Das Ankerkopf-Team spricht im dritten Teil der Blogreihe “Nearshore” mit Michael Braun von IT-EMOTION & SECURITY GMBH U. CO. KG über die Unterschiede von Datenschutz, Informationssicherheit und Cyber Security und warum diese Aspekte unbedingt bei der Offshore-Entwicklung mit gedacht werden sollten.
Michael Braun ist der Kopf hinter IT-EMOTION & SECURITY GMBH U. CO. KG. Durch sein Expertenwissen sollten sich an ihn definitiv gerade Start-Ups oder Firmen mit veralteter Datenschutzerklärung im Sinne der DSGVO oder einem Leck in der IT-Sicherheit wenden. Mit dem jahrelangen Background der IT-Infrastruktur liegt sein Business-Fokus nun auf dem Informationssicherheits-Managementsystem (ISMS, engl. Information Security Management System) und entsprechender Zertifizierung von Betrieben, Cybersecurity sowie Datenschutz.
Worin besteht der Unterschied zwischen Datenschutz, Cybersecurity und Informationssicherheit?
„Dienstleistungen u.a. als externer Datenschutzbeauftragter, wenn Firmen diesen Bereich auslagern möchten, sind echte Win-Win-Situationen, denn es profitiert das Unternehmen durch unser Know-how und wir durch die Vielzahl der unterschiedlichen Mandate. Regelmäßige Fortbildungen, Zertifizierungen des BSI nach §8a BSIG, Fortbildungen der ISACA als CISM (Chief Information Security Manager) und Lead Auditor ISO 27001 sind im Kontext mit den angebotenen Dienstleistungen eine notwendige Basis, um im Austausch mit Kollegen und Verbänden zu bleiben,“ so Michael Braun von IT-EMOTION & SECURITY GMBH U. CO. KG. Foto ©Christof Groner
Michael Braun: Datenschutz, Cybersecurity und Informationssicherheit: Diese Begriffe gehen in die gleiche Richtung, jedoch gibt es deutliche Unterschiede, so erstreckt sich der Anwendungsbereich der DSGVO und des BDSG n. F. auf den Schutz von personenbezogenen Daten und gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person. Datensicherheit hingegen hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen. Im Unterschied zum Datenschutz beschränkt sie sich nicht auf personenbezogene Daten, sondern erstreckt sich auf alle Daten.
Informationssicherheit hingegen ist der Oberbegriff für alle organisatorischen und technischen Maßnahmen und es geht in der Informationssicherheit allgemein um den Schutz von Informationen, wobei die IT-Sicherheit sich auf den Schutz von technischen Systemen bezieht. Die Normenreihe der ISO 27001ff liefert eine gute Grundlage, wie man ein Unternehmen auf die Etablierung eines Informationssicherheits-Management-Systems (ISMS) vorbereitet. In Deutschland leistet das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem IT-Grundschutz als Leitlinie für die Informationssicherheit ein herausragendes Beispiel, wie man detailliert Informationssicherheit etablieren kann.
Cyber-Sicherheit bezieht sich prinzipiell nicht nur auf das Internet, sondern auf alle Angriffsflächen, wie Emails, Applikationen oder auch auf kontaminierte Daten (Bewerbungsunterlagen). Immer wieder neue Angriffsmethoden und meist professionell organisiert und arbeitende Cyberkriminelle stehen im ständigen Wettlauf mit der IT-Sicherheit. Eines meiner absoluten Schwerpunkte ist daher das Consulting in der IT-Sicherheit.
Und ich setze in meinen Konzepten auf Cyber-Resilienz. Resilienz bedeutet Widerstandsfähigkeit: die Fähigkeit, Lebenskrisen mit allen zur Verfügung stehenden Ressourcen zu bewältigen und sie als Anlass für die eigene Weiterentwicklung zu nutzen. Solche Konzepte auf die IT-Sicherheit und auf die Bereiche der Informationssicherheit zu legen, ist der einzige Schlüssel zum Erfolg.
Ich setze in meinen Konzepten auf Cyber-Resilienz. Resilienz bedeutet Widerstandsfähigkeit: die Fähigkeit, Lebenskrisen mit allen zur Verfügung stehenden Ressourcen zu bewältigen und sie als Anlass für die eigene Weiterentwicklung zu nutzen, so Michael Braun.
Tweet
Um einen Zustand der Cyber-Resilienz zu erreichen, ist es wichtig Schwachstellen frühzeitig zu erkennen, sie wirtschaftlich zu priorisieren und zu beseitigen. Ergänzend sind verschiedene technische und organisatorische Maßnahmen nötig, zum Beispiel Zugriffskontrollen, Kryptographie oder redundante Speichersysteme, Business-Kontinuität-Konzepte und eine schnelle Wiederherstellbarkeit der Systeme sind die Basis für eine technisch-organisatorische Resilienz.
Und warum sollten oder müssen sich Firmen mit diesen verschiedenen Bereichen auseinandersetzen?
Ich möchte erst einmal festhalten, dass Datenschutz ohne IT Sicherheit unmöglich ist. Um die gesetzlichen Vorgaben der DSGVO zu erreichen, muss der Unternehmer auch seine IT Sicherheit in den Griff bekommen! Zudem möchte ich betonen, dass wir uns als Experten in den benannten Bereichen als „Enabler“ verstehen sollten, also konkrete Lösungen und Handlungsempfehlungen aufzeigen. Packt man die benannten Themen konstruktiv an, so gelten „Enabler“ häufig auch als Treiber für die notwendige digitale Transformation und erreichen so eine völlig andere Akzeptanz. Um auf die Frage nochmals einzugehen: „Einer Studie der Telekom aus dem Jahre 2019 zufolge wurden bereits zwei Drittel der Unternehmen in Deutschland von Hackern angegriffen – 15 Prozent sogar mehrmals. Besonders häufig kommen Angriffe vor, mit denen ein Betrieb ausspioniert oder geschädigt werden soll. Betrifft es zudem personenbezogene Daten, so muss ggfs. die Datenschutzbehörde innerhalb von 72 Std. informiert werden und es folgt bei großen Datensätzen eine Veröffentlichung in der Tagespresse etc.. Ein solcher Reputationsverlust ist ja kaum in Zahlen auszudrücken.
Um einen Zustand der #CyberResilienz zu erreichen, ist es wichtig Schwachstellen frühzeitig zu erkennen, sie wirtschaftlich zu priorisieren und zu beseitigen, sagt IT-Sicherheitsexperte Michael Braun.
Tweet
Welche Rolle spielen nationale Grenzen und physikalische Entfernungen beim Datenschutz und der IT-Sicherheit?
Datenschutz ist Thema der EU bzw. des EWR-Raums und als personenbezogene Daten gelten in Deutschland all jene, die einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. In anderen europäischen Ländern sind auch juristische Personen eingeschlossen (etwa in der Schweiz oder in Österreich). Damit haben wir schon mal einen gewaltigen Unterschied. Dann sind physikalische Entfernungen immer problematisch, einerseits um ein Audit bei einem Dienstleister vorzunehmen, aber auch rein technische Themen wie Latenzen. Letztendlich kann die Sprachbarriere noch ein Thema sein, sodass wir als Deutsche sicher gut beraten sind, wenn wir die eine oder andere Dienstleistung wieder ins Land holen. Gerade „Corona“ sollte uns hier eine Lehre sein, dass nationale Services in vielen Bereichen essentiell sind.
Welche Risiken bestehen aus deiner Sicht als IT-Sicherheitsexperte insbesondere, wenn Unternehmen ihre Software, Apps und weitere Produkte nicht in Deutschland entwickeln lassen?
Im Prinzip ist die Frage schon beantwortet und als Exportweltmeister sollten wir einen Know-how-Ausverkauf tunlichst verhindern. Und genau das passiert, wenn wir in fremden Ländern entwickeln und fertigen lassen. Exemplarisch kann man den Automobilbau benennen, hier sind in der Auslagerungspolitik m. E. elementare Fehler gemacht worden.
Ich möchte erst einmal festhalten, dass #Datenschutz ohne #IT Sicherheit unmöglich ist. Um die gesetzlichen Vorgaben der #DSGVO zu erreichen, muss der Unternehmer auch seine IT Sicherheit in den Griff bekommen!, so IT-Sicherheitsexperte Michael Braun.
Tweet
Macht aus dieser Sicherheits-Perspektive das Outsourcing in Form von „Nearshore“, also ins nähere Ausland wie Bulgarien, einen rechtlichen Unterschied zum „Farshore“, wie Indien, was etwa den Aspekt der Konformität mit der DSGVO angeht?
Ja natürlich macht das einen Unterschied, denn mit Bulgarien sind wir in der EU. In der EU gilt auch die DSGVO als europäische Verordnung. Wer mal mit Kollegen aus Indien ein Softwareprojekt vorangetrieben hat, weiß wie mühsam und teils schwierig die Kommunikation ist und von unserem „deutschen Selbstverständnis“ doch ganz deutlich abweicht!
Gibt es auch kulturelle Faktoren, die Einfluss auf die Informationssicherheit nehmen können?
Der Faktor Mensch trägt wesentlich zur Informationssicherheit bei. Dieser Faktor sollte bewusst gelenkt und gefördert werden. Die eigene Verantwortung ist dabei ein zentraler inhaltlicher Baustein. Aus dieser Eigenverantwortung in Form moralischen und ethischen Handelns hängt die Ausgestaltung der Maßnahmen zudem stark von der gesellschaftlichen Kultur ab. Maßnahmen können deshalb nicht lokal ausgearbeitet und global umgesetzt werden, sondern benötigen immer eine lokale Adaption.
Worauf sollten Firmen deiner Meinung nach achten, wenn sie bestimmte Developing Prozesse outsourcen, z.B. an eine Agentur geben, die im internationalen bzw. europäischen Ausland entwickelt oder wenn sie ein eigenes Team vor Ort im Ausland platzieren?
Der Trend geht immer mehr dahin, dass Unternehmen einen zusätzlichen Nearshore oder Offshore Dienstleister haben, welche das Team von deren Outsourcing Standorten aus unterstützt. Eine langfristige Zusammenarbeit ist m. E. wichtig, um die kulturellen und technischen Gepflogenheiten zu kennen, bewerten zu können und entsprechend zu agieren.
Der Faktor Mensch trägt wesentlich zur Informationssicherheit bei. Dieser Faktor sollte bewusst gelenkt und gefördert werden. Zitat von Michael Braun im #ankerkopf talk über #IT-Sicherheit und #nearshore
Tweet
Siehst du persönlich Chancen oder auch den Willen in Zukunft eine weltweit geltende Verordnung in Bezug auf Datenschutz und Informationssicherheit zu haben?
Das wird es definitiv nicht geben!
Lieber Michael. Ich danke dir sehr für das informative und sensibilisierende Gespräch, das Teil 3 unserer Blogreihe zum Thema „Nearshore“ darstellt.
Weiter geht es im nächsten Teil mit einem Experten aus einem ganz anderen Sektor, nämlich aus dem regionalen Arbeitgeber-Umfeld, ehe wir abschließend zu den Best Practices kommen.
Wollt ihr mehr über das spannende Konzept der Cyber Resilienz erfahren oder noch tiefer in eurem Unternehmen oder in euren Offshore Projekten im Bereich Datenschutz oder IT-Sicherheit einsteigen, dann nehmt gerne Kontakt auf zu Michael Braun unter der Telefonnummer +49 4303 928582-8
oder mailt an michael.braun[at]it-eus.de
Und wenn ihr gerne auch in dieser Reihe vertreten sein wollt oder euch ein bisher nicht eingeplanter Aspekt fehlt – bitte kommentiert hier auf dem Blog, auf den Social Media-Kanälen oder schreibt eine per PN an Sarah unter blog@ankerkopf.de!