. Weiterhin gibt es Verfahren und Hinweise für eine ordnungsgemäße Datenspeicherung oder auch spezielle Verfahren im direkten IT-Umfeld der Administratoren, hier die sog. Privilegierten Benutzerrechte. Es ist sehr wichtig, alle diese Themen zu betrachten und zu bewerten, da sich erst aus der Gesamtheit der Maßnahmen eine hohe Datensicherheit ergibt, die dann auch prüfungskonform ist.

Sourcing: Was sind die ersten Schritte, um Data-Governance einzugrenzen?
Matwin: Keine Angst vor der Komplexität. Hier helfen unsere Analyseverfahren, unsere langjährige Erfahrung sowie die Standardverfahren und Vorgehensweisen, die wir mit dem Kunden abstimmen.
Jost: • Mit uns reden. • Zuhören. • Entscheiden.

Herr Matwin, Herr Jost, vielen Dank für das Gespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.