Wer derzeit über die DSGVO spricht oder schreibt, hat die personenbezogenen Daten im Blick. Kein Wunder, denn um sie geht es in dem neuen Gesetz. Und zu ihrem Schutz investieren die Unternehmen in Mitarbeiter, Audits und neue Lösungen. Druck machen hohe Bußgelder, die zusammen mit den Schäden durch einen Vorfall ein Unternehmen wirtschaftlich erheblich schwächen können.
Erhebliche finanzielle Schäden können Unternehmen aber auch davontragen, wenn der Schutz des geistigen Eigentums vernachlässigt wird. Da heutzutage das gesamte Wissen einer Firma digitalisiert vorliegt, kann häufig sehr einfach darauf zugegriffen werden. Oft braucht es noch nicht mal spezielle IT-Kenntnisse, um an Firmengeheimnisse zu gelangen und Informationen mitgehen zu lassen. Im Unterschied zu den personenbezogenen Daten gibt es keine Vorschriften, wie Betriebs- und Geschäftsgeheimnisse zu schützen sind. Jedes Unternehmen entscheidet selbst, welche Informationen zum geistigen Eigentum zählen, und ist selbst verantwortlich dafür, ob und wie es geschützt werden soll. Deshalb halten sich auch Ausreden wie „Wir vertrauen unseren Mitarbeitern“ oder „Wir sind doch völlig unbedeutend“ bis heute als Vorwand, um nicht in einen angemessenen Schutz der Firmengeheimnisse investieren zu müssen.
Unternehmen in Deutschland verlieren jährlich Milliardenbeträge durch Industrie- und Wirtschaftsspionage. Laut einer Dell-Untersuchung gehört es hierzulande zum Volkssport, bei einem Arbeitgeberwechsel Unternehmensinformationen mitzunehmen; mehr als die Hälfte der Arbeitnehmer tut das. Beispiele dafür sind die Kundenliste oder Kalkulationsunterlagen, die ein unzufriedener Mitarbeiter auf einen USB-Stick kopiert und beim Wettbewerber verwendet. Zudem sind Unsitten wie BYOD, die Benutzung cloud-basierter Tools oder privater E-Mail-Accounts für die Arbeit weit verbreitet. Die Risiken daraus betreffen nicht nur personenbezogene Daten, sondern ebenso das geistige Eigentum.
Die Betriebs- und Geschäftsgeheimnisse eines Unternehmens sollten deshalb genauso umfassend und vor denselben Bedrohungen geschützt werden wie die personenbezogenen Daten: vor Angriffen und unbefugtem Zugriff von außen und vor Datenverlust und Datendiebstahl durch die eigenen Angestellten. Für den Schutz vor Datenverlust und Datendiebstahl müssen die Unternehmen wissen, wo sensible Daten – welche auch immer – gespeichert sind, die lokale Datenhaltung regulieren, für Verschlüsselung sorgen und den Transfer der Daten überwachen. An Investitionen in angemessene Lösungen geht kaum ein Weg vorbei. Die Umsetzung der DSGVO bietet den Unternehmen die Gelegenheit schlechthin, um zusammen mit dem Schutz der personenbezogenen Daten auch den Schutz der Firmengeheimnisse in den Griff zu bekommen und damit zwei Aufgaben mit einem Budget und im Wesentlichen auch in einem Arbeitsgang zu erledigen. Die Prozesse sind dieselben, die technischen Lösungen ebenfalls.
Das lässt sich gut am Beispiel unserer Lösung für Data Loss Prevention zeigen. Endpoint Protector verfügt mit Device Control über eine erste Schutzebene, mit der die Verwendung von Geräten an den Schnittstellen geregelt wird. Zudem lassen sich die Daten bei zugelassenen Transfers verschlüsseln. Die zweite Schutzebene ist die Inhaltsprüfung. Sie wird für die Suche nach lokal gespeicherten Daten und die inhaltsbasierte Überwachung mit der Blockierung von Datentransfers eingesetzt. Zwei Möglichkeiten können genutzt werden: die Inhaltsprüfung mittels voreingestellter Richtlinien und die mittels unternehmensspezifisch angelegter Wörterbücher. Vorinstallierte Richtlinien betreffen Daten wie Namen, Kontaktdaten, Sozialversicherungs-, Konto- und Kreditkartennummern und andere und decken den Bereich der personenbezogenen Daten ab. Unternehmensspezifische Richtlinien müssen konfiguriert werden – das ist der einzige Mehraufwand, der für den Schutz der Firmengeheimnisse zu leisten ist. Die nachfolgenden Prozesse, das Aufspüren lokaler Daten und die Blockierung nicht erwünschter Datentransfers, verlaufen für beide Datentypen wieder gleichartig.
So anspruchsvoll und aufwendig die Vorbereitung auf die DSGVO auch sein mag: Sie bietet die Chance, alle sensiblen Daten im Unternehmen gleichermaßen vor Datenverlust und Datendiebstahl zu schützen.
