Der Umgang mit dem Thema Datenschutz lässt sich wunderbar mit der britischen Metapher »der Elefant im Raum« umschreiben: allen ist klar, dass Handlungsbedarf besteht, aber längst nicht alle wollen das Problem konkret anpacken und lösen. Mit dieser Kopf-in-den-Sand-Strategie werden Unternehmen den Herausforderungen des Datenschutzes schon lange nicht mehr gerecht. Im Gegenteil. Es besteht dringender Handlungsbedarf. Etwas mehr Zuversicht und Pragmatismus würden helfen, ein höheres Maß an Schutz zu etablieren und den Elefanten zum Mond zu jagen, findet Andreas Steffen, CEO von eperi.
Die Frequenz erschreckender Meldungen rund um Data Breaches, Cyberattacken oder mangelhafte Datenschutzkonzepte ist heute geradezu inflationär. Dennoch scheinen die Verantwortlichen in den Unternehmen keinen Handlungsdruck zu verspüren. Im Gegenteil. Ich beobachte eher eine Schockstarre. Was kann beziehungsweise muss man dagegen unternehmen?
Die Geschäftsführer und IT-Leiter sollten sich auf das Wesentliche fokussieren. Leider mangelt es bei vielen an einem grundlegenden Verständnis der Security- und Datenschutz-Basics. Gerade Geschäftsführer haben oft keinen Zugang zu diesem Thema. Und wenn sie sich damit beschäftigen, wird nicht selten die ganz große und perfekte Gesamtlösung gefordert, welche die Ressourcen und oft auch den Bedarf weit überschreitet. Dabei würde es in einem ersten Schritt schon helfen, überhaupt etwas zu tun. Ein pragmatischer, sinnvoller Ansatz ist beispielsweise die Implementierung eines wirksamen Backup- und Recovery-Systems sowie einer Datenverschlüsselung.
Andreas Steffen, CEO von eperi
Aber das allein kann doch nicht ausreichen. Was muss ich denn noch tun, um für mehr Datenschutz zu sorgen?
Vor allem das Bewusstsein muss geschärft werden. Das gilt allerdings nicht nur für die Führungsriege. Vielmehr müssen auch die Mitarbeitenden – egal, in welcher Position sie sind – aufgeklärt werden. Hier kann man nach wie vor sehr oft einen zu unbedarften Umgang mit dem Thema Datensicherheit beobachten. Immer wieder schaffen es Cyberkriminelle das mangelnde Wissen und die fehlende Sensibilität von Mitarbeitenden, etwa im Umgang mit Mails, Links oder Attachements, auszunutzen und sich so Zugang zu Unternehmensnetzwerken zu verschaffen. Die Attacken werden immer ausgefeilter und der Deep-Fake-Fall in Hongkong, der im Februar für Schlagzeilen gesorgt hat, zeigt, auf was wir uns einstellen müssen. Regelmäßige Aufklärung tut Not. Aber unabhängig davon ist die Verschlüsslung von Daten ein absolutes Muss, weil sie die gestohlenen Daten für den Hacker nutzlos macht. Ich würde sogar so weit gehen zu sagen, dass wenn eine konsequente Datenverschlüsselung in allen Unternehmen üblich wäre, würde die Zahl der Cyberattacken abnehmen, weil die Hacker mit den erbeuteten Daten nichts anfangen könnten.
Mir kommt immer wieder zu Ohren, dass eine Verschlüsslung die Performance der Systeme beeinträchtigt und Unternehmen deshalb darauf verzichten.
Eine Performance-Einschränkung ist bei heutiger Computing-Leistung zu vernachlässigen. Im Gegenteil. Unternehmen, die beispielsweise das eperi Gateway einsetzen, profitieren von einer funktionserhaltenden Verschlüsselung. Dank sogenannter Crypto Agility können die Unternehmen etwa entscheiden, welche Algorithmen am besten zu ihren Anforderungen passen, und ihre Daten entsprechend verschlüsseln. Mittels Template-Architektur steuert das Gateway, welche Datenfelder verschlüsselt, tokenisiert oder im Klartext belassen werden. So gibt es keine Daten mehr, die das Unternehmen unverschlüsselt verlassen, die Datenschutzrichtlinien werden automatisch eingehalten und das Beste: der User spürt nichts davon. Das gilt auch für Clouddaten. Eine echte Win-Win-Situation.
Das sind überzeugende Argumente. Warum tun sich aber immer noch so viele Unternehmen schwer mit der Verschlüsselung?
Das liegt schlicht am mangelnden Wissen. Die angebliche Komplexität, die technischen Details der Verschlüsselung und die unberechtigte Angst, nicht mehr an seine Daten zu kommen, verunsichert viele.
Was raten Sie Unternehmen konkret, wenn es darum geht, zügig ein Konzept und vor allem Lösungen für den Datenschutz, inklusive Verschlüsselung, einzuführen?
Zunächst muss man festlegen, welche Daten zu schützen sind. Dann gilt es eine Marktanalyse durchzuführen und die passende Verschlüsselungslösung zu implementieren. Damit ist schon einmal eine Grundsicherung erreicht – alles weitere lässt sich später ergänzen.
Mit welchen Kosten muss man für eine Verschlüsselung rechnen?
Das lässt sich pauschal nicht beantworten. Jedenfalls sind die Kosten weit geringer als die Kosten der Applikationen, deren Daten geschützt werden. Aber im Grunde geht es darum, gegenüberzustellen welche Kosten und Folgen durch einen Datenverlust entstehen. Und eines sei auch noch gesagt: Wer nachweist, dass er eine Datenverschlüsselung im Einsatz hat, muss meist weniger für seine Cyberversicherung ausgeben.
Zum Schluss noch die Bitte, um einem persönlichen Tipp. Wie kann es gelingen, die Verschlüsselungsthematik intensiver in die Köpfe der Verantwortlichen und auf die Systeme der Unternehmen zu bekommen?
Indem wir als Anbieter solcher Lösungen nicht aufhören, Aufklärungsarbeit zu betreiben. Außerdem ist es wichtig Mythen zu entzaubern – insbesondere im Hinblick auf die Komplexität der Technik. Und wem das nicht reicht, der sollte sich bewusst machen, dass gerade erst wieder die Haftungsregeln für die Geschäftsführer von Unternehmen verschärft wurden. Der Grund dafür, dass diese nun auch persönlich haftbar gemacht werden können, wenn Daten gestohlen werden, ist sicherlich keine Schikane, sondern soll signalisieren, dass mit dieser Thematik nicht zu spaßen ist.
Herr Steffen, vielen Dank für das Gespräch.