Dirk Pfefferle

ist Area Vice President Central & Eastern Europe bei Citrix.

RegulierungÜberwachung

Datenschutzgrundverordnung und selbstbewusste Unternehmen

Viele Unternehmen sehen der Datenschutzgrundverordnung gelassen entgegen. Dirk Pfefferle von Citrix fragt sich, ob wirklich alle so fit sind, wie sie sich fühlen.

Wir konsumieren, produzieren und analysieren heute mehr Daten als je zuvor. Neue Regulierungen wie die EU-Datenschutzgrundverordnung sollen unter anderem helfen, Datenlecks zu vermeiden und die IT-Sicherheit zu erhöhen – doch sind Unternehmen für all das überhaupt bereit? Überraschenderweise ja, sagt die Mehrheit der deutschen Unternehmen in einer aktuellen Umfrage. 

Vorhängeschlösser (Bild: Mehmet Toprak)

Daten, Daten überall. Verbraucher werfen sie von sich und Unternehmen aller Länder vereinigen die wertvollen Funde: Mehr als ein Drittel der deutschen Unternehmen hat bereits Big-Data-Technologie im Einsatz, wie eine aktuelle Bitkom-Studie zeigt.

Vor zwei Jahren war es leidglich ein Viertel. Auch ausgefeilte Methoden wie Predictive Analytics finden sich schon in 40 Prozent der Unternehmen – und die Bitkom bescheinigt Deutschland gute Chancen, zum führenden Standort für datenorientierte Geschäftsmodelle zu werden.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Wertvoll sind diese Daten gerade dann, wenn sie persönliche Vorlieben der Kunden preisgeben und Unternehmen dabei helfen, ihre Zielgruppe genauer kennenzulernen. Auch hier sind deutsche Firmen fleißig: In einer Umfrage von Citrix gaben 90 Prozent der Unternehmen an, personenbezogene Daten zu speichern – die große Mehrheit (80 Prozent) erfasst mehr als 100 Datensätze am Tag, meist für Marketingzwecke, und speichert diese für mindestens sechs Monate.

Regulierung muss nachziehen

Die steigende Nutzung personenbezogener Daten ruft naturgemäß den Gesetzgeber auf den Plan. Denn längst ist es nicht mehr ausreichend, Unternehmen freundlich auf die Gefahren laxer Sicherheitsvorkehrungen hinzuweisen – WannaCry und Petya machen immer wieder die Verletzlichkeit von IT-Systemen deutlich. Daher suchen Regulierungsbehörden nach einem Weg, Unternehmen zu mehr Sicherheit anzuhalten.

Das Problem: Auf nationaler Ebene ist es heute fast nicht mehr möglich, Datennutzung und -verarbeitung noch zu regulieren. Die Europäische Union will, innerhalb ihrer Wirtschaftszone das Datenschutzrecht harmonisieren. Die neue Datenschutzgrundverordnung (EU-DSGVO) soll dafür das passende Werkzeug sein. Die Regelung ist als Nachfolger der alten EU-Richtlinie 95/46/EG bereits in Kraft getreten. Bis zum Mai nächsten Jahres haben Unternehmen noch Zeit, die neuen Vorgaben umzusetzen – danach drohen hohe Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes.

Entscheider geben sich selbstbewusst

Was die aktuelle Konformität mit der neuen EU-Richtlinie betrifft, geben sich die IT-Entscheider selbstbewusst: 87 Prozent der befragten deutschen IT-Entscheider sind sich sicher, dass ihr Umgang mit personenbezogenen Daten schon heute den neuen Vorgaben entspricht. Mehr als 70 Prozent der Befragten bestätigen, dass vor allem die Zugriffskontrolle bereits regelkonform ist. Je ein Drittel gibt an, im Hinblick auf die Richtlinie unter “besten IT-Bedingungen zu arbeiten” (36 Prozent) oder hält Infrastruktur und Datenschutz für “gut” (39 Prozent).

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Weitere Antworten lassen jedoch darauf schließen, dass die IT-Verantwortlichen noch nicht ganz am Ziel sind: 86 Prozent der Befragten geben beispielsweise an, Kundendaten auf Anfrage schnell löschen zu können – aber lediglich ein knappes Drittel (32 Prozent) hat eine “sehr gute” Übersicht darüber, wo welche Daten überhaupt gespeichert werden.

Auch in Bezug auf die technischen Voraussetzungen ist nur etwas mehr als die Hälfte bereit für das Gesetzeswerk zum Schutz von personenbezogenen Daten. Die deutschen Unternehmen zeigen sich damit untypisch positiv gestimmt. Das ist auch deswegen interessant, weil noch 2016 rund die Hälfte von ihnen in einer Bitkom-Umfrage die anstehende Datenschutzreform überhaupt nicht auf dem Schirm hatte.

Wo liegt das Problem?

Der wachsende Berg personenbezogener Daten ist nicht die einzige Herausforderung für Unternehmen. Denn zur Masse der Daten kommt noch die zunehmende Verbreitung: Lagen die Daten im Unternehmen früher zentral im Rechenzentrum, so sind sie heute über eine hybride Architektur aus Private und Public Clouds verteilt. Und wenn sie nicht von einem Server zum anderen wandern, so tragen die eigenen Mitarbeiter wertvolle Daten auf immer mehr Mobilgeräten durch die Gegend.

2020 werden 40 Prozent der arbeitenden Weltbevölkerung zur “Mobile Workforce” gehören, schätzen die Analysten von Strategy Analytics. Wir sprechen von der “Zukunft der Arbeit” und meinen damit flexible Arbeitszeitmodelle und Arbeit von jedem Ort der Welt. So sparen sich nicht nur Pendler nervige Autofahrten und arbeiten effizienter von zuhause aus, sondern der Pool möglicher Arbeitnehmer erweitert sich auch: Menschen, denen der Weg in die Stadt nicht zuzumuten wäre, können durch flexible Heimarbeit etwa auch wieder an der Arbeitswelt teilnehmen.

Beratungsunternehmen profitieren von fliegenden Consultants, die überall ihre Daten und Anwendungen mit sich tragen können – die Liste der Vorteile dieser Mobilität ist lang. Unternehmen kommen daher nicht umhin, die zunehmende Mobilität in ihre IT-Strategie mit einzukalkulieren.

Mehr mobile Menschen bringen mehr mobile Geräte mit sich. Die Gesellschaft für Konsumforschung (GfK) meldet, dass der Smartphone-Absatz dementsprechend weiter zunimmt. Weltweit wurden 1,4 Milliarden Geräte verkauft. Auch wenn der Markt in Westeuropa gesättigt ist, zeigt dies den Hunger nach mobiler Technologie. Das ist eine wichtige Nachricht für Unternehmen, die noch nicht angekommen zu sein scheint.

Noch immer unterschätzen sie die Risiken von Mobilgeräten für die Unternehmens- und Datensicherheit. Denn wenn Daten einmal auf Mobilgeräten gespeichert sind – etwa im Homeoffice oder beim Pendeln auf dem Smartphone – können sie auch mit dem Gerät entwendet werden. So geschehen vor kurzem in Hong Kong, wo Diebe zwei Laptops mit den Daten von 3,7 Millionen Wählern erbeuteten.

Wo nachgebessert werden muss

Unternehmen müssen nun den Spagat schaffen, zugleich mit mehr Daten-Freiheit und wachsender Regulierung in Form der EU-DSGVO zurecht zu kommen. Dies ist kein leichtes Stück. Im extremen Fall kann diese Herausforderung den Fortschritt lähmen: 38 Prozent der Unternehmen gaben als Grund für die stockende Digitalisierung “Anforderungen an den Datenschutz” an, 37 Prozent nannten die IT-Sicherheitsanforderungen als Fortschrittsbremse.

Was können Unternehmen also tun, um dieser Zwickmühle zu entkommen? Einer der vielversprechendsten Ansätze ist die Übersicht. Bei der Mehrzahl der von Citrix befragten Unternehmen (51 Prozent) sind zehn oder mehr Systeme und Anwendungen an der Speicherung, Verarbeitung oder Nutzung der personenbezogenen Daten beteiligt. Doch die Übersicht über diese Systeme lässt noch zu wünschen übrig. 36 Prozent der Unternehmen schätzen ihre Übersicht als “sehr schlecht”, “schlecht” oder “befriedigend” ein, lediglich 32 Prozent gaben sich die Bestnote “sehr gut”.

Ausgewähltes Whitepaper

Cloud-Provider-Wahl ist Vertrauenssache

Inzwischen gibt es auch in Deutschland zahlreiche lokalisierte Angebote und Rechenzentren, auf die Anwenderunternehmen bei Cloud-Angeboten zurückgreifen können. Die Ergebnisse einer umfassenden Umfrage zeigen, auf welche Aspekte sie dabei besonders Wert legen.

Auch die Zugriffskontrolle über Single-Sign-On für alle On-Premise und Cloud-Systeme ist noch verbesserungswürdig. Knapp mehr als die Hälfte schätzt die eigenen Fähigkeiten hier als “gut” oder “sehr gut” ein (52 Prozent). Interne und externe Zugriffe sollten Unternehmen im Griff haben, um EU-konform zu arbeiten. Der dritte Bereich, der Verbesserung benötigt, ist das Rollen- und Rechtemanagement beim internen Filesharing. Mehr als ein Drittel (38 Prozent) der Unternehmen ist nicht zufrieden mit dem Status Quo. Und auch bei der zentralen Verwaltung von virtuellen digitalen Arbeitsplätzen geben sich nur etwas mehr als die Hälfte ein “gut” oder “sehr gut” (je 53 Prozent).

Die Hoffnung ist berechtigt

Insgesamt ist die Lage hoffnungsvoll. Mehr und mehr Unternehmen erkennen, was mit der EU-DSGVO auf sie zukommt. Zwar haben nur fünf Prozent einen dedizierten Chief Privacy Officer, dafür stocken die deutschen Unternehmen sowohl an Sicherheit wie auch an Notfallplänen auf.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

So rüsten sich etwa Unternehmen im größeren Mittelstand wie auch im Rang der Konzerne gegen weitere Ransomware-Attacken vom Stil eines WannaCry: Fast zwei Drittel der befragten Unternehmen halten zwischen elf und 50 Bitcoin als Lösegeldsumme vor – das sind im Moment etwa 88.000 Euro in Kryptowährung.

Noch besser als Vorsorge ist natürlich der rechtzeitige Schutz. Unternehmen winken nun gleich drei direkte und indirekte Vorteile, wenn sie ihre IT-Sicherheit und ihre Übersicht über Daten und Systeme verbessern: Sie sparen Geld und Reputationsverlust im Falle eines Hacks oder einer Ransomware-Attacke; sie gehen konform mit den Anforderungen der neuen EU-Datenschutzgrundverordnung; und sie können die Vorteile des neuen Datenreichtums und der flexiblen Arbeitsmodelle voll ausnutzen.