Blog | Cyber Security | 23. August 2022

In dieser dreiteiligen Blog-Serie nehmen wir fünf häufig gehörte Thesen aus unseren Projekten und Mandaten im Bereich Cyber-Sicherheit sowie unserer Tätigkeit als CISO/IT-Sicherheitsbeauftragte unter die Lupe.

Verfasst von: Peter Flütsch

Mit folgenden fünf Aussagen setzen wir uns kritisch auseinander:

  • These #1: «Unser CISO/IT-Sicherheitsbeauftragter verhindert Angriffe und ist für die Cyber-Sicherheit verantwortlich»
  • These #2: «Die neueste technische Sicherheitslösung mit künstlicher Intelligenz schützt uns vor Cyber-Angriffen»
  • These #3: «Security-Awareness-Trainings bringen nichts, unsere Mitarbeitenden klicken sowieso»
  • These #4: «Unser Unternehmen ist nicht interessant für Cyber-Angriffe»
  • These #5: «Datenschutz-Anforderungen verzögern unsere Digitalisierungsprojekte»

Im dritten Teil der Serie werden die These #5 näher beleuchtet.

These #5: «datenschutz-anforderungen verzögern unsere digitalisierungsprojekte»

Bei unseren Projekten, insbesondere in öffentlichen Verwaltungen, stellen wir fest, dass das Thema Datenschutz teilweise zu längeren Diskussionen führt. Im Rahmen der Digitalisierung werden vermehrt Cloud-Lösungen eingesetzt, welche im Bereich Datenschutz neue Herausforderungen bieten. COVID-19 hat den Einsatz von Cloud-Lösungen beschleunigt. Die vertiefte Beurteilung des Datenschutzes und die Einführung notwendiger Sicherheitsmassnahmen wurden oft erst nachträglich durchgeführt. 

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft. Das revidierte Schweizer Datenschutzgesetz (DSG) wird voraussichtlich ab September 2023 in Kraft treten. Diverse Kantone haben ihre kantonalen Datenschutzgesetze und Merkblätter/Leitfäden im letzten Jahr angepasst. Anpassungen in den Datenschutzgesetzen mit Bezug auf Digitalisierungsprojekte betreffen unter anderem die Durchführung einer Datenschutz-Folgenabschätzung (DSFA), die Durchführung von Vorabkonsultationen durch die Datenschutzaufsichtsstellen sowie Vorgaben bezüglich Privacy-by-Design und Privacy-by-Default. Die folgende Grafik zeigt die Einbettung des Datenschutzes im Projektverlauf (Abläufe und Bezeichnungen je nach Kanton leicht unterschiedlich). 

Die folgenden Massnahmen helfen aus unserer Sicht den Datenschutz erfolgreich in (Digitalisierungs-) Projekten zu verankern, um Verzögerungen oder Frustrationen zu vermeiden: 

  • Das Thema Datenschutz im Rahmen des Projektes aktiv adressieren, frühzeitiger Einbezug der kantonalen Aufsichtsstellen. Wenn das Thema erst in der Realisierungsphase eines Projektes berücksichtigt wird, ist es zu spät. Der Datenschutz muss bereits in der Initialisierungsphase angemessen (Schutzbedarfsanalyse, Checkliste DSFA oder Durchführung DSFA, Definition der Grobanforderungen, Variantenwahl) berücksichtigt werden. Zudem benötigen Datenschutz-Aufsichtsstellen je nach Auslastung eine gewisse Vorlaufzeit, um eingereichte Dokumente zu prüfen. 
  • Offener und konstruktiver Dialog mit dem Datenschutzbeauftragten. In komplexen (Cloud-)Projekten braucht es in der Regel mehrere Schritte oder Iterationen bis eine ausgewogene Lösung gefunden wurde. Dies ist nur mit einem auf beiden Seiten offenen Dialog möglich. Der Einbezug ist je nach Projekt in allen Projekt-Phasen notwendig. 
  • Anforderungen und Rahmenbedingungen von Seite Datenschutz frühzeitig bei der Ausschreibung oder Evaluation berücksichtigen. Wichtige Aspekte sind beispielsweise Rechtsgrundlagen, Vertragsgestaltung, Gerichtsstand, anwendbares Recht, Datenspeicherort, vergleichbares Datenschutzniveau, Verschlüsselung und Schlüsselmanagement, Sicherheitskonzept und Unterauftragsverhältnisse. 
  • Eine umfassende Risikoanalyse als zentrales Element. Insbesondere bei Cloud-Vorhaben mit ausländischen Dienstleistern ist die Risikoanalyse zentral, siehe auch Cloud-Merkblatt von Privatim. Allfällige zusätzliche Risiken durch eine Cloud-Nutzung sind mit den Vorteilen von Cloud-Diensten abzuwägen. Die Risikoanalyse ist Bestandteil des ISDS-Konzeptes, welches in der Konzeptphase eines Projektes erstellt und im Rahmen einer Vorabkonsultation vom Datenschutzbeauftragten geprüft wird (Abläufe und Bezeichnungen je nach Kanton leicht unterschiedlich). 
  • Frühzeitige Klärung der Akzeptanz von Restrisken. Unternehmen und öffentliche Organe, die Cloud-Dienstleistungen in Anspruch nehmen, tragen weiterhin vollumfänglich die Verantwortung. Allfällige Restrisiken sind von der Unternehmensleitung oder von der obersten Instanz einer Verwaltung (z.B. Regierung) zu tragen. Diese Restrisiko-Übernahme ist frühzeitig im Projekt mit den entsprechenden Entscheidungsträgern abzustimmen, damit dies nicht im Projektverlauf zum «Showstopper» wird. 
  • Realistische Beurteilung der Risiken bei eigenem Betrieb. Steht eine Variante «on-premise» zur Diskussion müssen die eigenen Datenschutz- und insbesondere Datensicherheitsrisiken realistisch bewertet werden. Sind die eigenen Rechenzentren ebenfalls ISO 27001 zertifiziert wie die des externen Anbieters? Kann die Datensicherheit auf dem gleichen Niveau wie beim Outsourcingpartner/Cloudanbieter gewährleistet werden? 
  • Gesamtheitliche Betrachtung. Bei der Abnahme des ISDS-Konzeptes (bzw. bei der Vorabkonsultation durch die Datenschutzaufsichtsstelle) können in der Praxis unterschiedliche Interessen aufeinanderprallen. Der Projektleiter (bzw. die IT-Abteilung) muss eine breite Palette von Herausforderungen (Termine, Kosten, Abhängigkeiten, Know-How der Mitarbeitenden, Integration in die bestehende IT-Landschaft, zur Verfügung stehende Lösungen auf dem Markt usw.) berücksichtigen. Der Datenschutzbeauftragte fokussiert bei seiner Beurteilung in der Regel nur auf Datenschutzrisiken. Zielführend aus unserer Erfahrung ist immer eine gesamtheitliche Betrachtung, um die für die Organisation beste Lösung zu finden. 

Der Umgang mit Datenschutzfragen in Projekten ist nicht immer einfach. Wir sind jedoch überzeugt, dass das Thema «Datenschutz Digitalisierungsprojekte » sich nicht verzögert, wenn obenstehende Grundsätze beachtet werden. Im Gegenteil, ein frühzeitiger Einbezug des Datenschutzes schafft Vertrauen, erhöht die Akzeptanz bei Benutzern und verhindert, dass Projekte in einer späteren Phase oder danach im Betrieb wegen Datenschutzverletzungen abgebrochen werden müssen.  

Was ist Ihre Meinung zu den Thesen? Ich bin gespannt auf Ihre Kommentare auf LinkedIn oder bei einem persönlichen Austausch. Sind Sie an interessanten Projekten im Bereich Informationssicherheit in einem selbstorganisierten Unternehmen interessiert? Dann prüfen Sie unsere offenen Stellen.

Was wir über die Thesen #1, #2, #3 und # 4 denken, lesen Sie im ersten und zweiten Teil der Blogserie zu Cyber-Sicherheit.