Daten im Griff

Neue Datenkultur – gesucht wird: Ein ganzheitlicher Ansatz zur Bewältigung aller rechtlichen Governance-, Risiko- und Compliance-Herausforderungen

Heutzutage ist es nicht einfach, im Bereich Datenschutz, Recht oder Compliance tätig zu sein. Vorbei sind die Zeiten, in denen ihre Rolle klar definiert und von anderen Abteilungen abgegrenzt war. Um die wachsende Zahl von Aufgaben im Zusammenhang mit E-Discovery, internen Untersuchungen, Anträgen auf Zugang zu Daten, Benachrichtigungen über Vorfälle und Datenschutzverletzungen, vertretbarer Datenaufbewahrung und vielem mehr zu bewältigen, sind eine effiziente Zusammenarbeit und orchestrierte Workflows erforderlich. Das Zusammenschustern von Technologielösungen, die nur einen Teil dieses großen Ganzen abdecken, wird nicht die gewünschten Ergebnisse liefern.

Um in diesem neuen Umfeld erfolgreich zu sein, benötigen Unternehmen eine neue, innovative Art von Unternehmenssoftware, die die Aufgaben und Aktivitäten, die für die Implementierung von Prozessen zur Bewältigung dieser geschäftlichen Herausforderungen erforderlich sind, nahtlos koordiniert. Weltweit müssen sich Unternehmen fast täglich mit neuen Regularien und Compliance-Anforderungen auseinandersetzen. Kleine und mittlere Unternehmen sollten sich in diesem Kontext mit dem Thema Information Lifecycle Management (ILM) beschäftigen und Ausschau halten nach den passenden Plattformen und Lösungen, denn Daten sind der Treibstoff für maschinelles Lernen und für neue Geschäftsmodelle. Schließlich muss eine Künstliche Intelligenz ja mit den Informationen lernen und so trainiert werden, dass es dem Unternehmen nützt. Neben den faszinierenden technischen Möglichkeiten herrscht aber oft Unsicherheit, welche rechtlichen Aspekte beim Einsatz beachtet werden müssen. Fragen wie z. B.: Deckt die Datenschutz-Grundverordnung (DSGVO) auch die Nutzung einer künstlichen Intelligenz (KI) ab? – werden zurzeit oft gestellt.

Mit Daten sicher umgehen

Unternehmen müssen die Herausforderungen meistern, Daten zu sichern, die sich durch digitale Prozesse und Ökosysteme, die Speichersilos vor Ort und in der Cloud umfassen, ständig verändern. Ein Flickenteppich aus anwendungsspezifischen und silospezifischen Sicherheitskontrollen führt dazu, dass die Verantwortlichen für das Sicherheits- und Risikomanagement Mühe haben, die Möglichkeiten und Grenzen zu verstehen. Diese Komplexität veranlasst Anbieter dazu, unterschiedliche Datensicherheitsfunktionen in ihren Plattformen zusammenzufassen. Unternehmen, die diese neueren Plattformen einsetzen, sichern ihre Daten besser und einfacher. „Jedes Unternehmen, das mit Daten arbeitet, sollte wissen, welche Daten es besitzt, wo diese gespeichert sind und wer auf sie zugreift. All das wird bei einer Dateninventarisierung erfasst und hilft, die wichtigsten Archive mit elektronisch gespeicherten Informationen zu identifizieren, sich auf spezifische Risiken einzustellen, Berichtspflichten zu dokumentieren und belastbare Kontrollen nachzuweisen“, erklärt Istvan Puskas von Exterro im Gespräch mit der Redaktion. Laut Puskas kann ein Dateninventurprojekt innerhalb von nur 60 Tagen abgeschlossen werden, unabhängig von der Komplexität der IT-Infrastruktur oder der Unternehmensgröße.

Data Lifecycle Management (DLM): Die Stationen des Daten-Lebenszyklus von der Erstellung, Wartung, über die Nutzung und Archivierung bis zur Löschung.

Bildquelle: Dieses Werk ist lizenziert unter einer CC-BY-SA-NC Lizenz. © Dr. Andreas Grillenberger

Die digitale Transformation gelingt nur, wenn wir das Datenmanagement verstehen. Datengetriebene Unternehmen haben eine höhere Chance, neue Kunden zu gewinnen und ihren Geschäftserfolg zu maximieren. Unternehmen brauchen Daten, um das Kundenerlebnis zu verbessern und Unternehmen können mit Daten zur Motivation ihrer Mitarbeiter beitragen. Außerdem benötigen Firmen Daten zur Optimierung ihrer Geschäftsprozesse und um Innovationen voranzutreiben. Doch in vielen Unternehmen prallen Datenschutz und Datenanalyse als Gegensätze aufeinander. Laut Michael J. Deissner von der comforte AG aus Wiesbaden muss das aber nicht sein. „Wir verfolgen einen anderen Ansatz: Mit unserer Datensicherheitsplattform können Unternehmen agil und flexibel agieren und trotzdem dem Datenschutz Genüge tun. Sie werden in die Lage versetzt, Innovationsstrategien umzusetzen, ohne dabei von Complianceanforderungen ausgebremst zu werden.“ In diesem Kontext hat zunächst die Datenschutz-Grundverordnung (DSGVO) viel Unsicherheit erzeugt. Datenschutz und Datenanalyse sollten deshalb in eine gemeinsame Datenstrategie münden, gerade wenn es um die Anonymisierung von personenbezogenen Daten geht.

Aber auch die Datenverschlüsselung im Hinblick auf „persönliche Daten“ ist laut Michael J. Deissner grundlegend wichtig. „Sichere Verarbeitung und Speicherung von Daten lässt sich sehr leicht mit Schutzmethoden wie der Tokenisierung realisieren. Token sind einzigartige Einheiten, die ihrem Besitzer Zugang zu einer gemeinsamen, dezentralen Ressource gewähren. Sie sind jedoch nur innerhalb der Umgebung nützlich, in der sie erstellt wurden und können nicht außerhalb verwendet werden.“ Der Begriff ist auch aus der Diskussion um Kryptowährungen und Blockchain-Technologien bekannt. Wenn Daten also entwendet werden, entsteht auf diese Weise kein Schaden, da Angreifer nicht die echten Daten erlangen, sondern eben nur Tokens. „Der Clou ist allerdings, dass diese Tokens zur Verarbeitung in Anwendungen oder Analysen weiterhin genutzt werden können“, erklärt uns der Datenschutzspezialist.


Unsere Reportage-Teilnehmer

Die Zukunft mit Datenschutz gestaltenDatenschutz als KernelementOrchestrierung für personenbezogene DatenDigitaler Sommer
Michael J. Deissner, comforte AGThomas Herrguth, VMware DeutschlandIstvan Puskas, ExterrosTommy Ziegler, App-Dynamics

Vertrauen in Daten

Wie der Okta Digital Trust Index (2021) zeigt, stellen 45 Prozent der Verbraucher in Deutschland die Nutzung von Produkten eines Unternehmens nach einem Datenmissbrauch oder einer Datenschutzverletzung dauerhaft ein. So stehen Unternehmen vor der Herausforderung, Vertrauen in einer digitalen Welt aufzubauen. Vertrauen ist in der heutigen wettbewerbsintensiven „Digital first“-Landschaft von strategischer Bedeutung für Marken und Unternehmen. Nicht nur in Deutschland, sondern weltweit herrscht ein Misstrauen gegenüber dem Potenzial von Technologie. Dreh- und Angelpunkt moderner Technologien sind digitale Informationen, also Daten. Die Ausgangsfrage der Studie „Digital Frontiers 4.0“ von VMWare stellt sich dem Dilemma, ob menschliches Misstrauen gegenüber der Sammlung und Verwertung digitaler Daten den technologischen Fortschritt verhindert. „Die Ambivalenz: 53% der befragten Deutschen glauben zwar, dass Technologie zum digitalen Fortschritt Deutschlands beitragen kann und 63% wünschen sich Investitionen in technologische Inno­vationen, um unsere Welt nachhaltig zu beeinflussen. Doch zugleich empfindet ein Drittel neue Technologien als unangenehm oder sogar beängstigend“, berichtet Thomas Herrguth von VMWare Deutschland.


“Um mehr Ver­trauen zurück­zugewinnen, ist es unerlässlich, die großen Tech-Konzerne zu regulieren.­”


Was müssen Unternehmen und Regierungen also tun, um die Angst vor Innovationen in Vertrauen umzuwandeln? Thomas Herrguth betont dabei: „Wir als Unternehmen und die Regierungen müssen aktiv dazu beitragen, dass die Konsumenten bewusster mit Daten umgehen. Nur so können wir gemeinsam daran arbeiten, die digitale Wirtschaft anzukurbeln. Unser Ziel ist es, die Menschen zu inspirieren und aufzuklären, um eine technologiekompetente Gesellschaft zu fördern.“

Um mehr Vertrauen zurückzugewinnen, ist es unerlässlich, die großen Tech-Konzerne zu regulieren. Das Gesetz über digitale Märkte (Digital Markets Act, DMA, DSA) ergänzt das Wettbewerbsrecht und beschränkt die Macht marktbeherrschender Digitalkonzerne. Die EU-Kommission stellt darin einen Verhaltenskodex für große Digitalunternehmen auf. Für zentrale Online-Plattformen wie zum Beispiel Suchmaschinen, soziale Netzwerke oder Online-Vermittlungsdienste gelten künftig strengere Regeln. Das Vertrauen in die Digitalisierung wird zum Beispiel auch durch funktionierende Technologie und Standards gesteigert. Ein einziges Ladekabel für Handy, Kameras, Lautsprecher usw. wird in zwei Jahren Wirklichkeit in ganz Europa. Das EU-Parlament und die EU-Staaten haben sich auf USB-C als Standard-Ladebuchse geeinigt. Endlich wird das einstige Versprechen der EU in die Tat umgesetzt.


Unsere Reportage-Teilnehmer

Automatische Neutralisierung von CyberangriffenDrei Blickwinkel auf die Digitale Transformation
Éléna Poincet von TehtrisThomas Heinevetter, Klaus Mahle und Martin Tydecks, kobaltblau Management Consultants

Security first!

Laut Klaus Mahle von kobaltblau Management Consultants hat sich der Blick auf die IT im Unternehmen auch beim Thema Mergers and Acquisitions geändert. Klaus Mahle stellt fest, dass die Relevanz der IT bei M&A zugenommen hat und weiter zunimmt. Er betont dabei: „Die Einhaltung der Complianceanforderungen durch die IT direkt oder indirekt durch die Bereitstellung entsprechender Systeme ist existenziell und wird zunehmend im Rahmen der Due Diligence betrachtet.“ Aber Mahle schneidet im Gespräch auch das Thema Security Management an. „Die Bedrohungslage nimmt kontinuierlich zu und ein Ende ist nicht absehbar. So wurden laut Bitkom Research neun von zehn Unternehmen Opfer von Diebstahl, Spionage, Sabotage und aktuell sieht jedes zehnte Unternehmen (neun Prozent) seine geschäftliche Existenz durch Cyberattacken bedroht. Wir empfehlen unseren Kunden einen risikobasierten Ansatz und ein ganzheitliches Sicherheitsmanagement.“

„Die Digitale Transformation hat ohne Cybersicherheit und Vertrauen in unsere Lösungen keine Chance“, erklärt uns in diesem Zusammenhang Éléna Poincet, Gründerin von Tehtris. „Unsere digitale Autonomie wird unter der Bedingung erreicht, dass wir gut durchdachte europäische Cybersicherheitslösungen verwenden, die von vornherein sicher und ethisch einwandfrei sind. Europa ist mit amerikanischer und israelischer Software „abgefüllt“ worden. In diesem Zusammenhang ist es schwierig, Vertrauen in europäische Lösungen zu gewinnen, auch wenn sich in den letzten Monaten ein Wandel vollzogen hat. Auch wenn es heute unmöglich ist, eine totale technologische Kontrolle zu haben, ist es auf europäischer Ebene möglich, 100 % europäische Cybersicherheitslösungen zu verwenden. Es ist von entscheidender Bedeutung, den Schutz unserer Daten und unseres Vermögens zu kontrollieren. Aus diesem Grund kämpfen wir gegen Cyberspionage und Cybersabotage und positionieren uns als europäische Vertrauenspartei“, betont Éléna Poincet im Gespräch mit unserer Redaktion.

So scheint auch die aktuelle Cyber-Security-Strategie der EU in Form des NIS-2 Gesetzespakets ein Echo auf die wegweisenden Maßnahmen zu sein, die in Frankreich bereits seit zehn Jahren bestehen und sich dort bewährt haben. NIS-2 ist die europäische Variante des deutschen IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) und die Weiterentwicklung von NIS-1. Die Richtlinie zur Erhöhung der Cybersicherheit von kritischen Infrastrukturen rückt in greifbare Nähe: Am 13. Mai 2022 einigten sich der Europäische Rat und das Europäische Parlament auf gemeinsame Maßnahmen, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle zu verbessern.


Am Rande notiert:

NIS-2 Richtlinie

Worauf müssen sich Unternehmen jetzt einstellen und welche Schritte zur Umsetzung werden erforderlich? Der Anwendungsbereich der Richtlinie wird ausgeweitet auf Unternehmen, die über 50 Beschäftigte  und einen Jahresumsatz von über 10 Mio. EUR haben und zu einem kritischen Sektor gehören.
KRITIS-Sektoren werden großzügig erweitert
Der Bereich Gesundheit umfasst dann auch Labore, Unternehmen aus der Medizinforschung und Pharmazeutik sowie Medizingerätehersteller. Cloud-Provider, Rechenzentren und Content-Delivery-Netzwerke aus dem Sektor „Digitale Infrastruktur“ werden dazugezählt. Auch der gesamte industrielle Sektor sowie die Branchen Maschinenbau und Mobility fallen künftig darunter.
Pflichten nehmen zu
Dazu gehören:
Implementierung von Risikoanalyse- und Sicherheitskonzepten, Incident Response, Offenlegung von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette. Meldung eines Vorfalls innerhalb von 24 Stunden sowie drohende Geldbußen bis zu 10 Millionen Euro.
Trotz Kritik und fehlender Verbindlichkeit ist mit einer Verschärfung der Richtlinien zu rechnen. Unternehmen sollten also frühzeitig prüfen, welche neuen Pflichten es zu beachten gilt.


trendreport.de/nis-2

Unternehmen und die Betreiber kritischer Infrastrukturen sollten auch mehr in die App-Sicherheit investieren. Eine Studie von NTT belegt, dass inzwischen mehr als die Hälfte aller Cyberangriffe auf Anwendungen abzielen. Dennoch investieren Unternehmen nur knapp sechs Prozent ihres Sicherheitsbudgets in den Schutz der eigenen Apps. Außerdem kommt es zu erheblichen finanziellen Schäden, wenn Applikationen für Kunden nicht funktionieren. Deshalb sollten auch wichtige Anwendungen während ihrer Arbeit beobachtet werden. Zum Beispiel können mit APM Tools (Application Performance Management) von AppDynamics Unternehmen und ihre Nutzer vor Angriffen und Risiken auf der Grundlage einer ganzheitlichen, geschäftsorientierten Observability-Plattform geschützt werden. Einblick in das Thema erhalten Sie in dieser Ausgabe ab Seite 14.


Unsere Reportage-Teilnehmer

Es wird Zeit, Ihr Unternehmen auf den Kopf zu stellen!Sorgfaltspflicht: Ein Thema für die Chefetage
Uwe Bergmann, Cosmo ConsultMagnus Piotrowski, Assent Inc

Die Finanzabteilung und das ESG-Reporting

Der Beginn von ESG (Environment, Social, Governance) war bislang durch Gesetzgebung und Regulierung getrieben. Inzwischen setzen sich viele Unternehmen freiwillig damit auseinander. Unternehmen, die die Einhaltung von ESG-Richtlinien nachweisen können, tun sich leichter, Investoren und Finanzquellen zu erschließen. Und aus dem ESG-Reporting lassen sich Unternehmensrisiken ableiten. „Diese muss der CFO erkennen und die entsprechenden Maßnahmen anstoßen. Ich gehe davon aus, dass immer mehr Unternehmen ESG als Instrument für sich nutzen“, verdeutlicht uns Ansgar Eickeler von Board Deutschland. Er bietet mit Board eine All-in-One-Plattform für die Entscheidungsfindung, die Business Intelligence Tools mit Funktionen für Planung, Simulation und Predictive Analytics kombiniert.

Laut Ansgar Eickeler wird der CFO eine entscheidende Rolle im gesamten Themenfeld ESG spielen. „Er ist im Unternehmen der Herr über die Zahlen und bringt viele Kompetenzen und Erfahrungen mit, um ESG im Unternehmen richtig aufzusetzen und auch für die Unternehmenssteuerung heranzuziehen. Er wird eng mit einem Chief Sustainability Officer (CSO) oder Chief Social Responsability Officer (CSRO) zusammenarbeiten, um relevante Ziele und entsprechende KPIs festzulegen, zu beplanen und die Einhaltung der Ziele nachzuhalten“, betont Ansgar Eickeler im persönlichen Gespräch mit unserer Redaktion.
Umfassende Transparenz bei Liefer- und Wertschöpfungsketten ist eine wichtige Voraussetzung, um die ESG-Kriterien erfüllen zu können. In diesem Zusammenhang ist es für große Unternehmen von enormer Bedeutung, das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) ab 2023 zu berücksichtigen. Zusätzlich geht das neue EU-Lieferkettengesetz deutlich über das ab Januar 2023 geltende deutsche LkSG hinaus, weswegen sich Unternehmen bei der Umsetzung der Maßnahmen an den EU-Regelungen orientieren sollten, um spätere Nachbesserungen zu vermeiden.

Doch viele Beziehungen zwischen Käufern und ihren Lieferanten basieren nach wie vor überwiegend auf Papierdokumenten. Das macht es praktisch unmöglich, Waren und Materialien durch die vielen Schichten der Lieferantenbeziehungen bis zu ihrer Quelle zurückzuverfolgen. Magnus Piotrowski von Assent verdeutlichte uns dabei: „Wer erst jetzt reagiert, ist oft schon unter Zeitdruck, schließlich muss die Umsetzung in die Praxis bei den ersten Unternehmen schon ab 2023 erfolgen. Um das zu schaffen, braucht es eine gute Datenbasis und außerdem Zugang zu Expertise. Intern dürften viele Unternehmen nicht die Kapazität haben, um diese Aufgabe zu stemmen. Eine zuverlässige und relativ schnelle Option ist der Rückgriff auf Drittanbieter wie Assent, die sich auf das Nachhaltigkeitsmanagement in Lieferketten spezialisiert haben.“

Unternehmen sollten sich von den vielen Disziplinen der Digitalisierung nicht entmutigen lassen und mit freiem Kopf und Motivation an die Arbeit gehen. Stück für Stück kann so der digitale Reifegrad auch im Sinne der Unternehmenskultur erhöht werden. Leider macht der Fachkräftemangel vielen Unternehmen zu schaffen und nicht jedes Unternehmen kann sich die hohen Löhne für Entwickler und IT-Spezialisten leisten. Die eigenen Mitarbeiter gilt es nun aufzubauen und mit mehr Know-how auszurüsten, um noch Chancen zu haben, neue Geschäftsmodelle zu etablieren.


Am Rande notiert:

Digital Market Act & DSA


Mit dem Paket „Digitale Dienste“ trägt die EU der Tatsache Rechnung, dass der digitale Raum stärker reguliert werden muss. Ziel der beiden darin enthaltenen Gesetze „Digital Market Act“ und „Digital Services“ ist es, Maßnahmen zum Schutz der Internetnutzenden festzulegen und zugleich Innovationen in der digitalen Wirtschaft zu fördern.
Mit dem Gesetz über digitale Dienste sollen die Grundrechte der EU-Bürgerinnen und ‑Bürger im Internet geschützt werden. Das Gesetz über digitale Märkte soll durch die Regulierung der Big-Tech-Unternehmen gleiche Wettbewerbsbedingungen für Unternehmen in der EU ermöglichen.


trendreport.de/digitale-dienste

„Es wird Zeit, Ihr Unternehmen auf den Kopf zu stellen“, fordert Uwe Bergmann. „Wenn ein weltweiter Tech­nologieanbieter wie die Cosmo Consult Group behauptet, dass Technologie beim digitalen Wandel nicht der entscheidende Punkt ist, dann scheint irgendetwas nicht zu stimmen – oder?“ Die digitale Herausforderung besteht laut Bergmann darin, die beteiligten Menschen in den Mittelpunkt zu stellen. Mehr noch: Man muss die Menschen inspirieren. Für den Digitalisierungspionier ist die Transformation vor allem eine Kopfsache, eine Frage der Einstellung – „und das betrifft die gesamte Unternehmenskultur“.

von Bernhard Haselbauer
b.haselbauer@trendreport.de