Datenschutz-Grundverordnung und IT-Notfallplanung – heiße Luft oder zentrale Stütze der Informationssicherheit?

Ein Interview mit Frank Wassong, Geschäftsführer bei CertMobile

CertMobile steht seinen Kunden als Berater und Integrationspartner für die softwaregestützte Einführung von IT-Notfallplanung, Informationssicherheit und Datenschutz zur Seite. Der Geschäftsführer und Gründer des Unternehmens, Frank Wassong, ist Informationssicherheitsauditor und Datenschutzbeauftragter mit langjähriger Erfahrung aus Projekten zu IT-Notfallplanung, Risikomanagement und Informationssicherheit. Das Unternehmen begleitet Kunden bei der Planung, Koordination und Steuerung aller damit verbundenen Maßnahmen. Im Interview mit Frank Wassong sprechen wir heute über IT-Notfallplanung, Informationssicherheit sowie den aktuellen Stand zum Thema Datenschutz im deutschen Mittelstand.

Entscheider kompakt: Im gesamten Themenbereich Informationssicherheit spielt das Thema IT-Notfallplanung eine große Rolle. Dennoch vernachlässigen gerade viele mittelständische Unternehmen dieses wichtige Element für den Schutz des Unternehmens. Nennen Sie uns die drei wichtigsten Gründe, warum jeder Geschäftsführer eine professionelle IT-Notfallplanung in Angriff nehmen sollte?

Frank Wassong: Der Hauptgrund, aus dem sich automatisch alle anderen Gründe ergeben, ist meiner Meinung nach der Schutz des Unternehmens. Zu ebendieser Sicherung gehören die Mitarbeiter und Arbeitsplätze, die Verpflichtungen gegenüber den Kunden, die Einhaltung von Gesetzen und nicht zuletzt die Kapitalabsicherung. IT-Notfallplanung hat die Aufgabe, ein Unternehmen auf vorhersehbare und unvorhersehbare Ereignisse ausreichend vorzubereiten, damit sich Schäden in Grenzen halten und den Betrieb nicht gefährden. Aber nicht nur das: Eine IT-Notfallplanung versetzt ein Unternehmen in die Lage, Schwachstellen beim Personal aufzudecken, Auswirkungen von geplanten Veränderungen zu simulieren oder auf Missstände zu reagieren, bevor ein Schaden überhaupt erst entsteht.

Entscheider kompakt: Können Sie uns vielleicht ein aktuelles Beispiel aus der jüngsten Vergangenheit nennen und über die Folgen kurz berichten?

Frank Wassong: Einer unserer Kunden hat seit geraumer Zeit eine gut gepflegte und aktuelle IT-Notfallplanung. Vor ungefähr sechs Monaten trat dann – ähnlich wie in anderen IT-Abteilungen – ein Zwischenfall ein, bei dem große Teile des Rechenzentrums betroffen waren. Durch die IT-Notfallplanung war das Unternehmen in kürzester Zeit in der Lage, sich einen Überblick über das Ausmaß, die Auswirkungen und die Schadensfolgen zu verschaffen. Mit Hilfe der Alarmierungspläne wurden umgehend alle Beteiligten informiert, und die im Vorfeld erarbeiteten Strukturen und Wiederanlaufpläne konnten maßgeblich dazu beitragen, die Ausfallzeit auf ein Minimum zu reduzieren. Auf diese Weise lassen sich finanzielle Schäden sowie Rechtsverletzungen deutlich verringern, wenn nicht sogar gänzlich vermeiden.

Entscheider kompakt: Gibt es für eine IT-Notfallplanung Standardsoftware, die Sie hier vielleicht empfehlen können?

Frank Wassong: Als Goldvertriebspartner der CONTECHNET GmbH, haben wir mit deren Softwarelösungen in den letzten Jahren sehr gute Ergebnisse bei unseren Kunden erzielt. Sicherlich gibt es noch eine Vielzahl anderer Produkte auf dem Markt, doch der exklusive Fokus des Unternehmens und seiner Produkte auf die Themen Informationssicherheit, IT-Notfallplanung und Datenschutz hat mich vom ersten Moment an begeistert. Einige Konkurrenzunternehmen forschen einfach in zu viele Richtungen. Die Softwarelösungen der CONTECHNET-Suite überzeugen allesamt durch ihre strukturierte Vorgehensweise und ermöglichen es den Kunden, ihre Managementsysteme mit einer äußerst geringen Beratungsleistung zu erstellen und zu pflegen. Hinzu kommt, dass sich die Synergien, die zwischen den drei Themen bestehen, optimal nutzen lassen und den Pflegeaufwand reduzieren. So sind zum Beispiel in INDART Professional® (BCM) gepflegte Informationen auch in den Modulen INDITOR® BSI/ISO (ISMS) und INPRIVE® (DS) nutzbar. Dies reduziert die Aufwände erheblich und bildet die Basis für ein aktuelles und funktionierendes Managementsystem.

Entscheider kompakt: Für viele Unternehmen ist der 25.05.18 schon wieder etwas in Verges-senheit geraten, damit auch die ab diesem Zeitpunkt geltende Datenschutz-Grundverordnung. Was hat uns die neue Verordnung gebracht, außer viel Arbeit und auch den damit verbundenen Kosten?

Frank Wassong: In erster Linie hat uns die DSGVO vor Augen geführt, dass der Stellenwert des Themas Datenschutz zuvor viel zu gering war – und teilweise noch immer ist. Ehrlicherweise hat ihre Einführung nur denjenigen Unternehmen einen Berg an Arbeit bereitet, die sich im Vorfeld noch nie mit Datenschutz beschäftigt haben. Natürlich mussten auch gut aufgestellte Unternehmen einige Aufgaben erledigen, jedoch bei Weitem nicht so viele. Die DSG-VO hat eindrucksvoll gezeigt, wie viele Unternehmen das Thema nur dann ernst nehmen, wenn die Bußgelder und das damit verbundene finanzielle Risiko entsprechend hoch sind. Dies ist sehr traurig, denn hier sollten viel eher die Rechte der Betroffenen im Vordergrund stehen. Zusammenfassend hat die DSGVO aber vor allem eines: Ein neues Bewusstsein in der Bevölkerung geschaffen, das den Druck auf die Unternehmen immens erhöht. Auf einmal sind es nicht nur die Aufsichtsbehörden, die auf die Einhaltung der DSGVO achten, sondern auch die Betroffenen selbst. Die Unternehmen werden derart eher nochmals dazu veranlasst, über den bewussten Umgang mit sensiblen personenbezogenen Daten nachzudenken und Prozesse zu entwickeln, die DSGVO rechtmäßig umzusetzen. Auf diesem Weg liegt allerdings noch ein hartes Stück Arbeit vor uns.

Entscheider kompakt: Können mittelständische Unternehmen aus der Datenschutz-Grundverordnung auch etwas Positives ziehen und vielleicht sogar Wettbewerbsvorteile erzielen?

Die Entwicklung von Prozessen und Abläufen, die den Umgang mit personenbezogenen Daten regeln, nachvollziehbar und kontrollierbar machen, bringt insgesamt deutlich mehr Strukturen in die Unternehmen. Dies schränkt die Individualität der einzelnen Mitarbeiter in gewissen Bereichen zwar zum Teil ein, vermindert aber auch die beim Datenschutz eher gefährliche Hands-on-Mentalität, also den leichtfertigen und unbewussten Umgang mit Daten. Für gewöhnlich ist ein strukturiertes Unternehmen eher in der Lage, auf Veränderungen zu reagieren und schon im Vorfeld abzuschätzen, was eine solche Veränderung für das Unternehmen bedeutet.
Nicht zuletzt ist dies auch einer der Hintergründe bei den Standards zu IT-Notfallplanung und Informationssicherheit. Grundsätzlich besitzen Unternehmen mit ordentlichen Strukturen mehr Steuerungsmöglichkeiten und sind in der Lage, effizienter auf Einflüsse zu reagieren. Gerade dies wird für Unternehmen zunehmend wichtiger und stellt einen klaren Wettbe-werbsvorteil dar.

Entscheider kompakt: Die Bundesregierung hat noch einmal die Regeln im Rahmen der Datenschutz-Grundverordnung etwas neu justiert. Hat das im Rahmen dieser Europäischen Verordnung für uns überhaupt eine Bedeutung?

Frank Wassong: Nur bedingt bis gar nicht. Die Anhebung der Mitarbeitergrenze, ab der ein Datenschutzbeauftragter bestellt werden muss, hat mit der DSGVO an sich nichts zu tun. Die ursprüngliche Grenze von zehn Mitarbeitern wurde von der Bundesregierung, als Bestandteil des BDSG-alt, in der Öffnungsklausel verlangt. Die DSGVO selbst sieht hier eine viel großzügigere Grenze von 250 Mitarbeitern vor. Letztendlich ist dies aber auch keine Erleichterung für die Unternehmen. Zwar müssen sie keinen Datenschutzbeauftragten mehr bestellen, sind aber weiterhin in vollem Umfang zur Einhaltung des Datenschutzes verpflichtet. Unternehmen, die Daten besonderer Kategorien verarbeiten, sind ohnehin von dieser Regelung ausgenommen und unterliegen immer der Bestellpflicht.

Entscheider kompakt: Wann empfehlen Sie, in jedem Fall einen Datenschutzbeauftragten im Unternehmen einzusetzen, und welchen Vorteil sehen Sie in einem externen Datenschutzbeauftragten?

Frank Wassong: Ich empfehle immer, sich von einem erfahrenen Datenschutzbeauftragten (DSB) beraten zu lassen. Die Datenschutzanforderungen sind vielfältig und beruhen nicht ausschließlich auf der DSGVO, sondern sind auch noch in weiteren Regelungen und Gesetzen enthalten, denen die Unternehmen unterliegen. Ohne Unterstützung wird es für ein Unternehmen schwierig zu unterscheiden, an welcher Stelle welche Regelung oder welches Gesetz Vorrang hat.
Die Nachteile eines internen DSB im Vergleich zu einem externen sind Ausbildungskosten/-Zeit, Bereitstellung und Doppelung der Position (Urlaub, Krankheit) sowie die Aufrechterhaltung des Wissenstands. Gerade bei kleinen und mittelständischen Unternehmen ist ein interner DSB deshalb personell kaum umsetzbar. Ein externer DSB macht zumeist nichts anderes. Er hat das Thema voll im Blick und stellt somit einen kompetenten Partner der Geschäftsleitung dar, der objektiv und ohne interne Einflüsse das Unternehmen betrachtet und entsprechend berät.

Entscheider kompakt: Auf dem nächsten DIGITAL FUTUREcongress sind Sie mit von der Partie. Was werden Sie den Besuchern im Rahmen Ihres Auftritts neu präsentieren?

Frank Wassong: Wie schon im letzten Jahr wird unser Team zusammen mit Janis Zettel von CONTECHNET den Besuchern unsere Dienstleistungen sowie die Produkte der CON-TECHNET-Suite und deren Neuerungen präsentieren. Wir freuen uns unter anderen auf interessante Gespräche zu dem BSI 200-Standard, dem ISO 27701-Ergänzungskatalog zum Datenschutz und weiteren Themen wie beispielsweise der Umsetzung des B3S-Katalogs für Krankenhäuser. In den vergangenen Monaten haben wir unsere Vorgehensweise bei der Umsetzung nochmals verfeinert und können den Interessierten nun Konzepte mit lediglich drei (DS), fünf (BCM) und 15 (ISMS) Beratertagen vorstellen.

Entscheider kompakt: Dann freuen wir uns mit Ihnen auf eine fantastische Veranstaltung.

 

 

 


Drucken   E-Mail