Datenhoheit
Behalten Sie Ihre Daten unter Ihrer Kontrolle.
Um die Anforderungen der DSGVO umzusetzen, müssen Sie alle technischen und organisatorischen Maßnahmen beschreiben, welche Soft- und Hardware zum Einsatz kommt, wie für den Datenschutz relevante Verantwortlichkeiten geregelt sind, mit welchen Vertragspartnern Sie zusammenarbeiten etc.
Das bedeutet, dass Sie bspw. angeben müssen, wie Ihre Gebäude und die IT gesichert sind, welche Sicherheitsmaßnahmen gelten, welche konkreten IT-Geräte und welche konkreten Software-Produkte Sie einsetzen, welche Mitarbeiter für was verantwortlich sind, welche Dienstleister sich um Ihre IT oder die Gebäudereinigung kümmern. Das sind ohne Frage kritische Daten und stellen lohnende Angriffsziele dar.
Diese Informationen sollten also äußerst gut gesichert und aufbewahrt werden. Stellen Sie sich vor, was passieren würde, wenn diese Daten in die falschen Hände geraten würden. Ein Angreifer kann mit den Informationen maßgeschneiderte Angriffe auf Ihre IT oder per Phishing auf Ihre Mitarbeiter starten. Klassische Einbrecher wissen genau, wo sich Sicherheitssysteme befinden und von welchem Anbieter diese sind, was die Ermittlung möglicher Sicherheitslücken sehr vereinfacht.
Ob man diese Daten in einem fremden Rechenzentrum (den Computern anderer Leute) speichern sollte, sollte gut überlegt sein. Wahrscheinlich sind die Daten dort nach heutigem Stand sicher verschlüsselt, aber gilt das auch noch in einigen Jahren? Es bringt nichts, wenn die Daten zwar immer mit der aktuell bestmöglichsten Lösung verschlüsselt werden, aber in der Vergangenheit Daten entwendet wurden. Diese profitieren von der neuen Verschlüsselung nicht. D.h. dass selbst 10 Jahre alte Daten sehr wahrscheinlich noch aktuelle Informationen enthalten, denn Sie werden kaum alle paar Jahre die Gebäude, die komplette IT-Infrastruktur oder Belegschaft austauschen.
Und das bisher Geschriebene bezieht sich nur auf die Verschlüsselung, was ist mit unzufriedenen Mitarbeitern (der entlassene Admin), heute noch unbekannten Sicherheitslücken, nicht oder zu spät installierten Sicherheitsupdates, nicht mehr gepflegten Fremdbibliotheken, menschlichem Versagen, fehlendem geeigneten Personal oder Knowhow etc.? Was passiert mit Ihren Daten, wenn der Anbieter seine Dienste einstellt oder aufgekauft wird?
In der Informationssicherheit gibt es bei der Risikobewertung die beiden Begriffe Kumulations- und Verteilungseffekt.
Unter dem Kumulationseffekt versteht man, dass durch das Zusammenfassen mehrerer weniger schützenswerter Systeme oder Daten insgesamt ein hoher Schutzbedarf entstehen kann. Bei SaaS-Lösungen werden die Daten vieler Organisationen gemeinsam gespeichert. Selbst wenn die Daten jedes einzelnen Unternehmens für sich betrachtet uninteressant sind, kann die Gesamtheit der Daten ein lohnendes Angriffsziel bieten.
Der Verteilungseffekt stellt das Gegenteil des Kumulationseffekt dar. Hierbei werden durch das Verteilen mehrerer jeweils besonders schützenswerter Systeme oder Daten die Ausfallsicherheit erhöht oder die Angriffsfläche verringert. Wenn Sie also die Daten Ihrer Organisation möglichst getrennt von den Daten anderer Organisationen verwalten, dann müssen potentielle Angreifer wesentlich mehr Aufwand betreiben, um die gleiche Ausbeute an Daten zu erhalten wie bei einem Angriff auf ein einzelnes Ziel.
DSV bietet als klassische Desktop-Anwendung eine Alternative zu den verbreiteten SaaS-Lösungen („Software as a Service“, die Anwendung läuft im Browser, die Daten werden in einem fremden Rechenzentrum gespeichert). D.h. Sie behalten die Kontrolle über die Daten und legen selbst fest, wo Sie die Daten speichern wollen. Das schließt natürlich nicht aus, dass Daten entwendet werden können, aber Ihre Daten liegen nicht mit den Daten von vielen anderen Unternehmen zusammen an einem Ort. Ein potentieller Angreifer muss also viele Angriffe starten, um an die gleiche Datenmenge zu kommen wie bei einem Angriff auf ein einzelnes Rechenzentrum.
Das zum Einsatz kommende Datenbanksystem ist dabei äußerst flexibel, Sie können die Datenbanken fast überall einsetzen. Sie können diese auf dem lokalen PC, einem Server oder einem NAS speichern. Sie könnten die Datenbanken auch auf einer verschlüsselten externen Festplatte speichern und diese nach jedem Gebrauch entfernen.
Auch der Einsatz in der Cloud ist möglich, wenn Sie das wollen. Da Sie dabei sehr wahrscheinlich die Kontrolle über das verwendete Cloud-System innehaben (Hybrid-Cloud) und die Daten dadurch nicht zentral, sondern verteilt gespeichert werden (also nicht zusammen mit den Daten vieler anderer Unternehmen) kann das einen gangbaren Mittelweg darstellen.