Zwei Jahre DSGVO – eine Bestandsaufnahme
Warum die Industrie DevSecOps braucht
Vor Angriffen schützen
Die Umsetzung der Verordnung bedeutet auch, Daten ausreichend vor Cyberkriminalität zu schützen. Dabei gibt es oft noch Nachholbedarf, da sich mit der zunehmenden Digitalisierung auch neue Angriffsmöglichkeiten ergeben. Haupteinfallstor für Hackerangriffe und Datendiebstahl sind Sicherheitslücken in IT-Systemen. Dabei nutzen viele Betriebe seit Jahren veraltete Systeme. Diese werden aufgrund hoher Kosten nur zögerlich ausgetauscht. Aber auch moderne IT-Systeme in ‚Smart Factories‘ sind durch das Zusammenwachsen von Office- und Produktions-IT gefährdet. Dann kann Schadsoftware über Office-Endgeräte eindringen, die auch eine Bedrohung für Maschinen und Produktion darstellt. Dies birgt für Industrieunternehmen ein erhebliches Risiko, da oft ein Großteil der IT-Systeme heruntergefahren werden muss, um die Verbreitung der Schad-Software zu stoppen.
Lücken in der Verordnung
Die neue Datenschutzregelung verschärfte die Anforderungen an den Umgang mit personenbezogenen Daten also erheblich. Kritiker sehen aber auch Lücken in der derzeitigen EU-DSGVO. Ein Kritikpunkt lautet, dass Hersteller nicht in die Pflicht genommen werden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen Software-Entwicklung (DevOps) und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von ‚DevSecOps‘ zu etablieren. Das Kunstwort verbindet die Themen Sicherheit (Security), Entwicklung (Development) und IT-Betrieb (Operation) miteinander. Der Gesetzgeber muss diese Entwicklung unterstützen, damit datenschutzkonforme Produkte auf dem Markt erhältlich sind. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Was ist mit der Cloud?
Eine besondere Herausforderung an die Einhaltung der EU-DSGVO stellt das Speichern von Daten in der Cloud dar. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der ‚Clarifying Lawful Overseas Use of Data Act‘ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Dies bedroht auch die Wettbewerbsfähigkeit deutscher Unternehmen, weil aufgrund der dafür notwendigen technischen Vorkehrungen auch das Risiko steigt, dass Cyberkriminelle und Drittstaaten Zugriff auf das technische Know-how der Unternehmen erhalten. Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen, was das Problem aber nicht wirklich löst: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren. Um der DSGVO wirklich zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgsaussichten.
Chance für die Industrie
Nach zwei Jahren zeigt sich: Die EU-DSGVO kann für die Industrie eine Chance sein, um Systeme in ihren Betrieben sorgfältig zu prüfen und Sicherheitslücken in der IT zu beseitigen. Jedoch bedarf es noch geeigneter Maßnahmen – vor allem in Hinblick auf neue Schnittstellen und digitale Dienstleistungen. Denn ein verantwortungsvoller Umgang mit den Daten der Kunden und Mitarbeiter stärkt das Image, fördert die Wettbewerbsfähigkeit und vermindert langfristig rechtliche Risiken.
