Inhalt

Trends in der IT

IT Sicherheit – Der Blick auf 2014

Dr. Stefan Brink
Dr. Stefan BrinkLeiter Privater Datenschutz beim Landesbeauftragten für den Daten-
schutz und die Informationsfreiheit Rheinland-Pfalz.

 

 

 

 

 

 

 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit RLP
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) ist in
Rheinland-Pfalz als Kontrollinstanz für den öffentlichen Bereich und als Datenschutzauf-
sichtsbehörde für die privaten Stellen (Unternehmen) tätig. In Bezug auf die öffentlichen
und die privaten Stellen überwacht er die Einhaltung der Datenschutzgesetze und ande-
rer Vorschriften über den Datenschutz, berät den Landtag, die Landesregierung und ihre
Mitglieder sowie die datenverarbeitenden Stellen in Fragen des Datenschutzes und führt
örtliche Kontrollen durch. Bedeutsam ist auch seine Aufgabe, Beschwerden von Bürgern
nachzugehen.


Interview

Wie schätzt Ihre Aufsichtsbehörde die aktuelle Gefahrenlage im Bereich Datenschutz und Datensicherheit ein?

Der rasante Fortschritt der Informationstechnologie beschert uns nicht nur ständig
neue und erweiterte Nutzungsmöglichkeiten für jedermann, gleichzeitig wachsen
aber auch die Gefahren im Bereich Datenschutz und Datensicherheit. Und dies
gilt nicht nur für große, global agierende Unter­nehmen, sondern für das mittelstän­-
di­sche Unternehmen und den kleinen Hand­werksbetrieb in gleichem Maße.
Zwar ist das Thema Datenschutz inzwischen in aller Munde, dennoch stellen
wir als Aufsichtsbehörde immer wieder fest, dass die betriebliche Realität mit dem

technologischen Fortschritt – und seinen Schattenseiten – häufig nicht mithält. Eines
unserer wichtigsten Themen ist dabei die betriebliche Datensicherheit. Datenschutz
wird nur dann erfolgreich sein, wenn die personenbezogenen Daten von Kunden,
Geschäftspartnern und Mitarbeitern vor dem unbefugten Zugriff Dritter gesichert
werden. Dazu muss einerseits das Bewusstsein in den Betrieben, dass personenbezo-
gene Daten sensibel und schützenswerte Daten sind, weiter gestärkt werden; zum
andern müssen auch organisatorische und technische Vorkehrungen getroffen wer-
den, um dem Datenklau und dem Datenmissbrauch vorzubeugen. Von der Datensi-
cherheit sind übrigens Betriebsgeheimnisse in gleicher Weise betroffen wie personen-
bezogene Daten. Es sollte daher im ureigensten Interesse der Unternehmen liegen,
hier für „klar Schiff“ zu sorgen.

Sehen Sie besonders gefährdete Branchen? Welche Unterschiede sind zwischen kleinen und größeren Unternehmen zu beachten?
Eine Grundbedrohung in punkto Datensicherheit besteht für jede Branche und ist auch von
der Betriebsgröße völlig unabhängig. Natürlich sind solche Unternehmen in besonderer
Weise gefährdet, deren „Betriebskapital“ gerade die zu schützenden Daten sind. Dies gilt
insbeson­dere für Dienstleistungsunternehmen, die in besonderer Weise auf das Ver-
trauen ihrer Kun­den angewiesen sind und für die ein unfrei­williger Datenverlust regelmäßig
zugleich den Verlust ihres Kundenbestandes bedeutet. Mitt­lerweile sind aber auch reine
Produktionsstät­ten vor Angriffen aus dem Netz nicht mehr sicher, wenn mittels Compu-
terviren oder Trojanern in die Betriebssteuerung eingegriffen wird oder Produktionsver-
fahren ausspioniert werden.
Als Aufsichtsbehörde beobachten wir natürlich Unterschiede im Verhalten von klei-
nen und von größeren Unternehmen: Größere Unternehmen haben auf dem Gebiet
der Datensicherheit häufig schon erhebliche, auch organisatorisch wirksame Anstren-
gungen un­ternommen, die auch die Inanspruchnahme externen Sachverstands von
IT Sicherheitsspe­zialisten, des Verfassungsschutzes oder der Datenschutzaufsichtsbe-
hörde umfasst. Bei klei­neren Unternehmen stellen wir leider ebenso häufig immer noch
die Haltung fest: Ich bin so klein, mich wird schon keiner finden! Dabei ist die Folge von
IT Spionage für den kleinen Geigenbauerbetrieb, dem die Konstruktionspläne ent-
wendet werden, genau derselbe wie für den Großkonzern, dessen Produktionssteuerung
lahmgelegt wird: Das Unternehmen kommt in eine existenzielle Krise.
Dem gilt es vorzubeugen – und die Datenschutzbehörden bieten hierzu ihre Unterstützung an.

 

Welche Schwachstellen innerhalb der Organisation von Unternehmen treten häufig zutage?
Die Schwachstellen, die wir bei örtlichen Feststellungen in Rheinland-Pfalz immer
wieder vorfinden, sind vielfältig. In technischer Hinsicht erweist es sich für viele Unter-
nehmen als fatal, dass sie unterschied­liche Anwendungen innerhalb ihrer EDV nicht
technisch klar genug trennen, wenn etwa die Buchhaltung, die Kundenbetreuung
und der Öffentlichkeitsauftritt im Internet von einem Server aus betrieben werden.
Ein erfolgreicher Hackerangriff an einer Stelle infiziert damit immer gleich die ge-
samte Betriebsstruktur. Das lässt sich verhindern, wenn man sich auf die realen Ri-
siken in der virtuellen Welt einstellt. Die gravierendsten organisatorischen
Mängel bestehen häufig darin, dass das Un­ternehmen der eigenen EDV-Abteilung
voll­ständig ausgeliefert ist, also sein Wohl und Wehe von der Qualität der Arbeit der
Administratoren abhängig macht. Die alte Parole „Vertrauen ist gut, Kontrolle ist bes-
ser“ hat immer noch ihre Berechtigung! Hier ist es dringend geboten, auch externen
Sachverstand zu Rate zu ziehen und mögliche Schwachstellen des Unternehmens von
unabhängiger Seite analysieren zu lassen.

Inwieweit lassen sich die Bereiche Datenschutz und der IT Sicherheit sinn­voll in Einklang bringen, um effizient Gefah­ren und Risiken unter Kontrolle zu halten?
Aus Sicht einer Datenschutzaufsichtsbehörde ist das Thema IT Sicherheit deswe-
gen von zentraler Bedeutung, weil hier die staatlichen Aufsichtsstellen und die Unter-
nehmen an einem Strang ziehen – und zwar in dieselbe Richtung!
Beim Thema Datensicherheit handelt es sich nicht nur um eine theoretische Forderung
irgendwelcher staatlichen Stellen, sondern die Unternehmen spüren hier schnell am
eigenen Leibe, wie wichtig die Risikobegrenzung auf diesem Gebiet ist, und zwar auch
gemessen am eigenen unternehmerischwirtschaftlichen Interesse.
Während Datenschützer und Unternehmen in punkto Datensicherheit also
dasselbe Ziel verfolgen, ist dies beim Thema Schutz der personenbezogenen Daten
von Kunden, Geschäftspartnern und Mitarbeitern leider nicht im gleichen Umfang
der Fall. Zwar beteuern inzwischen alle Unternehmen, den Wert des Datenschut-
zes verstanden zu haben; häufig bleibt es jedoch bei einem bloßen Lippenbekennt-
nis. Das ist nicht ohne Risiko, denn die Kunden, Verbraucher und Mitarbeiter sind
in Sachen Datenschutz aufmerksamer geworden und schalten immer häufiger die
Datenschutzaufsichtsbehörden ein; bei uns in Rheinland-Pfalz alleine im vergangenen
Jahr in mehr als 2.000 Fällen. Bei Verstößen drohen dem Unternehmen nicht nur
erhebliche Bußgelder, sondern auch ein öffentlicher Ansehensverlust. Da ist es schon
besser, man stellt sich beim Thema Datenschutz gut auf!

Welche Unterstützung können Unternehmen von Seiten des Landesbeauftragten in Anspruch nehmen?
Der Landesbeauftragte für den Datenschutz hat gerade beim Thema Daten-
sicherheit, aber auch für alle anderen Bereiche des Datenschutzes einen Bera-
tungs- und Informationsauftrag zugunsten der Unternehmen als verantwortliche Stel-
len. Diese Aufgabe ist sogar ausdrücklich im Bundesdatenschutzgesetz erwähnt, §
38 Abs. 1 Satz 2 des Bundesdatenschutzgesetzes verpflichtet die Aufsichtsbehör-
den dazu, die Unternehmen zu beraten und mit Rücksicht auf deren typische Be-
dürfnisse zu unterstützen.

Das tun wir hier in Rheinland-Pfalz auch nach Kräften, weil jedes Unterneh-
men, das im Vorfeld von datenschutzrechtlichen Problemen die Aufsichtsbehörde um
Unterstützung bittet, einen wichtigen Beitrag zum präventiven Datenschutz leistet.
Wer sich an uns wendet, bevor das Kind in den Brunnen gefallen ist, kann nicht nur
unserer Unterstützung sicher sein, sondern erspart sich auch erheblichen Ärger, Buß-
geldverfahren und schlechte Presse, wenn eine Datenpanne passiert. Der LfDI Rhein-
land-Pfalz hat sich, seitdem er diese Aufgabe im Jahr 2009 übernommen hat, stets da-
rum bemüht, im Vorfeld von Datenpannen tätig zu werden und damit seine repressi-
ven Handlungsmöglichkeiten gar nicht erst zum Einsatz bringen zu müssen. Deshalb
ist er auch für jede Form des kooperativen Vorgehens in Sachen Datenschutz
und Datensicherheit dankbar und offen.