- Anzeige -


Sie sind hier: Startseite » SaaS » Sonstige Lösungen

Externe Datenschützer als Security-Berater


Mit einer SaaS-Reporting-Lösung das geistige Eigentum der Mandanten schützen
Externe Datenschutzbeauftragte überprüfen die Compliance

- Anzeigen -





In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten. Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen – mit allen damit verbundenen Vorteilen.

Daten sind das neue Öl. Sie sind kostbar und die Basis für wirtschaftlichen Erfolg, wenn sie in strukturierter und damit verwertbarer Form vorliegen. Das Problem: Unstrukturierte Daten wachsen überall im Unternehmen – in Dateisystemen, in E-Mailprogrammen oder dem SharePoint. Mit diesen unverwalteten Datenbergen wird das Rechtemanagement zu einer echten Herausforderung.

Das Kollaborations-Tool SharePoint zum Beispiel wird gern für Projektdaten und als Ablage benutzt. Es macht die Zusammenarbeit von mehreren Standorten oder externen Dienstleistern möglich. Doch die einmal erteilten Berechtigungen werden in der Regel nicht widerrufen. Dann haben interne Mitarbeiter, die nicht mehr zuständig sind, oder Externe, die überhaupt nicht mehr mit der Firma zusammenarbeiten, Zugriff auf Inhalte. Zudem bietet SharePoint viele Berechtigungsmöglichkeiten, was schnell ins Chaos führt: Es ist nicht mehr nachvollziehbar, wer welche Rechte für welche Zeit hat und woher sie kommen.

Auch Cloud-basierte Speicher wie OneDrive, das automatisch mit Office 365 zur Verfügung steht, laden dazu ein, Daten einfach schnell abzulegen. Eine weitere Herausforderung stellen Transfer-Laufwerke dar, die aus Wartungs- oder Umzugsgründen eingerichtet werden. Daten werden dort beliebig ohne Zugriffskontrolle abgelegt. Auch nach dem Transfer bleiben sie uneingeschränkt zugängig, was einem Missbrauch Tür und Tor öffnet.

Auch Berechtigungsmängel in den Organisationsstrukturen von Unternehmen können das Rechtemanagement torpedieren. Auszubildende zum Beispiel aggregieren Zugriffsberechtigungen im Rahmen ihrer Einblicke in verschiedene Abteilungen, geben sie aber nicht mehr ab. Auch Firmenübernahmen und Fusionen schütteln die Systemberechtigungen durch. Unternehmen wissen oft nicht, welche Rechte überhaupt übernommen werden. Zwar gibt es meist eine Firmenpolicy, die festlegt, was wo wie gespeichert und verschlüsselt wird, aber oft fehlt beispielsweise eine Data Access Governance, Berechtigungen werden manuell vergeben oder es erfolgt zu wenig Kontrolle.

Deswegen bleiben folgende zentrale, weil sicherheitsrelevante Fragen oft unbeantwortet: Welcher User hat worauf Zugriff? Welcher Ordner darf von wem eingesehen werden? Aus welchen Gruppen stammen die Rechte und existieren direkt gesetzte Rechte? Wo ändern sich Rechte? Wer sind die Owner der Daten?

Intellectual Property steht auf dem Spiel
Wenn alle Mitarbeiter Zugriff auf einen abgelegten Kantinenspeiseplan haben, ist das nicht weiter dramatisch. Doch bei sensiblen Informationen wie geistigem Eigentum verschärft sich die Lage. Gerade für den Schutz dieser unternehmenskritischen Daten fehlt in vielen Datei- und Berechtigungsstrukturen der Überblick.

Für den Mittelstand, die Hidden Champions, ist es erfolgskritisch und wettbewerbsrelevant, ihr geistiges Eigentum und die eigene Forschung zu schützen. Zahlreiche Fälle beweisen, was passiert, wenn das nicht der Fall ist: Forschungsdaten, unveröffentlichte Patente landen beim Mitbewerber.

Eine Berechtigungsmatrix in einem Unternehmen von mittlerer Größe kann schnell mehrere Millionen Einträge umfassen. Um sich einen Überblick zu verschaffen gilt es, die Berechtigungsebenen aus jeder Sicht (Gruppe und User) darzustellen – eine Aufgabe, die nicht von Hand zu leisten ist. Auch die Analyse selbst stellt hohe Anforderungen.

Datenschützer sind darauf spezialisiert – und Unternehmen verpflichtet –, den Datenschutz im Haus regelmäßig überprüfen zu lassen, um zu wissen, ob Compliance-Auflagen und gesetzliche Regularien eingehalten werden. Dazu gehören in erster Linie die europäische Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), aber auch branchenabhängige Regularien wie MaRisk oder SOX. Gerade die DSGVO bringt als Compliance-Treiber Unternehmen in Zugzwang. Sie fordert neben der Rechenschaftspflicht, die Sicherheit personenbezogener Daten sowie die Sicherheit der Verarbeitung.

Datenschutzbeauftragte können im Rahmen ihres Mandats nicht mehr tun, als auf Probleme bei der Einhaltung der Compliance hinzuweisen. Die Zahl der Audits beschränkt sich in der Regel auf ein bis zwei pro Jahr, bezahlt wird nach einer Pauschale. Entsprechend austauschbar sind die Datenschützer, die im Ergebnis um ihr Mandat fürchten.

Im Vergleich zu externen sind die Rechte von internen Datenschutzbeauftragten limitiert: Interne Datenschützer, Administratoren oder die IT dürfen nicht ohne weiteres auf personenbezogene Daten zugreifen. Ihnen ist es also nur möglich zu analysieren, wer auf welche AD-Gruppe, welchen Share oder Ordner berechtigt ist. Die eigentlichen Inhalte, welche Dateitypen im Ordner liegen und wann sie zuletzt verändert wurden, dürfen sie nicht einsehen. Externe Datenschützer erhalten dieses Recht durch ihr Mandat.

Neue Rolle für Datenschützer: IT-Security-Berater
Externe Datenschützer könnten für ihre Mandanten noch wertvollere Unterstützung leisten, wenn sie nicht nur ihrer originären Aufgabe nachkämen: der Prüfung, ob Finanzdaten und personenbezogene Daten mit den entsprechenden Zugriffsrechten geschützt sind.

Echter Mehrwert entsteht für Unternehmen durch den Schutz ihres Intellectual Property. Mithilfe eines neuen Reporting-Tools kann der Datenschützer in diese neue Rolle des IT-Security-Beraters schlüpfen und sein Mandat ausweiten. So überprüft er nicht nur die Compliance und verhindert Strafzahlungen – erste Urteile nach der DSGVO sind gefallen und die Strafen fallen empfindlich aus. Bis zu vier Prozent des Umsatzes kann ein Unternehmen der laxe Umgang mit dem Datenschutz kosten. Er sichert darüber hinaus das geistige Eigentum des Unternehmens. Datenschützer und Chefetage vereinen nun die gleichen Interessen – der Schutz des Unternehmens und der Erhalt seiner Wettbewerbsfähigkeit statt nur die Abarbeitung einer lästigen Pflichtaufgabe.

Der Datenschützer kann diesen Prozess mitbegleiten und seine Services dauerhaft anbieten. Er kann beraten, Reports erstellen und notwendige Revalidierungen und Rezertifizierung durch Fachbereiche oder die IT veranlassen. Und im Anschluss überprüfen, ob diese Änderungen vorgenommen wurden.

Ohne ein Tool hat er weder Zugriff auf die relevanten Daten, noch kann er nachvollziehen, ob die zur Überprüfung von der IT angeforderten Berechtigungsdaten vollständig sind. Mit einer Reporting-Lösung dagegen gelingt es, Intellectual Property wie nicht veröffentlichte Patente oder Forschungsdaten zu schützen, da das Rechtemanagement transparent wird. Berechtigungen können nachvollzogen werden und Defizite werden deutlich. So werden der gewachsene Zustand der Systemablage in einen geordneten Zustand überführt und Schritt für Schritt standardisierte Strukturen eingeführt, die einen Überblick und damit Access Control ermöglichen.

eingetragen: 03.10.19
Newsletterlauf: 06.11.19


Sie wollen mehr erfahren?
Die Lösung: Reporting-as-a-Service
Die Zielsysteme des Cloud-basierten Reporting-as-a-Service-Tools der econet GmbH aus München sind das klassische Windows-Dateisystem (inklusive Microsoft Active Directory) auf Windowsservern und NAS-Systemen. Künftig werden SQL-Datenbanken und SharePoint hinzukommen.

econet: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Sonstige Lösungen

  • Externe Datenschützer als Security-Berater

    In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten. Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen - mit allen damit verbundenen Vorteilen.

  • Regulatorische Risiken können gesenkt werden

    Finastra hat ein neues maßgeschneidertes Reporting-Tool gelauncht, mit dem sich Banken effektiv auf die Verordnung zur Regulierung von Wertpapierfinanzierungs-geschäften (SFTR) vorbereiten können. Die SFTR soll ab April 2020 angewandt werden. Das cloudbasierte SFTR-Tool setzt auf der bestehenden Regulatory-Reporting-Lösung von Finastra auf und erfüllt die Anforderungen von Finanzinstituten an schnelle, automatisierte Handelsberichte. Banken können dadurch schneller und kosteneffizienter Daten erfassen und Compliance-Vorgaben umsetzen

  • Blockchain für Unternehmen nutzbar machen

    Mit ihrem "Wallet as a Service" bindet das Münchner Startup Tangany Unternehmen an die Blockchain an. Die Vision: Deutsche Unternehmen fit für die Technologie machen. Das Credo: Sicherheit, Simplizität und Nutzerfreundlichkeit. Wenn es um den Einsatz von Blockchain geht, hinkt Deutschland hinterher. Lediglich zwei Prozent aller deutschen Unternehmen nutzen laut Bitcom Reasearch Analyse 2018 die Datenbank der Zukunft. Gründe dafür sind das fehlende Know-how zur Technologie selbst und das Wissen, in welchen Bereichen sie angewendet werden kann. Das Münchner Startup Tangany sagt dieser Entwicklung den Kampf an und möchte Deutschland fit für die Blockchain machen. Mit ihrem Produkt "Wallet as a Service" können Unternehmen ab sofort einfach und unkompliziert die Blockchain nutzen - ohne Vorkenntnisse oder technische Expertise. Damit wird Blockchain für jeden nutzbar. Tangany ist damit eines der ersten Startups, die ein echtes Produkt im Blockchain-Bereich anbieten.

  • Eine vereinfachte Fehlerbehebung

    SolarWinds kündigt Verbesserungen ihrer "Web Performance Monitoring"-Produkte an. Dazu zählen das auf der "SolarWinds Orion"-Plattform basierende Tool "Web Performance Monitor" (WPM), jetzt WPM 3.0, und die SaaS-Lösung "SolarWinds Pingdom". Mit diesen Produkt-Updates für das Web Performance Monitoring engagiert sich das Unternehmen weiter dafür, die Anforderungen von Technikexperten zu erfüllen, die in On-Premises-IT-Umgebungen innerhalb der Firewall sowie in hybriden und Public-Cloud-Umgebungen arbeiten.

  • Controlling-Cloud-Lösung zur Plandatenerfassung

    MicroStrategy und die Thinking Networks ermöglichen künftig integriertes Corporate Performance Management in der Cloud: "Qvantum", die Controlling-Cloud-Lösung zur Plandatenerfassung, und die MicroStrategy-Plattform, die umfassendes Reporting und Dashboarding bietet, kommunizieren künftig über ein Plug-in, das eine reibungslose Synchronisation von Modell- und Geschäftsdaten per Knopfdruck bietet.

  • Teradata erweitert As-a-Service für "Vantage"

    Teradata hat drei neue Angebote für seine Analytics-Plattform "Teradata Vantage" angekündigt. Teradata reagiert damit auf die Nachfrage seiner Kunden nach As-a-Service-Funktionen. Die neuen Funktionen bieten Auswahlmöglichkeiten und Flexibilität für Kunden, die mit Amazon Web Services (AWS) und Microsoft Azure sowie in Private Cloud oder Hybrid Cloud-Umgebungen arbeiten.

  • Einsatz von Natural Language Processing

    Mit "iFinder5 elastic" präsentiert die IntraFind Software AG eine Universal-Search-Lösung, die den Webseitenbesucher intelligent unterstützt. Suchen und Finden ist in der digitalen Welt von zentraler Bedeutung - das gilt auch für die Unternehmenswebseite. Nichts ist unerfreulicher und unwirtschaftlicher als ein Besucher, der nach kurzer Zeit die Seite verlässt, da er die gewünschten Informationen oder Produkte nicht finden konnte. Trotzdem schenken viele Unternehmen der Suchfunktion auf ihren Websites wenig bis gar keine Beachtung. IntraFind zeigt, wie Unternehmen mit einer weit über Standard-Features hinausgehenden intelligenten Suche Webseitennutzer auf ihrer Seite halten und deren Inhalte relevanter machen können.

  • KI-basierte Vertragsanalysen

    IntraFind, Spezialistin für Enterprise Search und Natural Language Processing, hat ihren "Contract Analyzer" umfassend erweitert. Juristen können mit der Software für KI-basierte Vertragsanalysen jetzt noch einmal deutlich mehr Vertragsarten und -inhalte automatisiert auswerten. Der Contract Analyzer hat nun auch eine automatische Erkennung für wesentliche Vertragstypen vortrainiert eingebaut, die aber auch für ganz individuelle Taxonomien trainiert werden kann. Die Zahl der Vertragsklauseln und Datenpunkte, die die Software automatisch erkennt, hat der Anbieter auf über 150 ausgebaut.

  • Cloud-basiertes Zugriffsmanagement

    Fujitsu stellt eine neue Lösung vor, mit der sich die Verwaltung zahlreicher, individueller Passwörter etwa für den Zutritt zu Geländen und Gebäuden, aber auch zu Cloud Computing-Services vermeiden lässt - eine echte Erleichterung für CIOs. Die Lösung ist ab sofort verfügbar. Sie integriert "SSH.COM's PrivX Cloud Access Gateway" im Rahmen von Identity-as-a-Service (IDaaS).

  • "Serverless"-Cloud Strategie

    BT hat die Einführung einer neuen "Service and Network Automation Platform" (SNAP) verkündet, die Kunden Technologien für Wide Area Networking (SD-WAN) und Network Functions Virtualization (NFV) unterstützt. Die Plattform ist das Herzstück des globalen Netzwerks von BT. Dank ihrer flexiblen Architektur, die auf den fortschrittlichsten Technologien basiert, kann BT die Lösungen seiner Partner vollständig integrieren. Beispiele hierfür sind SD-WAN-Controller von Cisco und Nuage Networks von Nokia. Desweiteren arbeitet SNAP auch mit dem Network Services Orchestrator (NSO) von Cisco zusammen. Dadurch kann BT seinen Kunden eine große Auswahl an SD-WAN und NFV Managed Services wie die BT Connect Services Platform anbieten.