FTD-SERIE Systems - "Ideas for better Business"

Mit Ideen für bessere Geschäfte lockt die Systems, professionelle Business-to-Business-Messe für Informations- und Kommunikationstechnologie (ITK), Besucher. Aussteller präsentieren vom 21. bis 24. Oktober in München Neuheiten zu Themen wie Green IT und IT-Security. Die FTD zeigt in dieser Serie schon jetzt, was die Firmen zu Energieeffizienz, Elektroschrott, Sicherheit und Unified Communication zu bieten haben.

weitere Folgen:
Wenn persönliche Daten im Internet landen Zäher Weg vom Papier zur Datei Digitales Firmenerbe in Gefahr Keine Angst vor RFID Deutsche Firmen spielen auf Risiko Kunst und Krimis per Klick

Diese Serie als RSS-Feed abonnieren

Fehleralarm!Leserbrief schreibenArtikel verschickenArtikel vorlesen lassenArtikel druckenFTD-Newsletter bestellenRSS-Feed abonnieren

Systems

Wenn persönliche Daten im Internet landen

von Dirk Müller-Thederan

IT-Compliance soll Unternehmen verpflichten, Daten gut zu sichern und zu schützen. Schwachstelle sind oft Mitarbeiter, aber auch die Gesetze hinken der aktuellen Technik hinterher.

"IT-compliance?" - Das Gesicht des EU-Beamten zeigt Erstaunen. Auch ein zweiter Versuch, in der EU-Kommission eine Antwort auf die Frage zu bekommen, wie es die Behörde in Brüssel denn mit IT-compliance halte, mündet in ratloses Schulterzucken. Dabei ist es mitnichten so, dass dieses Thema - die Umsetzung gesetzlicher und vertraglicher Regelungen in der Informationstechnologie - gänzlich an der EU vorbei liefe. Doch mit dem Begriff können offenbar nur Experten etwas anfangen.

Mit Vorgaben zur Sicherung von Daten beschäftigt sich allerdings auch der EU-Gesetzgeber. Zwar nicht unter diesem Stichwort, sondern in Teilfragen. Denn IT-Compliance hat mehrere Facetten, von denen nur eine die reine Datensicherung betrifft. Eng verbunden mit IT-Governance, bei der es um die Steuerung und die Kontrolle der IT-Systeme eines Unternehmens geht, zielt IT-Compliance zunächst auf die Sorgfaltsanforderungen aus den Gesetzen für AGs und GmbHs ab.

Damit verbunden sind unternehmensinterne Informations- und Dokumentationspflichten mit Hilfe der IT. Ein solches internes Kontrollsystem ist für das Risikomanagement und die Lenkung eines Unternehmens unverzichtbar. Ein weiterer Pfeiler der IT-Compliance ist das Thema IT-Sicherheit, also der Schutz der Computersysteme gegen Angriffe von innen und außen sowie die Einhaltung datenschutzrechtlicher Bestimmungen.

Hacker machen auf Datenlecks aufmerksam

Optimal geschützt sind persönliche Daten in Unternehmen nicht immer. Skandale gibt es regelmäßig, etwa 2007 der Datenmissbrauch bei britischen Krankenkassen. Erst Ende September hat sich in der Universität Göttingen ein peinliches Leck aufgetan: Wegen einer Sicherheitslücke auf einem zentralen Server waren offenbar monatelang die Namen von 26.000 Studenten ungeschützt zugänglich. Es bemerkt und die Hochschule darauf aufmerksam gemacht haben ausgerechnet Hacker.

Im Mai musste die Universität Magdeburg eine Datenpanne einräumen: Zehn Tage lang waren Personendetails von rund 44.000 aktiven und ehemaligen Studenten im Internet einsehbar. Mitunter steckt aber auch kriminelle Energie dahinter, wenn, wie jüngst im Fall der Deutschen Telekom, Kundendaten einfach geklaut werden. Experten fordern, solche Datenlecks der Öffentlichkeit schnell bekannt zu machen. Denn diese glaubt nicht, dass es um den Datenschutz besonders gut bestellt ist - trotz der mannigfaltigen rechtlichen Verpflichtungen, denen Firmen unterliegen.

Eine Umfrage des EU-Statistikamtes Eurostat hat ergeben, dass 64 Prozent der EU-Bürger in Sachen Datenschutz besorgt sind. Nicht einmal die Hälfte der Befragten (48 Prozent) ist der Meinung, dass ihre Daten in ihrem Heimatland hinreichend geschützt sind. Was aber viele nicht zu stören scheint: Denn 77 Prozent meinen, das Bewusstsein der EU-Bürger für den Datenschutz sei nur "gering ausgeprägt". Doch befürchten 54 Prozent der Befragten, dass die nationalen Rechtsvorschriften mit der wachsenden Zahl von Personen, die ihre persönlichen Daten im Internet hinterlassen, ebenso wenig Schritt halten können wie mit dem wachsenden Austausch solcher Informationen.

Mitarbeiter intensiv schulen

Mike Small in London wundert das nicht. "Das fundamentale Prinzip ist die Privatsphäre", sagt der Europa-Sprecher von CA, einem der größten Anbieter von IT-Management-Software weltweit. Gerade der Privatbereich sei aber permanent gefährdet. Small nennt drei Ursachen, warum immer wieder Daten in fremde Hände gelangen: Der organisatorische Rahmen für IT-Sicherheit in einem Unternehmen fehle entweder gänzlich oder werde unzureichend umgesetzt. Das Gleiche sei bei IT-Lösungen der Fall.

Den größten Unsicherheitsfaktor sieht der Brite jedoch bei den Mitarbeitern. Jene, die auf empfindliche persönliche Daten zugreifen können, müssten "intensiv geschult" und vor allem für den Umgang mit solchen Daten "sensibilisiert" werden. "Hat man jemandem Daten anvertraut, dann muss man über eine Weitergabe informiert werden", sagt Small. Weiterer Kritikpunkt: Würden in Sachen Datenschutz zumindest OECD-Standards und "best practices" wie ISO 27.001/002 eingehalten, wäre viel erreicht.

Vorbildlich findet Sven Hesselbach selbst gesetzte Standards wie den der Kreditkartenbranche. Hesselbach ist Experte für IT-Sicherheit bei Axymos Information Services. Durch den Payment Card Industry Data Security Standard (PCI-DSS) würden die Händler gezwungen, Kundendaten entsprechend zu schützen, um nicht aus dem System zu fliegen, erklärt er. Doch insgesamt scheint es mit dem Schutz nicht so weit her zu sein: Eine Studie von CA hat ergeben, dass in den 482 untersuchten Unternehmen nur 51 Prozent den Zugang auf IT-Server überwachen. "Da gibt es noch viel Raum für Verbesserungen", sagt Small.