Information Security: Datenschutz in Unternehmen

Information Security und Schutz von Unternehmensdaten gewinnt an Bedeutung. Davon ist Krzysztof Müller, Leiter Information & Data Security bei A1, überzeugt. Die Gründe sind einfach auszumachen: Informationen und Daten formen schon heute die Entwicklung unserer Wirtschaft und Gesellschaft, gleichzeitig schreitet die Entstehung neuer Technologien voran – Cloud Lösungen werden für viele Unternehmen immer wichtiger.

Standards, Zertifizierungen und das neue europäische Datenschutzgesetz schaffen einen Rahmen, um Datenschutz zu gewährleisten. Im Gespräch mit Krzysztof Müller haben wir mehr zum Thema Information Security, Rahmenbedingungen und Herausforderungen erfahren.

Datenschutzmaßnahmen | Zertifizierungen & Gesetze | Cloud & Datenschutz | Datenschutzschulungen

A1 Blog: Lieber Krzysztof, kannst du dich unseren Leserinnen und Lesern kurz vorstellen?

Krzysztof Müller: Ich bin seit 14 Jahren für Information Security bei A1 zuständig, im Konzern selbst bin ich seit 22 Jahren. Das Ziel der Information Security ist es, adäquate und sinnvolle Maßnahmen zu ergreifen, um Informationen des Unternehmens und die Daten unserer Kunden zu schützen. Meine Aufgabe ist es, die Security Strategie zu entwickeln und Maßnahmen für den Datenschutz in die Wege zu leiten.

Datenschutz Experte Krzysztof Mueller A1

Krzysztof Müller im Gespräch mit dem A1 Blog

A1 Blog: Welche Maßnahmen können effektiven Schutz von Daten gewährleisten?

Krzysztof Müller: Generell gibt es ein Bündel von Aktionen, die man ergreifen kann. Jedes Unternehmen muss die passenden Maßnahmen für sich finden und auswählen. Diese sollten dem Wert der Informationen entsprechen, welche sie für das Unternehmen besitzen. Das heißt, ich muss den Wert dessen, was ich schützen möchte, auch bestimmen können.

Es gibt für Unternehmen eine Unmenge an Möglichkeiten, um Datenschutz zu gewährleisten. Das sind nicht nur technische Umsetzungen, es muss auch beachtet werden, dass Menschen mit diesen Informationen arbeiten. Was sie mit den Daten tun und wie sie sich verhalten, ist ebenfalls entscheidend. Das heißt, es sind sowohl organisatorische Maßnahmen, Awareness bei den Mitarbeitern als auch ein Bündel von technischen Maßnahmen relevant. Bei den technischen Maßnahmen muss auch immer überlegt werden, wie einfach die Menschen dann mit den Daten weiterarbeiten können, beispielsweise wenn man über Verschlüsselung spricht.

A1 Blog: Nun gibt es ja zahlreiche Zertifizierungen für Unternehmen – wie werden diese erreicht, was sind deiner Meinung nach die wichtigsten?

Krzysztof Müller: Es gibt etliche Zertifizierungen – diese helfen dabei, das Thema zusammenfassend zu betrachten. Es sollen Kriterien definiert werden, mit denen eine Beurteilung des Thema Security in meinem Unternehmen ermöglicht wird. Die Bestätigung eines unabhängigen Auditors, dass Datenschutz im Unternehmen richtig gelebt wird, ist ebenfalls ein wichtiger Aspekt.

Das bekannteste Zertifikat ist ISO 27001. Das ist eine international anerkannte Norm für Informationssicherheit in Unternehmen. A1 ist damit zertifiziert, schon seit 2005. Es gibt auch Normen, die sich mit Rechenzentren befassen und garantieren, dass in den Rechenzentren alles richtig und ordentlich abläuft. Auch hier ist A1 zertifiziert.

In letzter Zeit gewinnen Normen wie ISAE 3402 für Outsourcing-Geschäfte oder eine neue Norm (Anm. ISO 27018) für den Schutz personenbezogenen Daten in der Cloud immer mehr an Bedeutung. Dabei umfasst der Begriff „personenbezogene Daten“ alle Daten, mit denen Rückschlüsse auf eine Person gezogen werden können. Wenn diese in der Cloud abgelegt werden, muss garantiert werden, dass diese richtig aufbewahrt sind. Auch hier ist A1 auf dem Weg, diese Zertifizierung zu erhalten.

Vergessen darf man aber auch nicht auf die Gesetze wie die europäische Datenschutz-Grundverordnung, welche neue und sehr strikte Auflagen für den Datenschutz von personenbezogenen Daten beinhaltet. Jedes Unternehmen in Österreich hat in etwa zwei Jahre Zeit, um das Gesetz zu erfüllen.

A1 Blog: Kannst du uns einen Einblick in das neue europäische Datenschutz-Gesetz geben?

Krzysztof Müller: Das Hauptthema ist es, Kundendaten möglichst gut zu schützen. Welche Daten werden erfasst? Was mache ich damit? Dafür verlangt der neue Datenschutz die explizite Zustimmung des Kunden. Außerdem geht es um die Angemessenheit der Erfassung von Daten. Ob es beispielsweise bei der Nutzung eines Dienstes sinnvoll ist, gewisse Daten des Kunden zu registrieren. Hier ist besonders die Zustimmung des Kunden wichtig. In den technischen Bereichen gibt es auch einige kleine Verschärfungen. Allerdings liegt die hauptsächliche Verschärfung in der Strafe der Nicht-Erfüllung der Vorschriften. Die Strafen sind in diesem neuen Gesetz extrem hoch, sie richten sich nach dem Umsatzvolumen. Das ist natürlich eine starke Motivation für jede Firma, das Thema ernst zu nehmen.

A1 Blog: Stellt die Cloud Unternehmen rund um die Sicherheit von Daten vor neue Herausforderungen?

Krzysztof Müller: Natürlich. Generell – Technologie bringt immer neue Situationen für den Schutz von Informationen. Man muss auch dazusagen, dass diese neuen Technologien meist ohne Schutz und Sicherheit daherkommen. So gut wie jede neue Technologie erfüllt eine Funktionalität und erst im Nachhinein stellt man fest, dass dies zu einem Sicherheitsproblem führen kann.

Allerdings bringt Technologie auch Vorteile, denn damit kommen umgekehrt auch wieder neue Security-Lösungen. Was Cloud anbelangt – das ist ein „Game changing“ Faktor. Viele Cloud-Provider bieten inzwischen exzellente technische und organisatorische Sicherheit. Allerdings ist die Überprüfung der Sicherheit in derselben Art und Weise, wie wir es im eigenen Unternehmen tun, in der Cloud nicht möglich. Nur, was kann jetzt die Rolle von Security in der Cloud sein? Es ist zu prüfen, ob der Cloud-Provider die entsprechende Sicherheit der Daten garantiert. Ich sage immer, in der Cloud ist der Verlust der Kontrolle höher. Natürlich bekommt man Garantien dafür, dass alle Sicherheitsmaßnahmen richtig gesetzt sind, aber wirkliche Kontrolle hat man nicht. Da kommt ein anderer wichtiger Aspekt ins Treffen. Man muss sich überlegen, welche Daten sind für mich wichtig, welche weniger wichtig? Bin ich bereit, alle Daten in der Cloud abzulegen? Hierbei handelt es sich um Datenklassifizierung, die mit dem Cloud-Thema immer essenzieller wird. Bevor man in die Cloud geht, ist es sehr wichtig, diese Entscheidung, auch Sourcing-Entscheidung genannt, zu treffen.

A1 Blog: Wie wird bei A1 auf die Wichtigkeit von Datenschutz aufmerksam gemacht?

Krzysztof Müller: Das richtige Verhalten der Menschen bei diesem Thema erweitert technische Maßnahmen massiv. Es ist aber zunehmend schwierig, die Masse der Menschen richtig zu schulen, weil einfach die technologischen Herausforderungen immer komplexer werden. Was wir bei A1 tun und uns wichtig ist: es gibt News an die Mitarbeiterinnen und Mitarbeiter, welche meistens einen Bezug zu einer aktuellen Bedrohung haben. Das heißt, wir versuchen, die Infos und das Wissen nicht theoretisch zu verbreiten, sondern immer in Bezug auf eine Herausforderung zu stellen.

Letztes Jahr haben wir auch E-Learnings für Mitarbeiterinnen und Mitarbeiter angeboten zu grundlegenden Verhaltensrichtlinien. Mir ist aber, wie schon gesagt, die kontextbezogene Information viel wichtiger. Beispielsweise kämpfen momentan viele Unternehmen mit einer Ransomware. Das ist eine Schadsoftware, welche alle Daten am Rechner verschlüsselt, sodass nicht mehr damit gearbeitet werden kann. Hierfür haben wir an alle Mitarbeiterinnen und Mitarbeiter SMS mit kurzen Botschaften ausgeschickt, um die Awareness zu steigern.

In der Information Security gibt es aber meist nicht eine einzige Lösung, die alle Probleme löst. Gute Information Security entsteht durch viele kleine Maßnahmen. Manchmal glaubt man, diese sind nicht bedeutend oder zu klein, aber die Summe der Maßnahmen hebt die Security.

A1 Blog: Wie kommt es zu Attacken gegen Unternehmen wie beispielsweise DDoS? Sind Unternehmen öfter davon betroffen und wie schützen sich Unternehmen davor?

Krzysztof Müller: Solche Attacken zeigen eine eindeutige Tendenz nach oben bei den Cyber Angriffen. Das Ziel ist meistens, Geld zu erpressen. Das ist auch bei DDoS der Fall. Das ist leider ein weltweites Phänomen und kann Firmen schwer treffen. Im Fall von DDoS wird die Internet-Anbindung einer Firma mit Datenpaketen überflutet, die völlig sinnlos sind, sodass normales Arbeiten unmöglich wird. Wenn man sich vorstellt, dass in Österreich nur wenige Unternehmen eine stärkere Anbindung als 10 Gbit/s haben und dann kommt eine Attacke mit über 500 Gbit/s, dann kann dieses Unternehmen nicht mehr arbeiten. Dann muss sie sich mit dem Internet-Provider zusammenschließen und mit ihm gemeinsam eine Lösung zu finden.

A1 Blog: Wir sind am Ende des Interviews angelangt – hast du noch einen Schlusssatz für uns ?

Krzysztof Müller: Ich denke, das Thema Information Security ist ein sehr wichtiges Thema und wird zunehmend eine größere Rolle spielen, denn die Abhängigkeit der Gesellschaft und der Wirtschaft von Informationen nimmt zu. Man sagt, die Daten sind die Rohstoffe der digitalen Welt und diese Rohstoffe muss man dementsprechend schützen und verarbeiten. Wenn ich diese Entwicklung beobachte, dann glaube ich, dass einige Herausforderungen auf uns zukommen werden. Andererseits gibt es extrem interessante und gute Lösungen für die Probleme, die es schon gibt. Ich denke, jede Firma sollte eine Strategie entwickeln, wie man mit Information Security umgeht. Das heißt lange nicht, dass man alle Maßnahmen sofort umsetzen muss – nicht jede technische Maßnahme ist für jede Firma sinnvoll. Aber man sollte jedenfalls eine Strategie haben.

Mehr Infos zu A1 Security Lösungen

Das könnte dich auch interessieren:

Gib deine Meinung ab:

  • Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *

Loading Facebook Comments ...