Im letzten der vier Teile zu den Themen Datenschutz und Datensicherheit thematisiert Autor Steffen Hoyer die so genannten technischen Schulden und zieht ein Serienfazit. In vorherigen Teilen standen eine Trennung der Begriffe, die Praxis-Integration von Datenschutz sowie die technische Umsetzung ausgewählter Maßnahmen im Fokus.
Einleitung
Die Etablierung und Besetzung der notwendigen Stellen „IT-Security“ und „Data Protection“ sowie deren Integration in das betriebliche Umfeld wird an dieser Stelle vorausgesetzt, ebenso wie ein verbindliches Einbeziehen beider Stellen in alle Projekte sowie die Bewertung bei der Einführung neuer Software und Dienstleister.
IT-Absicherung auf handhabbares Maß reduzieren
Um die Komplexität bei der Absicherung der eigenen IT auf ein handhabbares Maß zu reduzieren, müssen zuerst die Komponenten identifiziert werden, die das größte Risiko darstellen und/oder den größten Schaden verursachen können. Dies könnten beispielsweise Firewall- und Proxy-Systeme mit direktem Zugang zum Internet oder aber die Kunden- sowie Bestandsdatenverwaltung sein. Hier sollten sofortige Maßnahmen ergriffen werden, um den möglichen Schaden im Falle eines Angriffs so gering wie möglich zu halten und schnellstmöglich einen datenschutzkonformen Zustand zu erreichen, den der Gesetzgeber vorsieht.
Im nächsten Schritt bietet sich an, etablierte Technologien zur Automatisierung der IT-Bereitstellung und Konfiguration einzuführen. Dadurch sollen die Heterogenität und Komplexität im Laufe der Zeit einer homogenen und einheitlich konfigurierten und administrierbaren Umgebung weichen. Welche Technologie genau hierfür zum Einsatz kommt, spielt dabei keine Rolle und sollte sich nach den Fähigkeiten der Technologie und der Akzeptanz der Mitarbeiter richten, welche diese Technologie nach erfolgreichem Abschluss der Maßnahmen weiter betreuen und betreiben müssen.
Nachdem nun die Grundlagen für den Aufbau neuer Systeme geschaffen worden sind, geht es an den Austausch und die Migration der nicht unternehmenskritischen Komponenten und Systeme. Diese sollten so isoliert voneinander wie möglich durch neue, sauber konfigurierte und automatisiert bereitgestellte, Systeme ausgetauscht werden. Dieses Vorhaben wird, je nach Größe und Komplexität, eines an Durchhaltevermögen auf Managementebene, bei den betroffenen Fachbereichen sowie den operativen Einheiten einfordern.
Sollten alle nicht unternehmenskritischen Systeme umgestellt worden sein, können die hierbei gewonnenen Erkenntnisse und Erfahrungen genutzt werden, um die zu Beginn identifizierten kritischen Systeme ebenfalls in den neuen Standard zu überführen und neu aufzubauen.
Nach Abschluss dieser Aktivitäten steht dem Unternehmen eine einheitlich konfigurierte IT-Infrastruktur zur Verfügung, welche den notwendigen Regeln der IT-Sicherheit und den geltenden Datenschutzbestimmungen entsprechen. Selbstverständlich wird es am Ende einige wenige Systeme geben, die nicht umgestellt werden konnten, weil deren Technologie eine Umstellung nicht zulässt oder weil diese schlichtweg zu alt ist. Solche Systeme müssen in einen isolierten Abschnitt des Netzwerks verschoben oder vollständig abgeschaltet werden.
Fazit: Datenschutz, Datensicherheit … und nun?
IT-Sicherheit und die korrekte Umsetzung der Datenschutzgrundverordnung stellen keine Wiedersprüche dar, sondern sind nur zwei Seiten derselben Medaille. Sie gehen bei korrekter Betrachtung Hand in Hand und ermöglichen nicht nur den sicheren Betrieb der eigenen IT, sondern berücksichtigen auch gesetzliche Vorgaben. Um dieses Ziel zu erreichen, muss jedoch einiges an konzeptionellem, organisatorischem und technischem Aufwand betrieben werden. Etablierte Prozesse, Awareness-Kampagnen und regelmäßige Kontrollen der implementierten Maßnahmen sorgen für zeitnahe Anpassungen ebendieser, sofern dies erforderlich wird. Manchmal hilft jedoch nur ein vollständiger Austausch der bestehenden Systeme dabei, das anvisierte Ziel zu erreichen.
Sie benötigen eine professionelle Einschätzung oder Beratung? Sprechen Sie uns unverbindlich an. Wir helfen gerne.