Sie sind hier: Startseite » SaaS » Sonstige Lösungen

Externe Datenschützer als Security-Berater


Mit einer SaaS-Reporting-Lösung das geistige Eigentum der Mandanten schützen
Externe Datenschutzbeauftragte überprüfen die Compliance


In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten. Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen – mit allen damit verbundenen Vorteilen.

Daten sind das neue Öl. Sie sind kostbar und die Basis für wirtschaftlichen Erfolg, wenn sie in strukturierter und damit verwertbarer Form vorliegen. Das Problem: Unstrukturierte Daten wachsen überall im Unternehmen – in Dateisystemen, in E-Mailprogrammen oder dem SharePoint. Mit diesen unverwalteten Datenbergen wird das Rechtemanagement zu einer echten Herausforderung.

Das Kollaborations-Tool SharePoint zum Beispiel wird gern für Projektdaten und als Ablage benutzt. Es macht die Zusammenarbeit von mehreren Standorten oder externen Dienstleistern möglich. Doch die einmal erteilten Berechtigungen werden in der Regel nicht widerrufen. Dann haben interne Mitarbeiter, die nicht mehr zuständig sind, oder Externe, die überhaupt nicht mehr mit der Firma zusammenarbeiten, Zugriff auf Inhalte. Zudem bietet SharePoint viele Berechtigungsmöglichkeiten, was schnell ins Chaos führt: Es ist nicht mehr nachvollziehbar, wer welche Rechte für welche Zeit hat und woher sie kommen.

Auch Cloud-basierte Speicher wie OneDrive, das automatisch mit Office 365 zur Verfügung steht, laden dazu ein, Daten einfach schnell abzulegen. Eine weitere Herausforderung stellen Transfer-Laufwerke dar, die aus Wartungs- oder Umzugsgründen eingerichtet werden. Daten werden dort beliebig ohne Zugriffskontrolle abgelegt. Auch nach dem Transfer bleiben sie uneingeschränkt zugängig, was einem Missbrauch Tür und Tor öffnet.

Auch Berechtigungsmängel in den Organisationsstrukturen von Unternehmen können das Rechtemanagement torpedieren. Auszubildende zum Beispiel aggregieren Zugriffsberechtigungen im Rahmen ihrer Einblicke in verschiedene Abteilungen, geben sie aber nicht mehr ab. Auch Firmenübernahmen und Fusionen schütteln die Systemberechtigungen durch. Unternehmen wissen oft nicht, welche Rechte überhaupt übernommen werden. Zwar gibt es meist eine Firmenpolicy, die festlegt, was wo wie gespeichert und verschlüsselt wird, aber oft fehlt beispielsweise eine Data Access Governance, Berechtigungen werden manuell vergeben oder es erfolgt zu wenig Kontrolle.

Deswegen bleiben folgende zentrale, weil sicherheitsrelevante Fragen oft unbeantwortet: Welcher User hat worauf Zugriff? Welcher Ordner darf von wem eingesehen werden? Aus welchen Gruppen stammen die Rechte und existieren direkt gesetzte Rechte? Wo ändern sich Rechte? Wer sind die Owner der Daten?

Intellectual Property steht auf dem Spiel
Wenn alle Mitarbeiter Zugriff auf einen abgelegten Kantinenspeiseplan haben, ist das nicht weiter dramatisch. Doch bei sensiblen Informationen wie geistigem Eigentum verschärft sich die Lage. Gerade für den Schutz dieser unternehmenskritischen Daten fehlt in vielen Datei- und Berechtigungsstrukturen der Überblick.

Für den Mittelstand, die Hidden Champions, ist es erfolgskritisch und wettbewerbsrelevant, ihr geistiges Eigentum und die eigene Forschung zu schützen. Zahlreiche Fälle beweisen, was passiert, wenn das nicht der Fall ist: Forschungsdaten, unveröffentlichte Patente landen beim Mitbewerber.

Eine Berechtigungsmatrix in einem Unternehmen von mittlerer Größe kann schnell mehrere Millionen Einträge umfassen. Um sich einen Überblick zu verschaffen gilt es, die Berechtigungsebenen aus jeder Sicht (Gruppe und User) darzustellen – eine Aufgabe, die nicht von Hand zu leisten ist. Auch die Analyse selbst stellt hohe Anforderungen.

Datenschützer sind darauf spezialisiert – und Unternehmen verpflichtet –, den Datenschutz im Haus regelmäßig überprüfen zu lassen, um zu wissen, ob Compliance-Auflagen und gesetzliche Regularien eingehalten werden. Dazu gehören in erster Linie die europäische Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), aber auch branchenabhängige Regularien wie MaRisk oder SOX. Gerade die DSGVO bringt als Compliance-Treiber Unternehmen in Zugzwang. Sie fordert neben der Rechenschaftspflicht, die Sicherheit personenbezogener Daten sowie die Sicherheit der Verarbeitung.

Datenschutzbeauftragte können im Rahmen ihres Mandats nicht mehr tun, als auf Probleme bei der Einhaltung der Compliance hinzuweisen. Die Zahl der Audits beschränkt sich in der Regel auf ein bis zwei pro Jahr, bezahlt wird nach einer Pauschale. Entsprechend austauschbar sind die Datenschützer, die im Ergebnis um ihr Mandat fürchten.

Im Vergleich zu externen sind die Rechte von internen Datenschutzbeauftragten limitiert: Interne Datenschützer, Administratoren oder die IT dürfen nicht ohne weiteres auf personenbezogene Daten zugreifen. Ihnen ist es also nur möglich zu analysieren, wer auf welche AD-Gruppe, welchen Share oder Ordner berechtigt ist. Die eigentlichen Inhalte, welche Dateitypen im Ordner liegen und wann sie zuletzt verändert wurden, dürfen sie nicht einsehen. Externe Datenschützer erhalten dieses Recht durch ihr Mandat.

Neue Rolle für Datenschützer: IT-Security-Berater
Externe Datenschützer könnten für ihre Mandanten noch wertvollere Unterstützung leisten, wenn sie nicht nur ihrer originären Aufgabe nachkämen: der Prüfung, ob Finanzdaten und personenbezogene Daten mit den entsprechenden Zugriffsrechten geschützt sind.

Echter Mehrwert entsteht für Unternehmen durch den Schutz ihres Intellectual Property. Mithilfe eines neuen Reporting-Tools kann der Datenschützer in diese neue Rolle des IT-Security-Beraters schlüpfen und sein Mandat ausweiten. So überprüft er nicht nur die Compliance und verhindert Strafzahlungen – erste Urteile nach der DSGVO sind gefallen und die Strafen fallen empfindlich aus. Bis zu vier Prozent des Umsatzes kann ein Unternehmen der laxe Umgang mit dem Datenschutz kosten. Er sichert darüber hinaus das geistige Eigentum des Unternehmens. Datenschützer und Chefetage vereinen nun die gleichen Interessen – der Schutz des Unternehmens und der Erhalt seiner Wettbewerbsfähigkeit statt nur die Abarbeitung einer lästigen Pflichtaufgabe.

Der Datenschützer kann diesen Prozess mitbegleiten und seine Services dauerhaft anbieten. Er kann beraten, Reports erstellen und notwendige Revalidierungen und Rezertifizierung durch Fachbereiche oder die IT veranlassen. Und im Anschluss überprüfen, ob diese Änderungen vorgenommen wurden.

Ohne ein Tool hat er weder Zugriff auf die relevanten Daten, noch kann er nachvollziehen, ob die zur Überprüfung von der IT angeforderten Berechtigungsdaten vollständig sind. Mit einer Reporting-Lösung dagegen gelingt es, Intellectual Property wie nicht veröffentlichte Patente oder Forschungsdaten zu schützen, da das Rechtemanagement transparent wird. Berechtigungen können nachvollzogen werden und Defizite werden deutlich. So werden der gewachsene Zustand der Systemablage in einen geordneten Zustand überführt und Schritt für Schritt standardisierte Strukturen eingeführt, die einen Überblick und damit Access Control ermöglichen.

eingetragen: 03.10.19
Newsletterlauf: 06.11.19

Sie wollen mehr erfahren?
Die Lösung: Reporting-as-a-Service
Die Zielsysteme des Cloud-basierten Reporting-as-a-Service-Tools der econet GmbH aus München sind das klassische Windows-Dateisystem (inklusive Microsoft Active Directory) auf Windowsservern und NAS-Systemen. Künftig werden SQL-Datenbanken und SharePoint hinzukommen.

econet: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Sonstige Lösungen

  • Schulungs-, Test- & Demonstrationsumgebung

    Rackspace Technology hat die Einführung von "Rackspace Lab Services "(RLS) bekanntgegeben, einer Software-as-a-Service-Lösung (SaaS) in der Cloud, die Schulungs-, Test- und Demonstrationsumgebungen für Unternehmen weltweit transformiert.

  • Reduzierung des CO2-Fußabdrucks

    Qvest, Anbietern medienfokussierter Consulting- und Technologie-Services, veröffentlicht mit "Qspaces" ein maßgeschneidertes Solution-as-a-Service (SolaaS)-Angebot. Mit Qspaces können Medienunternehmen die technologische Transformation vorantreiben, Kosten kontrollieren und ihre Ziele zur Reduzierung der CO2-Bilanz verbessern.

  • Verwaltung unstrukturierter Daten

    Aparavi stellt das Bereitstellungsmodell für ihre Tools und Lösungen um: Ab sofort stehen sie auf einer modularen Plattform "as-a-Service" bereit und können per Subskription genutzt werden. Die Basisfunktionen sind kostenlos verfügbar.

  • Mietmodell als Problemlöser

    Die Sicherheit am digitalen Arbeitsplatz steht weiter im Fokus von IT-Entscheidern. Als IT-Dienstleister plant, entwirft und betreibt Adlon Intelligent Solutions den digitalen Arbeitsplatz ihrer Kunden von der Modernisierung der Infrastruktur über die Digitalisierung der Prozesse und Tätigkeiten bis hin zur Informationssicherheit.

  • Cloudbrink stellt "persönliches SASE" vor

    Cloudbrink, Anbieterin von Hybrid Access as a Service, hat eine "persönliche SASE-Lösung" für hybride Arbeitskräfte vorgestellt und erweitert ihre "ZTNA"-Plattform um Internet-Sicherheitsfunktionen. Die neue Internet-Sicherheitsfunktionalität ergänzt die im Dezember eingeführte Firewall-as-a-Service-Lösung.

  • Auswirkungen einer Netzverschlechterung

    Cloudbrink, Anbieterin von hybriden Netzzugängen als Service (HAaaS), stellt ein kostenloses Tool bereit, mit dem Unternehmen die Auswirkungen von Paketverlusten messen können. Das Werkzeug ermöglicht es, eine der Hauptursachen für eine Verschlechterung der Netzwerk- und Anwendungsleistung für hybrid arbeitende Mitarbeiter aufzudecken.

  • Einführung von "CarbonChain Comply"

    CarbonChain, eine KI-gestützte Kohlenstoffbuchhaltungsplattform, die Unternehmen einen durchgängigen Einblick in die Emissionen der Lieferkette bietet, kündigt die Einführung von "CarbonChain Comply" an, einem wichtigen Plattform-Update für die die Kohlenstoffberichterstattung. CarbonChain

  • Sofort als Software-as-a-Service verfügbar

    Die Verwaltung im Feuerwehrdienst ist zeitaufwändig und anspruchsvoll. Um genau hier zu entlasten, hat Vomatec die Cloud-basierte Verwaltungslösung Arigon Next flow entwickelt. Sie hilft Feuerwehren, schwergewichtige Verwaltungsprozesse abzubauen und so Zeit für das Wesentliche zu schaffen.

  • Einführung von "CarbonChain Comply"

    CarbonChain - eine KI-gestützte Kohlenstoffbuchhaltungsplattform, die Unternehmen einen durchgängigen Einblick in die Emissionen der Lieferkette bietet - kündigt die Einführung von CarbonChain Comply an, einem wichtigen Plattform-Update für die Kohlenstoffberichterstattung.

  • Datenquellen in Echtzeit streamen

    Couchbase, Anbieterin einer Cloud-Datenbank-Plattform, hat neue "Capella Columnar Services" auf Amazon Web Services (AWS) angekündigt, die Latenzen zwischen analytischen und operativen Anwendungen eliminieren. Capella Columnar ist ein neuer Service innerhalb von Capella Database-as-a-Service (DBaaS).

"Neo4j Aura" bringt Graphdatenbank in die Cloud Regulatorische Risiken können gesenkt werden

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen