Sie sind hier: Startseite » SaaS » Sonstige Lösungen

Externe Datenschützer als Security-Berater


Mit einer SaaS-Reporting-Lösung das geistige Eigentum der Mandanten schützen
Externe Datenschutzbeauftragte überprüfen die Compliance


In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten. Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen – mit allen damit verbundenen Vorteilen.

Daten sind das neue Öl. Sie sind kostbar und die Basis für wirtschaftlichen Erfolg, wenn sie in strukturierter und damit verwertbarer Form vorliegen. Das Problem: Unstrukturierte Daten wachsen überall im Unternehmen – in Dateisystemen, in E-Mailprogrammen oder dem SharePoint. Mit diesen unverwalteten Datenbergen wird das Rechtemanagement zu einer echten Herausforderung.

Das Kollaborations-Tool SharePoint zum Beispiel wird gern für Projektdaten und als Ablage benutzt. Es macht die Zusammenarbeit von mehreren Standorten oder externen Dienstleistern möglich. Doch die einmal erteilten Berechtigungen werden in der Regel nicht widerrufen. Dann haben interne Mitarbeiter, die nicht mehr zuständig sind, oder Externe, die überhaupt nicht mehr mit der Firma zusammenarbeiten, Zugriff auf Inhalte. Zudem bietet SharePoint viele Berechtigungsmöglichkeiten, was schnell ins Chaos führt: Es ist nicht mehr nachvollziehbar, wer welche Rechte für welche Zeit hat und woher sie kommen.

Auch Cloud-basierte Speicher wie OneDrive, das automatisch mit Office 365 zur Verfügung steht, laden dazu ein, Daten einfach schnell abzulegen. Eine weitere Herausforderung stellen Transfer-Laufwerke dar, die aus Wartungs- oder Umzugsgründen eingerichtet werden. Daten werden dort beliebig ohne Zugriffskontrolle abgelegt. Auch nach dem Transfer bleiben sie uneingeschränkt zugängig, was einem Missbrauch Tür und Tor öffnet.

Auch Berechtigungsmängel in den Organisationsstrukturen von Unternehmen können das Rechtemanagement torpedieren. Auszubildende zum Beispiel aggregieren Zugriffsberechtigungen im Rahmen ihrer Einblicke in verschiedene Abteilungen, geben sie aber nicht mehr ab. Auch Firmenübernahmen und Fusionen schütteln die Systemberechtigungen durch. Unternehmen wissen oft nicht, welche Rechte überhaupt übernommen werden. Zwar gibt es meist eine Firmenpolicy, die festlegt, was wo wie gespeichert und verschlüsselt wird, aber oft fehlt beispielsweise eine Data Access Governance, Berechtigungen werden manuell vergeben oder es erfolgt zu wenig Kontrolle.

Deswegen bleiben folgende zentrale, weil sicherheitsrelevante Fragen oft unbeantwortet: Welcher User hat worauf Zugriff? Welcher Ordner darf von wem eingesehen werden? Aus welchen Gruppen stammen die Rechte und existieren direkt gesetzte Rechte? Wo ändern sich Rechte? Wer sind die Owner der Daten?

Intellectual Property steht auf dem Spiel
Wenn alle Mitarbeiter Zugriff auf einen abgelegten Kantinenspeiseplan haben, ist das nicht weiter dramatisch. Doch bei sensiblen Informationen wie geistigem Eigentum verschärft sich die Lage. Gerade für den Schutz dieser unternehmenskritischen Daten fehlt in vielen Datei- und Berechtigungsstrukturen der Überblick.

Für den Mittelstand, die Hidden Champions, ist es erfolgskritisch und wettbewerbsrelevant, ihr geistiges Eigentum und die eigene Forschung zu schützen. Zahlreiche Fälle beweisen, was passiert, wenn das nicht der Fall ist: Forschungsdaten, unveröffentlichte Patente landen beim Mitbewerber.

Eine Berechtigungsmatrix in einem Unternehmen von mittlerer Größe kann schnell mehrere Millionen Einträge umfassen. Um sich einen Überblick zu verschaffen gilt es, die Berechtigungsebenen aus jeder Sicht (Gruppe und User) darzustellen – eine Aufgabe, die nicht von Hand zu leisten ist. Auch die Analyse selbst stellt hohe Anforderungen.

Datenschützer sind darauf spezialisiert – und Unternehmen verpflichtet –, den Datenschutz im Haus regelmäßig überprüfen zu lassen, um zu wissen, ob Compliance-Auflagen und gesetzliche Regularien eingehalten werden. Dazu gehören in erster Linie die europäische Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), aber auch branchenabhängige Regularien wie MaRisk oder SOX. Gerade die DSGVO bringt als Compliance-Treiber Unternehmen in Zugzwang. Sie fordert neben der Rechenschaftspflicht, die Sicherheit personenbezogener Daten sowie die Sicherheit der Verarbeitung.

Datenschutzbeauftragte können im Rahmen ihres Mandats nicht mehr tun, als auf Probleme bei der Einhaltung der Compliance hinzuweisen. Die Zahl der Audits beschränkt sich in der Regel auf ein bis zwei pro Jahr, bezahlt wird nach einer Pauschale. Entsprechend austauschbar sind die Datenschützer, die im Ergebnis um ihr Mandat fürchten.

Im Vergleich zu externen sind die Rechte von internen Datenschutzbeauftragten limitiert: Interne Datenschützer, Administratoren oder die IT dürfen nicht ohne weiteres auf personenbezogene Daten zugreifen. Ihnen ist es also nur möglich zu analysieren, wer auf welche AD-Gruppe, welchen Share oder Ordner berechtigt ist. Die eigentlichen Inhalte, welche Dateitypen im Ordner liegen und wann sie zuletzt verändert wurden, dürfen sie nicht einsehen. Externe Datenschützer erhalten dieses Recht durch ihr Mandat.

Neue Rolle für Datenschützer: IT-Security-Berater
Externe Datenschützer könnten für ihre Mandanten noch wertvollere Unterstützung leisten, wenn sie nicht nur ihrer originären Aufgabe nachkämen: der Prüfung, ob Finanzdaten und personenbezogene Daten mit den entsprechenden Zugriffsrechten geschützt sind.

Echter Mehrwert entsteht für Unternehmen durch den Schutz ihres Intellectual Property. Mithilfe eines neuen Reporting-Tools kann der Datenschützer in diese neue Rolle des IT-Security-Beraters schlüpfen und sein Mandat ausweiten. So überprüft er nicht nur die Compliance und verhindert Strafzahlungen – erste Urteile nach der DSGVO sind gefallen und die Strafen fallen empfindlich aus. Bis zu vier Prozent des Umsatzes kann ein Unternehmen der laxe Umgang mit dem Datenschutz kosten. Er sichert darüber hinaus das geistige Eigentum des Unternehmens. Datenschützer und Chefetage vereinen nun die gleichen Interessen – der Schutz des Unternehmens und der Erhalt seiner Wettbewerbsfähigkeit statt nur die Abarbeitung einer lästigen Pflichtaufgabe.

Der Datenschützer kann diesen Prozess mitbegleiten und seine Services dauerhaft anbieten. Er kann beraten, Reports erstellen und notwendige Revalidierungen und Rezertifizierung durch Fachbereiche oder die IT veranlassen. Und im Anschluss überprüfen, ob diese Änderungen vorgenommen wurden.

Ohne ein Tool hat er weder Zugriff auf die relevanten Daten, noch kann er nachvollziehen, ob die zur Überprüfung von der IT angeforderten Berechtigungsdaten vollständig sind. Mit einer Reporting-Lösung dagegen gelingt es, Intellectual Property wie nicht veröffentlichte Patente oder Forschungsdaten zu schützen, da das Rechtemanagement transparent wird. Berechtigungen können nachvollzogen werden und Defizite werden deutlich. So werden der gewachsene Zustand der Systemablage in einen geordneten Zustand überführt und Schritt für Schritt standardisierte Strukturen eingeführt, die einen Überblick und damit Access Control ermöglichen.

eingetragen: 03.10.19
Newsletterlauf: 06.11.19


Sie wollen mehr erfahren?
Die Lösung: Reporting-as-a-Service
Die Zielsysteme des Cloud-basierten Reporting-as-a-Service-Tools der econet GmbH aus München sind das klassische Windows-Dateisystem (inklusive Microsoft Active Directory) auf Windowsservern und NAS-Systemen. Künftig werden SQL-Datenbanken und SharePoint hinzukommen.

econet: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Sonstige Lösungen

  • Professionelle Suchfunktionalität

    IntraFind Software stellt mit ihrer Embedded Enterprise Search für Confluence Cloud eine (Software-as-a-Service) SaaS-Lösung für eine professionelle Unternehmenssuche bereit, die einfach über den Atlassian Marketplace getestet, gekauft und installiert werden kann.

  • Cloud-native Videoüberwachungsservice (VSaaS)

    Milestone Systems, Anbieterin von Technologien für Open Plattform-Videomanagement, kündigt die Integration von Genea mit Milestone XProtect und dem Cloud.nativen Videoüberwachungsservice (VSaaS) Milestone Kite an. Die Integration soll Nutzer eine zentrale Sicherheitslösung in einer einzigen Benutzeroberfläche bieten.

  • Kubernetes-Infrastruktur für Edge Computing

    Zededa, Anbieterin von Edge-Infrastruktur-Orchestrierung und Verwaltung, präsentiert "Zededa Edge Kubernetes Service", den nach eigenen Angaben branchenweit ersten, vollständig verwalteten Kubernetes-Service für Edge Computing.

  • Decision Support Solutions

    Empolis, ein Unternehmen der proAlpha-Gruppe, ist auf KI-basierte "Decide Support Solutions" für industrielle Unternehmen spezialisiert.

  • KI-Tools für Software-Hersteller

    Laigo, Spezialistin für leicht integrierbare KI, stellt einen neuen KI-Service (AIaaS) für unabhängige Softwarehersteller (ISV, Independent Software Vendors) vor. Über REST-API können sie die von Laigo angebotenen, an ihre Bedürfnisse angepassten KI-Modelle in die eigenen Lösungen integrieren, ohne dass sie über KI-spezifisches Know-how oder eine entsprechende Infrastruktur verfügen müssten

  • Einbindung generativer KI

    Couchbase, Anbieterin einer Cloud-Datenbank-Plattform, kündigt die Einbindung generativer KI in ihren Database-as-a-Service (DBaaS) "Capella" an. Damit wird sowohl die Produktivität von Entwicklern verbessert als auch die Time-to-market von Applikationen beschleunigt. Die neue Funktionalität namens Capella iQ unterstützt Entwickler mit empfohlenem Beispiel-Code für SQL++ und Applikationen.

  • Videokonferenzlösung für digitale Souveränität

    OpenTalk, Anbieterin für sichere Videokonferenzen, stellt ihre gleichnamige Videokonferenzlösung ab sofort auch als Software-as-a-Service (SaaS) zur Verfügung. Der Anbieter betreibt die Konferenzen DSGVO-konform in seinen eigenen, deutschen Rechenzentren und erfüllt höchste Datenschutzansprüche, beispielsweise für Berufsgeheimnisträger wie Rechtsanwälte oder nach Kirchen-Datenschutzrecht.

  • Über die Entwicklerplattform "Netlify" zugänglich

    Couchbase, Anbieterin einer Cloud-Datenbank-Plattform, hat eine breite Palette an Verbesserungen und neuen Funktionen für den Database-as-a-Service (DBaaS), "Couchbase Capella" veröffentlicht.

  • Wallix führt "SaaS Remote Access" ein

    Wallix bringt "SaaS Remote Access" auf den Markt, eine Software-as-a-Service (SaaS)-Version der in Wallix PAM4ALL integrierten Remote Access Management-Technologie. SaaS Remote Access wurde für Unternehmen aller Branchen und insbesondere der Industrie entwickelt, die externen Anbietern durch eine vereinfachte Verwaltung digitalen Zugang zu ihrer IT-Infrastruktur gewähren.

  • Mietmodelle, mehr als Problemlöser

    Die digitale Transformation des Arbeitsplatzes im Fokus: Als IT-Dienstleisterin plant, entwirft und betreibt Adlon den digitalen Arbeitsplatz von der Modernisierung der Infrastruktur über die Digitalisierung der Prozesse und Tätigkeiten bis hin zur Informationssicherheit am digitalen Arbeitsplatz mit dem Ziel, Kunden mit IT zu stärken. Im Fokus hierbei: Device as a Service (DaaS).

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen