Bisher waren IT-Leiter und IT-Abteilungen die Hauptakteure beim Schutz von Daten und IT-Infrastruktur. In den vergangenen Jahren haben die möglicherweise katastrophalen Auswirkungen von Datenlecks auf Unternehmen zu einer stärkeren Einbindung der Geschäftsleitungen in die Entscheidungsprozesse rund um IT-Sicherheit und Datenschutz geführt.
Lange Zeit war es in den meisten Unternehmen üblich, dass IT-Leiter und IT-Abteilungen die Entscheidungen für alles trafen, was mit IT-Sicherheit und dem Schutz vor Datenlecks zu tun hat. Ihr Verantwortungsbereich reichte dabei von der Auswahl von Schutzlösungen über das Organisieren von Mitarbeiterschulungen zur Verbesserung der Awareness und den Best Practises zur Vermeidung von Bedrohungen bis zum Reporting.
Dann stieg die Zahl der Datenlecks sprunghaft an und machte selbst vor den großen Firmen nicht Halt. Zugleich erlebte die Datenschutzgesetzgebung rund um den Globus einen enormen Aufschwung. Auf die Geschäftsleitungen nahm der Druck zu, Datenlecks zu verhindern und für angemessene Rahmenbedingungen zum Schutz der Daten zu sorgen, und infolgedessen auch ihre Beteiligung an den Entscheidungen. Dem Accenture-Report „2018 State of Cyber Resilience“ zufolge hat in 66 Prozent der befragten Unternehmen die Geschäftsleitung das letzte Wort in Sachen Cybersecurity, und 59 Prozent der Budgets dafür werden von ihnen genehmigt – eine Steigerung um ein Drittel gegenüber 2017.
Die aktivere Rolle, die die Geschäftsleitungen bei den Security-Strategien übernehmen, erfordert auf der Seite der IT-Spezialisten, dass sie deren Anliegen und Bedenken berücksichtigen und darauf eingehen. Das sind die drei wichtigsten:
1. Ist das Unternehmen durchgängig compliant?
Compliance ist eine hochkomplexe Angelegenheit. Das wichtigste Anliegen der Geschäftsleitung ist dabei, Bußgelder und die Ärgernisse und den Vertrauensverlust der Kunden im Gefolge eines größeren Datenlecks zu vermeiden. Für Geschäftsführer steht bei einem solchen Vorfall meist auch die Karriere auf dem Spiel.
Immer mehr Länder verabschieden umfassende Regelungen zum Datenschutz. Die Anforderungen sind meist ähnlich, und viele der Regelungen sind vom der DSGVO inspiriert. Aber es gibt auch nationale Unterschiede. Entscheidend für Geschäftsleitungen von Unternehmen in Geschäftsbeziehungen mit ausländischen Firmen ist daher die Frage, ob die Firma durchgängig compliant ist und mit den Anforderungen all der Länder vertraut, aus denen es sensible Daten sammelt.
2. Sind die Daten auch auf den Geräten geschützt, die nicht mit dem Firmennetz verbunden sind?
Aufgrund der immer zahlreicheren Geschäftsreisen und des zunehmenden Wunsches nach flexibler Einteilung der Arbeitszeit auf allen Mitarbeiter-Ebenen hat die Geschäftsleitung verstanden, dass die Notwendigkeit besteht, Daten auch außerhalb der Grenzen des Firmennetzes zu bearbeiten. Lösungen, die zum Schutz von Daten eingesetzt werden, müssen ihre Aufgabe daher im und außerhalb des Unternehmens erfüllen.
Für mobiles Arbeiten werden mobile Geräte verwendet, Laptops, Smartphones, USB-Devices, die leicht verloren gehen oder gestohlen werden können. In diesem Fall muss sichergestellt sein, dass auf die Daten nicht zugegriffen werden kann. Dafür sorgen Verschlüsselung und die Möglichkeit, Daten aus der Ferne zu löschen. Compliance-Fragen ergeben sich auch durch mobile Geräte, auf denen die Daten nicht den Datenschutzregelungen entsprechend geschützt werden. Dann verliert das Unternehmen die Compliance und ist in der Verantwortung, falls durch ein Gerät außerhalb des Firmennetzes ein Datenleck zustande kommt. Deshalb sollten Schutzlösungen in Betracht gezogen werden, die auf dem Endgerät wirksam werden.
3. Wie wirkt sich der Schutz der Daten auf die Produktivität der Mitarbeiter aus?
IT-Abteilung und Geschäftsleitung denken beim Schutz von IT-Systemen und von Daten in unterschiedlichen Kategorien. Bei der IT-Leitung steht die möglichst lückenlose Umsetzung von Vorgaben, umfassender Schutz und eine weitgehende Verringerung von Risiken im Vordergrund. Wobei: Ein Zuviel des Guten kann ebenfalls Schaden anrichten. Wenn Mitarbeiter den Eindruck haben, dass Richtlinien sie behindern, finden sie meist auch Wege, sie zu umgehen.
Anders die Geschäftsleitung: Ihr geht es darum, ob und in welchem Umfang sich die Umsetzung von Datenschutz-Richtlinien bremsend auf Arbeitsprozesse und auf die Gewohnheiten der Mitarbeiter auswirkt. Bei der Auswahl einer Lösung sollten daher granulare Einstellmöglichkeiten zu den Must-have-Kriterien gehören. Granularität stellt sicher, dass Richtlinien an individuelle Erfordernisse angepasst werden können, beispielsweise an spezifische Aufgaben einzelner Mitarbeiter, oder auch an die Gegebenheiten in unterschiedlichen Abteilungen, denn nicht alle arbeiten mit gleichermaßen sensiblen Daten.
Die DSGVO weist der Geschäftsleitung die Verantwortung für den Schutz der Daten im Unternehmen zu. IT-Verantwortliche müssen auf deren Anliegen und Bedenken genauso eingehen wie auf ihre eigenen. Nur durch die Zusammenarbeit lassen sich die Rahmenbedingungen entwickeln und fortschreiben, die Compliance und den Schutz vor Datenlecks sicherstellen.
