Data-Governance-Programm für schwierige Zeiten
Autor/Redakteur: Bert Skaletski, Resident CISO, EMEA bei Proofpoint/gg
In der digitalen Wirtschaft gewinnen Daten stets an Wert für Unternehmen, deren Kunden und leider auch für Cyberkriminelle. Die fortschreitende Digitalisierung und die vermehrte Kommerzialisierung von Daten rufen auch die Aufsichtsbehörden verstärkt auf den Plan. Weltweit drängen sie auf einen besseren Schutz der Privatsphäre der Konsumenten. Datenschutz hat sich in der Folge zu einem der wichtigsten Aspekte für CISOs und Vorstände auf der ganzen Welt entwickelt. Der Erarbeitung und Umsetzung eines umfassenden Data-Governance-Programms kommt somit eine zentrale Bedeutung zu.
Data Governance und Datenschutz müssen zum Teil neu gedacht werden. War der Schutz von Daten noch vor wenigen Jahren vergleichsweise einfach, weil sie sich nur in den von den Unternehmen kontrollierten Rechenzentren befanden, ist die Situation heute eine ganz andere. Durch den Siegeszug der Cloud finden sich Unternehmensdaten heutzutage and den verschiedensten Orten. Ob in der Public Cloud, SaaS-Anwendungen oder im eigenen Rechenzentrum, Unternehmensdaten sind heute weit verteilt und nur schwer zu erfassen. Das hat Auswirkungen auf einen adäquaten Data-Governance-Ansatz.
Unternehmensrisiken im Blick behalten
Dass die Angestellten heutzutage ihrer Tätigkeit oftmals aus dem Homeoffice beziehungsweise mobil nachgehen, hat auch Konsequenzen für den Datenschutz. Laut dem Cost of a Data Breach Report von IBM Security erreichten die durchschnittlichen Gesamtkosten einer Datenpanne im Jahr 2022 mit 4,35 Millionen US-Dollar einen neuen Höchststand. Der Studie zufolge ist unter anderem der Trend zu mehr Homeoffice für die steigenden Kosten verantwortlich. Ferner wird darin eine „starke Korrelation“ zwischen Remote-Arbeit und den Kosten von Datenschutzverletzungen attestiert. Verstöße, bei denen das mobile Arbeiten ein Faktor war, kosteten im Durchschnitt eine Million Dollar mehr.
Personenbezogene Daten sind die wertvollste Art von Datensätzen, die bei einer Datenpanne gefährdet sind. Entsprechend haben es Cyberkriminelle vor allem auf diese Art von Daten abgesehen. Das hat auch zur Folge, dass Aufsichtsbehörden verstärkt Druck auf Unternehmen ausüben, diese Daten besser zu schützen.
Zunehmend strengere Datenschutzvorschriften sorgen unter anderem dafür, dass die Kosten von Datenschutzverletzungen in die Höhe schnellen. Dies unterstreicht die Notwendigkeit einer besseren Datenverwaltung der Unternehmen. Besonders die vor wenigen Jahren in Europa in Kraft getretene Datenschutz Grundverordnung (DSGVO), die europaweit einheitliche Datenschutzvorschriften geschaffen hat, hat das Bewusstsein vieler Verantwortlicher in den Unternehmen für diese Thematik geschärft.
Ein umfassendes Data-Governance-Programm muss den sich verändernden Gegebenheiten Rechnung tragen und die entsprechenden Folgen berücksichtigen. Hierzu gilt es, eine Reihe von Fragen zu beantworten, unter anderem:
- Wo sind Unternehmensdaten gespeichert?
- Welchen regulatorischen Vorgaben unterliegen die Daten?
- Wie werden die Daten verwendet (wer hat Zugang zu ihnen)?
- Auf welche Weise werden diese Daten geschützt?
Wichtige Schritte auf dem Weg zu einem Data-Governance-Programm
Für viele Unternehmen besteht die größte Herausforderung darin, zu verstehen, wo die eigenen Daten gespeichert sind und wie sich die Verantwortlichen einen Überblick über das gesamte Daten-Ökosystem verschaffen können. Die Aufbewahrung der Daten birgt Herausforderungen und rechtliche Spannungen. Nicht zuletzt deshalb, weil verschiedene Vorschriften unterschiedliche Anforderungen stellen. Ein schrittweiser, mehrstufiger Kontrollansatz für die Data Governance hilft Unternehmen dabei, diesen Herausforderungen zu begegnen und die wichtigsten Fragen zu beantworten.