• IT & Datenschutz

TÜV KNOW-HOW CLUB After Work zum Thema "Risiken der Digitalisierung"

 Care to be aware: Unternehmen erhalten in Frankfurt wertvolle Tipps, um sich auf die Risiken der Digitalisierung vorzubereiten.

Die Zeit ist abgelaufen. Aber mit dem richtigen Bewusstsein können Anwender und Unternehmen Cyber-Attacken vorbeugen. (Foto: Matthias Voigt)

Eigentlich ist es ganz einfach. Wenn es auf der Führungsebene von Unternehmen ein Bewusstsein für Cyber-Angriffe und Datenschutz gibt, besteht eine gute Chance, virtuelle Attacken abzuwehren. Leider fehlt in vielen Unternehmen die Awareness für digitale Gefahren. Beim TÜV KNOW-HOW CLUB After Work in Frankfurt brachte Erwin Blumenauer, Geschäftsführer von TÜV Hessen, die Lage deshalb auf den Punkt: „Die Frage ist nicht, ob man als Unternehmen gehackt wird, sondern wann.“

Bedrohungen strategisch bekämpfen

Mit beeindruckenden und beängstigenden Zahlen verdeutlichte Christian Weber, Geschäftsführer der Infraforce GmbH, die Relevanz von IT-Sicherheit für eine zeitgemäße Unternehmensstrategie. Im World Wide Web tummeln sich mittlerweile mehr als eine Milliarde Schädlinge wie Trojaner oder Viren, die mit immer komplexeren Attacken die Anwender überfordern. Das Risiko eines Cyber-Angriffs wird von den sozialen Netzwerken zusätzlich verschärft. Hacker nutzen die menschliche Mitteilungsfreudigkeit aus, um IT-Systeme gezielt anzugreifen – mit Ransomware-Erpressungen oder noch unbekannten Bedrohungen, den Advanced Persistent Threats.

Die wichtigsten Ressourcen eines Unternehmens müssen deshalb vor Verlust und Diebstahl geschützt werden, ohne die Anwender bei ihrer Arbeit zu behindern. „Methodisches Vorgehen ist dabei essenziell“, sagt Christian Weber und empfiehlt ein Cyber-Risk-Management. In diesem zyklischen Prozess wird zunächst der Status Quo der Bedrohung von externen Spezialisten ermittelt. Anschließend folgt die Identifikation der wertvollsten Assets im Daten- und Informationsbereich und die Definition der größten Risiken. Die Einordnung der Bedrohungen und die entsprechenden Gegenmaßnahmen runden die strategische Lösung ab. 

Bei der erfolgreichen Implementierung des Cyber-Risk-Managements kommt es für Christian Weber auf die Awareness der Führungskräfte an: „Wenn das Bewusstsein für IT-Sicherheit an der Unternehmensspitze fehlt, verringern sich die Chancen, die Mitarbeiter für Cyber-Angriffe zu sensibilisieren.“ Ein weiterer wichtiger Faktor ist das Budget. Die empfohlene Strategie zur IT-Sicherheit muss bezahlbar sein. 

Chance für modernen Datenschutz 

Stefan Latz, Abteilungsleiter Datenschutz bei TÜV Hessen präsentierte anschließend die Sicherheitsanforderungen an eine moderne IT-Infrastruktur. Denn Informationen müssen geschützt werden, damit Organisationen auf die Risiken der Digitalisierung vorbereitet sind. Die EU-Datenschutzgrundverordnung (EU-DSGVO) enthält daher auch einen Artikel zur Sicherheit der Verarbeitung. Unternehmen müssen künftig nachweisen, dass ihre Schutzmechanismen dem aktuellen Stand der Technik entsprechen. 

„Das Minimum der Anforderungen an die IT-Sicherheit legen verschiedene Normen, Leitlinien und Gesetze fest“, erklärte Stefan Latz. Ein aktuelles Beispiel ist die Europäische Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit (NIS-Richtlinie). Sie definiert Verfahren und Prozesse, die ein hohes Sicherheitsniveau garantieren sollen – und mehr. Damit wird ein einheitlicher Rechtsrahmen zum EU-weiten Aufbau nationaler Kapazitäten für Cyber-Sicherheit geschaffen.

Die Harmonisierung der nationalen Gesetze und personenbezogene Daten zu schützen ist auch das Ziel der EU-DSGVO. Dafür bleibt die Grundstruktur des Datenschutzes bestehen. „Es gibt ein Verbotsprinzip mit Erlaubnisvorbehalt. Jede Form der Verarbeitung ist nur mit Einwilligung der Betroffenen möglich – oder bei einem Vertrag“, kommentiert Stefan Latz. Eine bedeutende Änderung sind die Dokumentationspflichten. Unternehmen müssen nachweisen, dass sie personenbezogene Daten nach den Regeln der EU-DSGVO behandeln.

Für die kommenden Monate erwartet Stefan Latz spannende Entwicklungen. Gerichtsurteile werden Grenzen setzen, an denen sich Unternehmen orientieren können, etwa bei der Datenübertragbarkeit. Um bereits im Vorfeld auf drohende Abmahnungen angemessen zu reagieren, sind Datenschutz-Managementsysteme gefragt. So können die gesetzlichen Anforderungen effizient geplant, organisiert, gesteuert und kontrolliert werden. 

Die Auswirkungen der EU-DSGVO standen im Zentrum der abschließenden Diskussion. Schnell wurde auch hier klar: ohne Bewusstsein für IT-Sicherheit und Datenschutz können die meisten Unternehmen im Zeitalter der Digitalisierung nicht erfolgreich arbeiten. 
 

Einen Kommentar schreiben

* Pflichtfeld

Keine Kommentare