Sonntag, 8. Dezember 2019

Eine neue Ära des Datenschutzes Hackerparadies - was Unternehmen künftig blüht und droht

Cyber-Angriff: Auf den Schaden kommen künftig hohe Strafen obendrauf. Die Datenschutz-Grundverordnung (DSGVO) der EU, die im Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse
Getty Images
Cyber-Angriff: Auf den Schaden kommen künftig hohe Strafen obendrauf. Die Datenschutz-Grundverordnung (DSGVO) der EU, die im Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse

4. Teil: Null Durchblick

"Von Adidas Börsen-Chart zeigen bis zum Bezahlsender HBO wissen die Unternehmen nicht, wie sie das Thema anpacken sollen", sagt Christian Matthies, ehemals Sicherheitschef beim Onlinemodehändler Zalando Börsen-Chart zeigen. Inzwischen führt er die Berliner Beratungsfirma Twelve Beaufort. Es fehle seinen Kunden an Übersicht und Transparenz, so Matthies.

Ohne Durchblick im Datenwust lässt sich die DSGVO nicht erfüllen. Nur wer weiß, welche Informationen er wo speichert, verarbeitet oder an Dritte weiterleitet, kann seinen Kunden oder Mitarbeitern Auskunft geben - egal, ob es um die Genehmigung zur Verwendung persönlicher Angaben geht oder die Warnung vor Missbrauch nach einem Hackerangriff. Nur wer seinen Datenbestand kennt, merkt, ob überhaupt Material gestohlen wurde.

So unglaublich es klingt: Kaum ein Unternehmen hat diesen Überblick. Als Matthies im Frühjahr bei Air Berlin eine Selbstauskunft über die von ihm gespeicherten Daten anforderte, schickte ihm die damals noch intakte Fluggesellschaft elektronisch alle möglichen Tickets, die er nie gekauft hatte, sowie Kreditkartennummern ihm völlig unbekannter Personen.

In fast allen Unternehmen wuchern die EDV-Systeme planlos mit dem Wachstum des Geschäfts. Neue Funktionalitäten werden da an bestehende Software angeflanscht, Standardprogramme an interne Abläufe angepasst. Tech-affine Mitarbeiter basteln sich zu den offiziellen IT-Prozessen gern praktische Zusatzlösungen, deponieren Daten in Dropbox oder legen Excel-Tabellen auf ihren Privatrechner. Häufig sind 30 bis 40 unterschiedliche Systeme an einem einzigen Vorgang beteiligt.

Die digitalen Aufräumer

Ein solches Chaos zu durchdringen und auch noch perfekt abzusichern scheint nahezu unmöglich. "Im Schnitt dauert es mehr als 200 Tage, bis ein Hackerangriff entdeckt wird", erklärt Christian Nern, der bei IBM Deutschland das Security-Geschäft leitet. Daten strukturieren und zentralisieren, einheitlich managen und verschlüsseln sowie regelmäßiges Training der Mitarbeiter sind aus seiner Sicht die wichtigsten Schritte zu mehr Sicherheit.

Ein digitaler Aufräumer ist Bastian Nominacher. Der Mitgründer des Münchener Start-ups Celonis zeigt auf seinem Laptop ein ordentliches Schaubild - so systematisch sollten die Bestellungen eines deutschen Konzerns eigentlich ablaufen. Nun startet er bei dem Kunden seine Process-Mining-Technologie, um die tatsächlichen Abläufe zu analysieren. Binnen Sekunden tut sich ein Gewirr an verschlungenen Wegen auf. "Nur in einem Drittel aller Fälle folgt die echte Verarbeitung der Daten dem geplanten Prozess", fasst der Jungunternehmer das Ergebnis seiner Untersuchungen zusammen.

Datenschutzanalysen seien bei Celonis gerade ein "absoluter Burner", sagt Nominacher. Insbesondere weil einige Großkonzerne aufgewacht sind. Die Allianz Börsen-Chart zeigen etwa hat sich drei Jahre Zeit genommen, um rechtzeitig konform mit den EU-Regeln zu sein. Seit 2016 arbeiten 70 unterschiedliche Projektgruppen bei dem Versicherer daran, die Kundendaten in jedem Land EU-adäquat zu schützen. Philipp Räther, Chief Privacy Officer der Münchener, sieht in dem Aufwand die "große Chance", das Vertrauen der Kunden in die Allianz zu stärken.

Hilfe hat er sich bei Thomas Kranig geholt. Der Chef des Bayerischen Landesamts für Datenschutzaufsicht bietet den Firmen in seinem Sprengel umfängliche Beratung an. Zu gern würde es der Wirtschaftsfreund vermeiden, ab kommendem Mai als Erfüllungsgehilfe von Brüssel Bußgelder bei seiner Klientel eintreiben zu müssen.

© manager magazin 11/2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung