E-Book, Deutsch, 256 Seiten
Grigat / Jurecz / Kirschner Kosten der IT-Sicherheit
1. Auflage 2020
ISBN: 978-3-7526-1628-6
Verlag: BoD - Books on Demand
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Ein Ausgangspunkt für weitergehende Untersuchungen
E-Book, Deutsch, 256 Seiten
ISBN: 978-3-7526-1628-6
Verlag: BoD - Books on Demand
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Laut einer Umfrage des Digitalverbands Bitkom e.V., deren Ergebnisse im November 2019 veröffentlicht wurden, verursachen Angriffe auf deutsche Unternehmen jährlich einen Gesamtschaden von knapp 103 Milliarden Euro. Im Gegenzug haben deutsche Unternehmen in 2019 allerdings nur ca. 4,6 Milliarden Euro für Hardware, Software und Services im Bereich IT-Sicherheit ausgegeben. Aber was kostet es denn nun genau, ein Unternehmen sicher zu machen? Aufgrund der Komplexität der Informations- und IT-Sicherheit sind bei der Kosten- und Nutzenbetrachtung eine Vielzahl von Aspekten zu beleuchten. Die Beiträge dieses Buches haben nicht das Ziel, einen vollständigen Überblick zu geben. Vielmehr verdeutlichen sie die Situation in einigen relevanten Teilbereichen und sollen damit einen fundierten Ausgangspunkt für weitergehende Betrachtungen bieten. Die Spannbreite der behandelten Themen reicht von einer systematischen und integrierten Methode zur Ermittlung der Kosten der IT-Sicherheit über den Datenschutz als Kostenfaktor, eine Analyse und Bewertung des Verfahrens "Return on Security Investment (RoSI)", die Kosten der Sicherheit von ERP-Systemen, die Kosten der IT-Sicherheit im Smart Home bis zu einem Ansatz zur Kostenkalkulation für die Informationssicherheit von IoT-Geräten.
Maximilian Grigat ist seit Oktober 2018 Masterstudent im Studiengang Wirtschaftsinformatik an der FH Bielefeld. Seinen Bachelor of Science in Wirtschaftsinformatik schloss er ebenfalls an der FH Bielefeld ab. Gebürtig stammt Maximilian Grigat aus Detmold, wo er 2014 am Stadtgymnasium sein Abitur machte. Im Rahmen seiner Masterarbeit befasst sich Maximilian Grigat mit Künstlicher Intelligenz in der Personalplanung.
Autoren/Hrsg.
Weitere Infos & Material
Datenschutz als Kostenfaktor?
Kosten eines DSGVO-konformen Systems Autor: Maximilian Grigat Einleitung
Datenschutz ist ein Thema, welches stets polarisiert. Auf der einen Seite stehen die Datenschützer, die versuchen so wenige Daten wie möglich Preis zu geben und jede Art der Datenverarbeitung und Datenerfassung verurteilen. Auf der anderen Seite stehen jene, die sich durch die Veröffentlichung oder Verarbeitung von Daten Vorteile erhoffen. Diese Vorteile können wirtschaftlicher Natur sein, häufig im Falle von Unternehmen, oder einfache Bequemlichkeitsvorteile, eher bei normalen Nutzern. Beide Seiten dieses Interessenkonfliktes sind häufig sehr schlecht auf Vertreter des anderen Standpunktes zu sprechen, da beide ihre Handlungsfähigkeit oder Freiheit durch den anderen eingeschränkt sehen.44 Und trotz dieses ewigen Ringens zwischen Datenschützern und Datenverarbeitern ist das Thema Datenschutz zumindest in der öffentlichen Wahrnehmung nie ein großes Thema gewesen. Das änderte sich schlagartig im Mai 2018 mit der Einführung der europäischen Datenschutz-Grundverordnung. Plötzlich redete jeder über Datenschutz. Das Interesse an dem Thema hatte sich mehr als verzehnfacht.45 Wie bei vielen vom Internet aufgebauschten Hypes oder Shitstorms, je nachdem auf welcher Seite des Datenschutzkonfliktes man steht46, ließ das Interesse an dem Thema genauso schnell wieder nach, wie es aufgekommen war. Dennoch lässt sich beobachten, dass dieser kurze extreme Fokus auf Datenschutz und den damit einhergehenden Regulierungen - manche würden mit Sicherheit sagen Überregulierungen - in vielen Menschen ein gewisses Bewusstsein für Datenschutz wachgerüttelt hat. Das Interesse ging zwar schnell wieder zurück, aber hat sich nun dennoch auf einem höheren Niveau eingependelt als vor Mai 2018. Egal auf welcher Seite man steht, eines ist nun für alle gleich: Die Datenschutz-Grundverordnung gilt. Daher stellt sich für Personen und Unternehmen mit wirtschaftlichem Interesse nun vor allem eine Frage: Wie viel kostet denn nun eine rechtssichere Umsetzung aller Vorgaben und Regelungen der Datenschutz-Grundverordnung? Wenn man versucht diese Frage zu beantworten muss man sich zunächst mit dem Thema Datenschutz grundsätzlich und der Gesetzgebung im Bereich Datenschutz auseinandersetzen. Anschließend muss man sich anschauen, was genau in der Gesetzgebung von Datenverarbeitern gefordert wird und danach kann man versuchen diese Anforderungen mit konkreten Kosten zu beziffern. Warum ist Datenschutz überhaupt wichtig?
Zunächst muss man die beiden Begriffe Datenschutz und Datensicherheit unterscheiden. Beide sind sehr eng miteinander verknüpft und werden daher häufig gleichbedeutend verwendet, haben aber unterschiedliche Bedeutungen. Unter Datenschutz versteht man den Schutz personenbezogener Daten, wobei es nicht nur um den Inhalt der Daten geht, sondern auch um die informationelle Selbstbestimmung der Person.47 Die informationelle Selbstbestimmung ist ein in Deutschland geltendes Recht. Dieses ist zwar nicht im Grundgesetz verankert, allerdings hat das Bundesverfassungsgericht es in seinem Volkszählungsurteil 1 aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) entwickelt und versteht es als eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Demzufolge hat jede natürliche Person grundsätzlich das Recht selbst zu entscheiden was mit den eigenen Daten geschieht und unter welchen Umständen diese preisgegeben werden dürfen.48 Im Unterschied dazu ist Datensicherheit das Umsetzen von Maßnahmen zum Schutz von Daten, egal ob diese personenbezogen sind oder nicht. So müssen die Maßnahmen der Datensicherheit gewährleisten, dass alle Daten vor Manipulation, Verlust, unberechtigter Kenntnisnahme durch Dritte oder anderen Bedrohungen gesichert sind.49 Sowohl Privatpersonen als auch Unternehmen haben ein Interesse an gutem Datenschutz. Für Einzelpersonen kann es dafür verschiedene Gründe geben. Hauptsächlich handelt es sich aber wohl um den Wunsch nach Privatsphäre, auch im Internet. Für Unternehmen hat das Thema Datenschutz sowohl Wirkung und Wichtigkeit im Inneren als auch nach außen. Im Inneren tragen Datenschutz und Datensicherheit maßgeblich zur Abwehr von Gefahren wie Datenverlust, Spionage, Schadensersatzansprüchen, Wettbewerbsansprüchen, Missbrauch durch Einzelne usw. bei. Im Jahr 2017 waren 46 % aller Unternehmen von Cyberkriminalität betroffen.50 Wichtige Zertifizierungen, wie z.B. DIN ISO 9001 werden nicht vergeben, wenn im Unternehmen kein ausreichender Datenschutz vorhanden ist. Das Fehlen von Datenschutzmaßnahmen führt zum Verlust dieser Zertifikate. Mindestens genauso wichtig für ein Unternehmen ist die Außenwirkung. Denn mit einer katastrophalen Außenwirkung ist es auch egal wie gut ein Unternehmen im Inneren aufgestellt ist. Und für diese Außenwirkung ist heutzutage auch der Datenschutz ein entscheidender Faktor. Denn Kunden und Partner schätzen guten Datenschutz und schenken Unternehmen mit guten Datenschutzzertifizierungen eher ihr Vertrauen. Nicht selten verlangen Geschäftsbeziehungen heute den Nachweis eines gesetzeskonformen Datenschutzes für eine Zusammenarbeit. Bei öffentlichen Ausschreibungen wird der Datenschutz mittlerweile mit 30% Gewicht bewertet. Sollten Daten für andere Unternehmen verarbeitet werden, ist der Datenschutz natürlich besonders wichtig, da bei einem Datenschutzproblem auch Schaden an anderen Unternehmen verursacht wird. Datenschutz wird in der digitalisierten Geschäftswelt immer wichtiger und ist heute ein wichtiger Schutzfaktor sowie ein bedeutendes Qualitätsmerkmal. Durch überaus guten Datenschutz kann somit der Unternehmenswert gesteigert werden.51 Gesetzgebung im Bereich Datenschutz
Um guten Datenschutz auch für Verbraucher einfacher zu ermöglichen, wurde die Datenschutzgrundverordnung, kurz DSGVO, eingeführt. Die DSGVO ist eine Verordnung der Europäischen Union, durch die Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen in der EU vereinheitlicht werden sollen. Eine Verordnung der Europäischen Union ist ein Rechtsakt mit allgemeiner Gültigkeit und unmittelbarer Geltung in den Mitgliedstaaten. Sie unterscheidet sich von Richtlinien hauptsächlich dadurch, dass Letztere erst von den Mitgliedstaaten in nationales Recht umgewandelt werden müssen.52 Diese Verordnung ist am 25. Mai 2018 in Kraft getreten und betrifft alle Firmen, die Daten von Bürgern innerhalb der Europäischen Union erfassen. Damit ist die DSGVO natürlich auch in Deutschland wirksam. (DSGVO Art. 1-3) Vor der DSGVO galt in Deutschland das Bundesdatenschutzgesetz, kurz BDSG. Zusätzlich haben auch alle Bundesländer noch eigene Landesdatenschutzgesetze erlassen.53 Das BDSG hat auch mit der DSGVO weiterhin noch Bestand, wurde allerdings grundlegend überarbeitet. Daher unterscheidet man zwischen dem Bundesdatenschutzgesetz alte Fassung, kurz BDSG a. F., und der neuen Fassung des Bundesdatenschutzgesetzes, kurz BDSG n. F. Auch die Landesdatenschutzgesetze sind weiterhin wirksam. Dadurch, dass Deutschland bereits ein sehr umfangreiches Datenschutzgesetz hatte, werden viele Anforderungen der DSGVO deutschen Unternehmen, im Gegensatz zu vielen europäischen Mitbewerbern, bereits bekannt vorkommen. Doch auch für deutsche Unternehmen ändern sich einige Richtlinien und entwickeln sich mehr in Richtung Verbraucherschutz. Alte und neue gesetzliche Vorgaben
Gesetzliche Vorgaben des BDSG
Zu den bereits aus dem BDSG bekannten Vorschriften gehört das Einrichten einer Zugriffskontrolle, die Vergabe von verschiedenen Berechtigungen, die Protokollierung von Zugriffen auf personenbezogene Daten, das Verschlüsseln der Daten (DSGVO Art. 32 (1) a)), Datensicherungen, Pseudonymisierungsfunktionen (DSGVO Art. 32 (1) a)), Anonymisierungsfunktionen sowie Archievierungs- und Löschfunktionen (BDSG a. F. §20, DSGVO Art. 17) und Datenminimierung (BDSG a. F. §3a, DSGVO Art. 5 (1) c)). Zugriffskontrolle: Unter einer Zugriffskontrolle versteht man das Einschränken der Zugänglichkeit von Daten. Diese Kontrolle kann je nach Sensibilität der Daten auf unterschiedlichen Wegen hergestellt werden. Eine Passwortsicherung ist wohl die minimal mögliche Sicherung, die zumindest einen Grundschutz der Daten ermöglichen kann. Darüber hinaus ist eine stärkere Zugriffskontrolle durchaus möglich, sei es durch Sicherheitspersonal am Eingang oder biometrische Zugangsdaten. Auch ein Zugriff nur unter mindestens vier Augen ist denkbar. Vergabe von verschiedenen Berechtigungen: Nicht jeder Mitarbeiter sollte auf alle Daten zugreifen können. Daher ist es in jedem Fall nötig, verschiedene Berechtigungen für verschiedene Mitarbeiter mit verschiedenen Aufgaben zu verteilen. Wenn ein Mitarbeiter nur mit einem kleinen Teil der personenbezogenen Daten arbeiten muss, sollten seine Berechtigungen ihm auch nur Zugriff auf diese...
