„Wissen ist Macht“ ist eine altbekannte Weisheit – und hat für Unternehmen heute mehr Gültigkeit denn je. Denn je mehr sie über den eigenen Betrieb und ihre Kunden wissen, desto besser können sie ihre Geschäftsprozesse optimieren sowie Produkte und Services auf die Kundenbedürfnisse abstimmen – und damit die Konkurrenz möglichst weit hinter sich lassen.
Zum begehrten Wissen unserer Tage gehören vor allem Daten, und Unternehmen, die den grösstmöglichen Nutzen aus ihren Daten ziehen, haben die besten Erfolgsaussichten. Auf dem Weg dahin gibt es jedoch noch einige Hürden zu nehmen, vor allem hinsichtlich Compliance und Sicherheit:
Weltweit und über alle Branchen hinweg haben spektakuläre Fälle von Datenraub und Datenschutzverletzungen bereits Schlagzeilen gemacht. Bussgelder, Schadensersatzansprüche, Versicherungsausfälle und Imageschäden waren die Folge für viele der betroffenen Unternehmen. Neben der Angst vor Strafen und finanziellen Einbussen gibt es jedoch noch einen weiteren Grund, den Schutz von Unternehmensdaten sicherzustellen: Sie liefern wertvolle Informationen, ohne die Organisationen in Zukunft nicht mehr auf dem Markt bestehen können. Statt also den Umgang mit Daten als lästige Pflicht anzusehen, sollten Unternehmen ihr Augenmerk auf deren Nutzen richten und ihre Unternehmenskultur und Prozesse entsprechend darauf ausrichten. Ausserdem gilt es, neue Rollen wie die eines Datenschutzbeauftragten und eines Information Security Officer (CISO) zu schaffen.
Druck auf die Schaffung geeigneter Datenschutzstandards üben jedoch nicht nur Markt und Wettbewerb aus: Zunehmend legen auch nationale Regierungen und die EU bindende Richtlinien fest. So tritt im Mai 2018 die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die Unternehmen – und zwar auch solchen in der Schweiz – klare Vorgaben zum Umgang mit Daten macht und insbesondere auch die Rechte des Individuums an seinen Daten stärkt.
Verletzen Unternehmen die neue Verordnung, drohen Bussgelder in Höhe von bis zu vier Prozent des weltweiten Vorjahresumsatzes. Angesichts dieser extremen Strafmassnahmen möchte man annehmen, dass sich die Firmen schon vorab auf die neuen Vorschriften vorbereitet haben – doch dem ist nicht so: Laut Gartner werden 50 Prozent der Unternehmen die EU-DSGVO-Frist deutlich verfehlen. Natürlich kann es für Unternehmen sehr mühsam sein, spezifische Bestimmungen umzusetzen. An der kontinuierlichen Überprüfung und Optimierung bestehender Compliance- und Sicherheitsmassnahmen führt nun jedoch kein Weg mehr vorbei – und das hat, wie wir noch sehen werden, durchaus auch Vorteile. Und so ist es beispielsweise der Bank Berenberg gelungen, mit Hilfe von Oracle Technologie die Sicherheit ihrer großen Datenmengen langfristig zu garantieren.
Drei Schritte zur EU-GSGVO: Analyse, Prävention und Kontrolle
Doch was ist nun zu tun, um den Bestimmungen der EU-DSGVO gerecht zu werden? Drei Schritte sind es im Wesentlichen, die Unternehmen ans Ziel bringen:
- Ausgangslage bewerten: Viele Unternehmen sind historisch gewachsen. Ihre Geschäftszweige arbeiten oft isoliert voneinander und haben eigene Anwendungen und Prozesse etabliert. Im Laufe der Zeit wurden vielleicht auch standardisierte Regeln und Richtlinien umgangen – was nun natürlich Datenschutz und Compliance gefährdet. Um den Richtlinien der EU-DSGVO zu entsprechen, müssen sich Organisationen also zunächst ein umfassendes Bild über die ihre Daten, deren Verteilung und die entsprechenden Prozesse verschaffen.
- Präventionsmassnahmen ergreifen: Auf Basis der vorangegangenen Analyse müssen die Verantwortlichen in der Organisation Regeln festlegen und durchsetzen sowie Abwehrmechanismen implementieren. In erster Linie geht es darum, unautorisierte Zugriffe und Handlungen – sowohl innerhalb als auch ausserhalb des Unternehmens – zu unterbinden. Um Zugriffe auf sensible Daten durch Unbefugte zu verhindern, sollten Unternehmen auf Verschlüsselung, Tokenisierung, Datenmaskierung und –anonymisierung sowie strenge Zugriffskontrollen setzen. Um herauszufinden, welche Schutzmassnahmen für welche Art von Daten geeignet sind, sollten Verantwortliche stets auch den Verwendungskontext im Blick haben: Werden beispielsweise Kundendaten anonymisiert, lassen sie sich genauso effektiv für die Trendanalysen nutzen – sind aber gleichzeitig weit weniger sensibel, da sie keinen Rückschluss auf einzelne Personen mehr zulassen.
- Echtzeitüberwachung einführen: Kontinuierliche Kontrolle ist ein wesentlicher Bestandteil von Compliance und Sicherheit. Automatisierung kann wesentlich dazu beitragen, ungewöhnliche Vorgänge in Echtzeit zu identifizieren und sofort geeignete Abwehrmassnahmen zu ergreifen – immer auf Grundlage vordefinierter Kriterien. Im Optimalfall entscheiden Systeme dann selbsttätig, wer wann und warum auf Informationen zugreifen darf. So kann beispielsweise ein User automatisch gesperrt werden, noch bevor er sich Zugang zu sensiblen Daten verschafft.
Verordnungen wie die neue EU-DSGVO sind hilfreich, auch wenn die Vorschriften anfangs lästig erscheinen mögen. Denn sie erinnern Unternehmen an den Wert ihrer Daten – und an die Risiken durch Manipulation und Verlust. Daten liefern entscheidende Erkenntnisse, die Unternehmen für die Weiterentwicklung ihrer Geschäftsmodelle und für Innovationen nutzen können. Datenschutzmassnahmen gehören daher definitiv ins Handbuch für Zukunftssicherung – und das wird mit dem Kapitel EU-DSGVO gerade wieder neu aufgelegt. (Oracle/mc/ps)