DSGVO: Wer macht das und wenn ja wie viele?

Die EU-DSGVO (Datenschutz-Grundverordnung) und die NIS (Network Information Security) Directive kommen und in den Firmen setzt langsam hektische Betriebsamkeit ein. Dabei scheint zunächst die Frage nach der Zuständigkeit für Cybersecurity im Moment besonders heiß diskutiert zu werden. Im Moment ist die Cybersecurity nach einer aktuellen Studie von Palo Alto Networks wohl in 50 % der Firmen beim IT-Leiter und nur bei etwa 30 % beim CISO aufgehängt. Das überrascht, schließlich trägt der Chief Information Security Officer die Zuständigkeit schon im Titel. Ob die Verteilung so bleibt ist vermutlich eher eine politische als eine technische Frage. Immerhin, etwa 30 Prozent der Befragten waren der Ansicht, dass der CISO oder CSO verantwortlich sein sollte. Die aktuelle Lage deutet auf lange eingeübte und selten angepasste Rituale bei der Kompetenzverteilung im Unternehmen hin. Allerdings wird mit der Verantwortlichkeit auch eine Schattenseite sichtbar. Wer bei Cybersecurity den Hut auf hat, muss auch den schwarzen Peter in Form von Gesprächen mit der Unternehmensführung akzeptieren. Vorfälle passieren und müssen kommuniziert werden. In jedem Fall intern und nun, aufgrund von EU-DSGVO und NIS, immer häufiger auch extern. Das kann schnell unangenehm werden, wenn persönliches Versagen eines Mitarbeiters in der eigenen Abteilung zum Vorfall geführt hat oder wenn, der Alptraum schlechthin, ein Mitglied der Geschäftsleitung involviert war.

Für einen signifikanten Anteil des IT-Security Führungspersonals scheint die Aussicht auf mehr und umfassendere Abstimmungen mit dem Management generell keine Begeisterungsstürme auszulösen, wie die Palo Alto Networks-Studie ergab. In U.K. und Deutschland war dieser Anteil mit 56 % und 53 % besonders hoch. Zwar fand ein nahezu gleich großer Anteil der Befragten die Beteiligung des Managements gut, ein Drittel hingegen sah im verstärkten Interesse des Management-vor allem eine Behinderung der Arbeit. Es kommt wohl darauf an, wie gut die Top-Level Executives die Rolle, Möglichkeiten und auch die Grenzen von IT-Sicherheit verstehen. Tatsächlich war eine ganze Reihe von IT-Sicherheitsmitarbeitern froh um die Gelegenheiten, die sich durch EU-DSGVO und NIS bieten werden. Um eine Betrachtung der Informationssicherheit in Bezug auf die neuen Direktiven kommt keine Firma herum und sie erlaubt es auch, lange vernachlässigte Aspekte im Unternehmen anzusprechen und für deren Berücksichtigung zu werben. Wichtig ist, die Bedürfnisse der IT-Sicherheit verständlich für das Management aufzubereiten, eine Kunst, die inzwischen von vielen IT-Leitern deutlich verbessert wurde.

Die Autoren der Studie nutzen dafür tatsächlich den Begriff „Übersetzung“. Die C-Level Executives denken normalerweise Business-bezogen. IT-Sicherheit, deren Kosten und die Folgen von Vorfällen müssen in Geschäftsauswirkungen ausgedrückt werden. So verstehen Manager was auf dem Spiel steht, und können entweder Ressourcen für den Schutz freigeben oder aber das Risiko und die Folgen akzeptieren. Durch die „Übersetzung“ in Geschäftsauswirkungen können beide Seiten auch einfacher festlegen, was als Risiko akzeptabel ist und was nicht. Die nun anstehenden Diskussionen sollten auch genutzt werden, um regelmäßige Updates durch regulatorische Anforderungen zu besprechen. Was vor zwei Jahren noch State-of-the-Art war, kann in einem Jahr schon veraltet und nicht mehr ausreichend sein. Sowohl EU-DSGVO als auch NIS behandeln ganz spezifisch den State-of-the-Art Begriff. Firmen, die compliant sein wollen, müssen ihre Schutzmaßnahmen entsprechend nachführen. Übrigens: Trotz aller Herausforderungen, sowohl aktueller als auch kommender, gehen knapp zwei Drittel der Cybersecurity-Professionals davon aus, dass ein Sicherheitsvorfall vor allem eine Möglichkeit ist, dazuzulernen und die Sicherheitsmaßnahmen zu verfeinern. Wenn das keine gute Nachricht zum Abschluss ist.