- Anzeige -


Sie sind hier: Startseite » SaaS » Sonstige Lösungen

Externe Datenschützer als Security-Berater


Mit einer SaaS-Reporting-Lösung das geistige Eigentum der Mandanten schützen
Externe Datenschutzbeauftragte überprüfen die Compliance

- Anzeigen -





In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten. Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen – mit allen damit verbundenen Vorteilen.

Daten sind das neue Öl. Sie sind kostbar und die Basis für wirtschaftlichen Erfolg, wenn sie in strukturierter und damit verwertbarer Form vorliegen. Das Problem: Unstrukturierte Daten wachsen überall im Unternehmen – in Dateisystemen, in E-Mailprogrammen oder dem SharePoint. Mit diesen unverwalteten Datenbergen wird das Rechtemanagement zu einer echten Herausforderung.

Das Kollaborations-Tool SharePoint zum Beispiel wird gern für Projektdaten und als Ablage benutzt. Es macht die Zusammenarbeit von mehreren Standorten oder externen Dienstleistern möglich. Doch die einmal erteilten Berechtigungen werden in der Regel nicht widerrufen. Dann haben interne Mitarbeiter, die nicht mehr zuständig sind, oder Externe, die überhaupt nicht mehr mit der Firma zusammenarbeiten, Zugriff auf Inhalte. Zudem bietet SharePoint viele Berechtigungsmöglichkeiten, was schnell ins Chaos führt: Es ist nicht mehr nachvollziehbar, wer welche Rechte für welche Zeit hat und woher sie kommen.

Auch Cloud-basierte Speicher wie OneDrive, das automatisch mit Office 365 zur Verfügung steht, laden dazu ein, Daten einfach schnell abzulegen. Eine weitere Herausforderung stellen Transfer-Laufwerke dar, die aus Wartungs- oder Umzugsgründen eingerichtet werden. Daten werden dort beliebig ohne Zugriffskontrolle abgelegt. Auch nach dem Transfer bleiben sie uneingeschränkt zugängig, was einem Missbrauch Tür und Tor öffnet.

Auch Berechtigungsmängel in den Organisationsstrukturen von Unternehmen können das Rechtemanagement torpedieren. Auszubildende zum Beispiel aggregieren Zugriffsberechtigungen im Rahmen ihrer Einblicke in verschiedene Abteilungen, geben sie aber nicht mehr ab. Auch Firmenübernahmen und Fusionen schütteln die Systemberechtigungen durch. Unternehmen wissen oft nicht, welche Rechte überhaupt übernommen werden. Zwar gibt es meist eine Firmenpolicy, die festlegt, was wo wie gespeichert und verschlüsselt wird, aber oft fehlt beispielsweise eine Data Access Governance, Berechtigungen werden manuell vergeben oder es erfolgt zu wenig Kontrolle.

Deswegen bleiben folgende zentrale, weil sicherheitsrelevante Fragen oft unbeantwortet: Welcher User hat worauf Zugriff? Welcher Ordner darf von wem eingesehen werden? Aus welchen Gruppen stammen die Rechte und existieren direkt gesetzte Rechte? Wo ändern sich Rechte? Wer sind die Owner der Daten?

Intellectual Property steht auf dem Spiel
Wenn alle Mitarbeiter Zugriff auf einen abgelegten Kantinenspeiseplan haben, ist das nicht weiter dramatisch. Doch bei sensiblen Informationen wie geistigem Eigentum verschärft sich die Lage. Gerade für den Schutz dieser unternehmenskritischen Daten fehlt in vielen Datei- und Berechtigungsstrukturen der Überblick.

Für den Mittelstand, die Hidden Champions, ist es erfolgskritisch und wettbewerbsrelevant, ihr geistiges Eigentum und die eigene Forschung zu schützen. Zahlreiche Fälle beweisen, was passiert, wenn das nicht der Fall ist: Forschungsdaten, unveröffentlichte Patente landen beim Mitbewerber.

Eine Berechtigungsmatrix in einem Unternehmen von mittlerer Größe kann schnell mehrere Millionen Einträge umfassen. Um sich einen Überblick zu verschaffen gilt es, die Berechtigungsebenen aus jeder Sicht (Gruppe und User) darzustellen – eine Aufgabe, die nicht von Hand zu leisten ist. Auch die Analyse selbst stellt hohe Anforderungen.

Datenschützer sind darauf spezialisiert – und Unternehmen verpflichtet –, den Datenschutz im Haus regelmäßig überprüfen zu lassen, um zu wissen, ob Compliance-Auflagen und gesetzliche Regularien eingehalten werden. Dazu gehören in erster Linie die europäische Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), aber auch branchenabhängige Regularien wie MaRisk oder SOX. Gerade die DSGVO bringt als Compliance-Treiber Unternehmen in Zugzwang. Sie fordert neben der Rechenschaftspflicht, die Sicherheit personenbezogener Daten sowie die Sicherheit der Verarbeitung.

Datenschutzbeauftragte können im Rahmen ihres Mandats nicht mehr tun, als auf Probleme bei der Einhaltung der Compliance hinzuweisen. Die Zahl der Audits beschränkt sich in der Regel auf ein bis zwei pro Jahr, bezahlt wird nach einer Pauschale. Entsprechend austauschbar sind die Datenschützer, die im Ergebnis um ihr Mandat fürchten.

Im Vergleich zu externen sind die Rechte von internen Datenschutzbeauftragten limitiert: Interne Datenschützer, Administratoren oder die IT dürfen nicht ohne weiteres auf personenbezogene Daten zugreifen. Ihnen ist es also nur möglich zu analysieren, wer auf welche AD-Gruppe, welchen Share oder Ordner berechtigt ist. Die eigentlichen Inhalte, welche Dateitypen im Ordner liegen und wann sie zuletzt verändert wurden, dürfen sie nicht einsehen. Externe Datenschützer erhalten dieses Recht durch ihr Mandat.

Neue Rolle für Datenschützer: IT-Security-Berater
Externe Datenschützer könnten für ihre Mandanten noch wertvollere Unterstützung leisten, wenn sie nicht nur ihrer originären Aufgabe nachkämen: der Prüfung, ob Finanzdaten und personenbezogene Daten mit den entsprechenden Zugriffsrechten geschützt sind.

Echter Mehrwert entsteht für Unternehmen durch den Schutz ihres Intellectual Property. Mithilfe eines neuen Reporting-Tools kann der Datenschützer in diese neue Rolle des IT-Security-Beraters schlüpfen und sein Mandat ausweiten. So überprüft er nicht nur die Compliance und verhindert Strafzahlungen – erste Urteile nach der DSGVO sind gefallen und die Strafen fallen empfindlich aus. Bis zu vier Prozent des Umsatzes kann ein Unternehmen der laxe Umgang mit dem Datenschutz kosten. Er sichert darüber hinaus das geistige Eigentum des Unternehmens. Datenschützer und Chefetage vereinen nun die gleichen Interessen – der Schutz des Unternehmens und der Erhalt seiner Wettbewerbsfähigkeit statt nur die Abarbeitung einer lästigen Pflichtaufgabe.

Der Datenschützer kann diesen Prozess mitbegleiten und seine Services dauerhaft anbieten. Er kann beraten, Reports erstellen und notwendige Revalidierungen und Rezertifizierung durch Fachbereiche oder die IT veranlassen. Und im Anschluss überprüfen, ob diese Änderungen vorgenommen wurden.

Ohne ein Tool hat er weder Zugriff auf die relevanten Daten, noch kann er nachvollziehen, ob die zur Überprüfung von der IT angeforderten Berechtigungsdaten vollständig sind. Mit einer Reporting-Lösung dagegen gelingt es, Intellectual Property wie nicht veröffentlichte Patente oder Forschungsdaten zu schützen, da das Rechtemanagement transparent wird. Berechtigungen können nachvollzogen werden und Defizite werden deutlich. So werden der gewachsene Zustand der Systemablage in einen geordneten Zustand überführt und Schritt für Schritt standardisierte Strukturen eingeführt, die einen Überblick und damit Access Control ermöglichen.

eingetragen: 03.10.19
Newsletterlauf: 06.11.19


Sie wollen mehr erfahren?
Die Lösung: Reporting-as-a-Service
Die Zielsysteme des Cloud-basierten Reporting-as-a-Service-Tools der econet GmbH aus München sind das klassische Windows-Dateisystem (inklusive Microsoft Active Directory) auf Windowsservern und NAS-Systemen. Künftig werden SQL-Datenbanken und SharePoint hinzukommen.

econet: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Sonstige Lösungen

  • In Echtzeit Fehler noch vor dem Commit entdecken

    Veracode stellte die nächste Generation von "Veracode Static Analysis" vor, die eine umfassende Analyse über den gesamten Entwicklungszyklus hinweg bietet. Dazu zählt auch ein neuer Pipeline-Scan, der für den Einsatz bei der Übergabe von Code an den Build-Prozess optimiert ist. Veracode Static Analysis ist Teil der Veracode SaaS-Plattform, die umfassende Funktionalitäten in den Bereichen Sicherheitsanalyse, Developer Enablement und AppSec Governance bietet, einschließlich Compliance-Frameworks und marktführende Analytik.

  • Höchste Verfügbarkeit innerhalb jeder Cloud

    Couchbase, Pionierin der Embedded-NoSQL-Datenbanktechnologie, hat "Couchbase Cloud", einen vollständig gemanagten Database-as-a-Service der Enterprise-Klasse, vorgestellt. Couchbase Cloud kombiniert die leistungsfähige NoSQL-Datenbank mit einem umfassenden Multi-Cloud-Management. Couchbase Cloud ist ein vollständig gemanagter Database-as-a-Service (DBaaS), der den Zugang zur NoSQL-Datenbanktechnologie von Couchbase über das Netzwerk bereitstellt und in einem nutzungsbezogenen Modell abgerechnet wird. Couchbase Cloud ermöglicht Unternehmen, ihre Daten innerhalb einer eigenen Virtual Private Cloud (VPC) zu hosten.

  • KI-gesteuerte E-Commerce-SaaS

    Amazon birgt allein in Deutschland ein riesiges Potenzial zur Umsatzsteigerung für Händler und Reseller, das viele jedoch ungenutzt verstreichen lassen. Einige schrecken vor dem Aufwand zurück, andere scheuen sich vor den Auseinandersetzungen mit Amazon und die meisten fürchten, dass sich das ganze Vorhaben nicht in einer deutlichen Umsatzsteigerung widerspiegelt. Nethansa bietet mit ihrer Software-as-a-Service (SaaS)-Lösung "Clipperon" Werkzeuge, durch die Nutzer allein auf Amazon ihren Umsatz um 500 Prozent steigern konnten - und das in wenigen Wochen.

  • "Neo4j Aura" bringt Graphdatenbank in die Cloud

    Neo4j stellt eine vollständig verwaltete native Graphdatenbank-as-a-Service vor. Mit "Neo4j Aura" lässt sich die bewährte Graphdatenbank nun auch in der Cloud für datenintensive Anwendungen einsetzen und skalieren. Die einfache Handhabung erlaubt es Entwicklern, Architekten und Data Scientists, sich ganz auf die Entwicklung innovativer Lösungen im Bereich Machine Learning, Betrugserkennung oder 360-Grad-Customer Journey zu fokussieren. Interessenten können sich ab sofort in wenigen Schritten auf der Website für Neo4j Aura registrieren.

  • Externe Datenschützer als Security-Berater

    In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten. Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen - mit allen damit verbundenen Vorteilen.

  • Regulatorische Risiken können gesenkt werden

    Finastra hat ein neues maßgeschneidertes Reporting-Tool gelauncht, mit dem sich Banken effektiv auf die Verordnung zur Regulierung von Wertpapierfinanzierungs-geschäften (SFTR) vorbereiten können. Die SFTR soll ab April 2020 angewandt werden. Das cloudbasierte SFTR-Tool setzt auf der bestehenden Regulatory-Reporting-Lösung von Finastra auf und erfüllt die Anforderungen von Finanzinstituten an schnelle, automatisierte Handelsberichte. Banken können dadurch schneller und kosteneffizienter Daten erfassen und Compliance-Vorgaben umsetzen

  • Blockchain für Unternehmen nutzbar machen

    Mit ihrem "Wallet as a Service" bindet das Münchner Startup Tangany Unternehmen an die Blockchain an. Die Vision: Deutsche Unternehmen fit für die Technologie machen. Das Credo: Sicherheit, Simplizität und Nutzerfreundlichkeit. Wenn es um den Einsatz von Blockchain geht, hinkt Deutschland hinterher. Lediglich zwei Prozent aller deutschen Unternehmen nutzen laut Bitcom Reasearch Analyse 2018 die Datenbank der Zukunft. Gründe dafür sind das fehlende Know-how zur Technologie selbst und das Wissen, in welchen Bereichen sie angewendet werden kann. Das Münchner Startup Tangany sagt dieser Entwicklung den Kampf an und möchte Deutschland fit für die Blockchain machen. Mit ihrem Produkt "Wallet as a Service" können Unternehmen ab sofort einfach und unkompliziert die Blockchain nutzen - ohne Vorkenntnisse oder technische Expertise. Damit wird Blockchain für jeden nutzbar. Tangany ist damit eines der ersten Startups, die ein echtes Produkt im Blockchain-Bereich anbieten.

  • Eine vereinfachte Fehlerbehebung

    SolarWinds kündigt Verbesserungen ihrer "Web Performance Monitoring"-Produkte an. Dazu zählen das auf der "SolarWinds Orion"-Plattform basierende Tool "Web Performance Monitor" (WPM), jetzt WPM 3.0, und die SaaS-Lösung "SolarWinds Pingdom". Mit diesen Produkt-Updates für das Web Performance Monitoring engagiert sich das Unternehmen weiter dafür, die Anforderungen von Technikexperten zu erfüllen, die in On-Premises-IT-Umgebungen innerhalb der Firewall sowie in hybriden und Public-Cloud-Umgebungen arbeiten.

  • Controlling-Cloud-Lösung zur Plandatenerfassung

    MicroStrategy und die Thinking Networks ermöglichen künftig integriertes Corporate Performance Management in der Cloud: "Qvantum", die Controlling-Cloud-Lösung zur Plandatenerfassung, und die MicroStrategy-Plattform, die umfassendes Reporting und Dashboarding bietet, kommunizieren künftig über ein Plug-in, das eine reibungslose Synchronisation von Modell- und Geschäftsdaten per Knopfdruck bietet.

  • Teradata erweitert As-a-Service für "Vantage"

    Teradata hat drei neue Angebote für seine Analytics-Plattform "Teradata Vantage" angekündigt. Teradata reagiert damit auf die Nachfrage seiner Kunden nach As-a-Service-Funktionen. Die neuen Funktionen bieten Auswahlmöglichkeiten und Flexibilität für Kunden, die mit Amazon Web Services (AWS) und Microsoft Azure sowie in Private Cloud oder Hybrid Cloud-Umgebungen arbeiten.