DS-GVO Fehlkonzept Nr. 4: Lückenlose Datentransparenz ist machbar

Der WG Kühlschrank

Man kann über die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realität übereinstimmen. Das grösste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer müssten wir von Informationstransparenz sprechen. Datentransparenz könnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM seit Jahren das Feld der Information Governance und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.

Was bedeutet nun Transparenz im Kontext der Personendaten? Gemäss DS-GVO müssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin müssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zusätzlich müssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.

Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteikästen, denn dafür wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, „on the fly“.

Dies geschieht zum Beispiel immer dann, wenn digitale Adressbücher ausgetauscht werden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur Speicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent synchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem Adressbuch plötzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst für den Experten kaum möglich. Geschweige denn herauszufinden, wo dies überall geschieht.

Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO völlig ignoriert.

Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen  auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren Kühlschränken, siehe Video). Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu geführt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verhältnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60/40 Lösung ist eine grosse Herausforderung, 80/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unmögliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben.

Auch das Informationsmanagement befindet sich gegenwärtig in einer Phase der Veränderung. Einerseits werden die analytischen Werkzeuge (“Data Analytics”) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: lückenlos!) erfassen zu können. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird. D.h., dass eine Unternehmenstaxonomie zwingend auch die Metadaten “DS-GVO relevant” berücksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden können.

Der hilflose Versuch, gemäss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu führen, führt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualitätsmanagements kläglich gescheitert („führe alle Deine Dokumente in einem Verzeichnis“). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und natürlich lückenhaft (eine Abdeckungsquote von 50% würde ich als hoch bezeichnen).

In der DS-GVO hat es diverse Widersprüche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollständige Transparenz der Verarbeitung gewährleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit.  Wie soll man zum Beispiel die Datenlöschung jederzeit nachvollziehbar machen? Wenn ich festhalten möchte, dass ich eine E-Mail-Adresse gelöscht habe, muss ich diese protokollieren, um den Nachweis der Löschung erbringen zu können. Der immer währende Anspruch auf Transparenz bedeutet nämlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!

Um hier nicht missverstanden zu werden: Ich befürworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis für eine gute Information Governance und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information.

Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM.

DS-GVO Fehlkonzept Nr. 3: Einwilligung ist möglich

In den letzten Monaten haben wir zigfach unsere Einwilligung zu Datenschutzerklärungen, Cookie Policies, AGBs, Vertragsergänzungen u.v.a. gegeben. Ich gebe es zu, auch ich lese nicht alle Datenschutzerklärungen, denen ich zustimme. Selbst wenn man weiss, wie solche Erklärungen aufgesetzt sind und was sie beinhalten, bedeuten sie für den Betroffenen primär Ärger (vom volkswirtschaftlichen Schaden, der alleine durch das Lesen entsteht, noch nicht einmal gesprochen).

Denn wir wissen es alle: wir haben praktisch keine Möglichkeit, Dienste zu nutzen, ohne diese Erklärungen zu bestätigen. Sind wir tatsächlich in der Lage, die Tragweite der von uns erteilten Einwilligungen abzuschätzen?

Dabei handelt es sich nicht primär um ein Datenschutzthema. Doch was ist eine Einwilligung? Wenn wir als Kunde ein Online-Angebot nutzen, wird der Anbieter eine Datenschutzerklärung beifügen, die wir als Teil des Vertrags unterzeichnen sollen. Wenn wir das wollen, müssen wir in der Regel einen digitalen Entscheid treffen: Ja oder Nein (und zwar zu Grundvertrag und Datenschutzerklärung). Schwierig wird das Ganze, wenn es sich um ein marktbeherrschendes Unternehmen handelt, bzw. es keine Alternativangebote gibt (typische Monopol- oder Oligopolsituation).

Eine Einwilligung nach Datenschutz bedeutet, dass die betroffene Person mit den Verarbeitungsmethoden, wie sie der Verantwortliche dokumentiert, einverstanden ist. Ist sie dies nicht, dann müsste sie die Möglichkeit haben, einzelne Bearbeitungsformen und -methoden auszuschliessen. Zu diesem Zweck muss der Verantwortliche transparent darüber informieren, wie er mit den Daten arbeitet und welche Verarbeiter (Subunternehmer) er beizieht.

Diese Vorgehensweise setzt voraus, dass volles Wissen über die Datenhaltung herrscht (vgl. FK 4). In heutigen Systemen ist die Vernetzung jedoch so hoch, dass dies Wunschdenken ist. Ich kann als Betroffener höchstens generell eine Meinung äussern. Selbst wenn ich einzelne Opt-in Schalter habe, bedeutet dies noch lange nicht, dass die Verarbeitung dann wirklich meinen Wünschen entspricht.

Erfrischend sind die immer wieder neu auftauchenden, absurden Darstellungen von Opt-in Möglichkeiten auf Webseiten von Anbietern. Da darf man 50 virtuelle Schalter betätigen und entscheidet damit über alle möglichen Formen von Verarbeitungen (vgl. FK 9). Das würde bedeuten, dass man sich über die dazugehörigen Softwareteile genauestens erkundigt und auch noch versteht, was geschieht! Dies kann und will niemand tun (vgl. FK 4). Selbst der Anbieter wird nicht in jedem Fall genau wissen, welche Konsequenzen das Ein-/Ausschalten eines Dienstes tatsächlich hat.

Unter dem Strich bedeutet dies folgendes: Entweder ich lasse mich mit dem Anbieter ein oder ich lasse es bleiben! Zum Glück gibt es in vielen Bereichen Alternativen zu den bekannten Datenkraken. Trotzdem drängt es die Leute aus Bequemlichkeit (und aus Geiz) immer wieder zu Diensten, die den grössten Marktanteil haben.  Diese Anbieter nützen ihre Marktmacht systematisch aus.

Die aktuelle Tendenz, sämtliche Software nur noch als Cloud Version anzubieten, trägt weiter dazu bei, dass der einzelne Nutzer praktisch keine Macht (Kontrolle = Information Governance) mehr über seine Daten besitzt. Es bleibt ihm nur noch die Alternative, entweder nach wie vor alles lokal zu installieren und zu betreiben, oder sich lokale Anbieter zu suchen, die vertrauenswürdig sind und mit denen er einen vernünftigen Vertrag aushandeln kann (Don’t forget: All business is still local).

Doch auch für den kleinen Anbieter wird es jetzt haarig. Meist besteht ein Grundvertrag über eine Leistung, die vom Anbieter (Auftragnehmer) („wir bieten ein CRM in der Cloud an“) angeboten wird. Der Kunde, hier ein Unternehmen, bestellt dieses Angebot auf Basis des Grundvertrags. Gleichzeitig wird er vom Anbieter noch gebeten, einen Auftragsverarbeitungsvertrag zu unterzeichnen, welche den Umgang des Auftragnehmers mit den Personendaten beschreibt (denn Sinn und Zweck des CRM dürfte es u.a. sein, Personendaten zu erfassen).

Hier spielt nun die DS-GVO wieder den grossen Oligopolen in die Hand. Betrachtet man das Ganze aus der Sicht eines kleinen Softwareanbieters, dann sieht man auch die Absurdität, die das Einwilligungsrecht erzeugt. Nach der DS-GVO ist es theoretisch möglich, eine Einwilligung für eine Verarbeitung jederzeit zurückzuziehen. Was heisst dies nun in einem praktischen Kontext? Ein Betroffener (im oben geschilderten Fall ein beliebiger Mitarbeiter eines Kunden, ein potenzieller Kunde etc.) könnte demnach, darauf bestehen, dass seine Daten aus einem bestehenden System entfernt und gelöscht werden.

Tatsächlich sieht die Praxis anders aus. In 80% aller Fälle bestehen gesetzliche Aufbewahrungspflichten, die den Widerruf verhindern (sogar aus dem Datenschutzrecht selbst, vgl. FK 8). Völlig absurd ist die Forderung, dass Subunternehmer nur eingebunden werden dürfen, wenn jeder Betroffene zustimmt. Theoretisch müsste der Kunde jedes Mal im Vornherein zustimmen, wenn ein Anbieter Daten an einen neuen Unterauftragnehmer weitergeben möchte. Es kommt noch schlimmer, der Anbieter müsste u.U. das Einverständnis aller Betroffenen einholen.

Was heisst das für die Praxis? Cloud Anwendungen werden heute aus vielen Online-Komponenten zusammengebaut. Der Anbieter muss dafür sorgen, dass seine Anwendung zuverlässig und verfügbar ist (übrigens auch eine gesetzliche Datenschutz-Anforderung).  Er muss gegebenenfalls Dienste auswechseln können. Angenommen, der Kunde verweigert die Zustimmung, dann muss er sich überlegen, ob er diese Kunden überhaupt noch haben will. Demgegenüber steht aber eine entsprechende Vertragsgrundlage, die er nicht verletzten darf. In der Regel liegt es im Interesse beider Parteien, dass der Dienst möglichst ohne Unterbrechung weitergeführt wird. Die gegenseitige Abhängigkeit der Unternehmen und Kunden von solchen Diensten wird immer mehr zunehmen. Hier geht es nicht um ein Machtspiel: Kunden wie auch Anbieter sitzen im gleichen Boot und werden alles dafür tun, diese quälenden Vorgaben des Datenschutzrechts möglichst elegant zu umgehen.

Hier zeigen sich wieder die Ungerechtigkeiten bei der Marktmacht. Einem grossen Anbieter ist es ohne weiteres möglich, auf denjenigen Teil seiner Kunden zu verzichten, die mit seinen Optionen in den Verträgen nicht einverstanden sind. Für den kleinen Anbieter kann es jedoch existenzbedrohend sein, würde er die exorbitanten Einwilligungsvorgaben der DS-GVO in jedem Fall erfüllen.

Das Problem mit dem Einwilligungsrecht lässt sich nicht einfach lösen. Es handelt sich hier um eine Thematik, die mit Datenschutzrecht nur bedingt zu tun hat. Solange es gesetzlich zulässig ist, dass man fünfzigseitige AGBs mit einem Klick bestätigen kann, bedeutet dies eine totale Entmachtung des Kunden. Die Opt-in Prinzipien des Datenschutzes sind durchaus sinnvoll, doch müssen sie konsequenterweise auf den gesamten Vertrag angewendet werden. Verträge müssten so modular gestaltet werden, dass sie den Ausschluss einzelner Vertragskomponenten zulassen würden. Die heutigen AGB-Monster sind völlig einseitig gestaltet und dienen in der Regel nur den grossen Anbietern. Der Komplexität der Technologie steht damit eine vergleichsweise ähnliche Komplexität der Verträge gegenüber. Ohne technische Hilfsmittel sehe ich hier keine Chance, dass es eine Verbesserung geben wird. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben?

DS-GVO Fehlkonzept Nr. 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Datenschutz ist opportunistisch geworden: Wir setzen auf ihn, wenn wir einen direkten Nutzen von ihm haben, ansonsten interessiert er uns nicht.

Das Prinzip der Informationellen Selbstbestimmung besagt, dass jede Person selbst darüber befinden kann, was mit ihren Daten geschieht (Grundrecht). Betrachtet man den Kontext des damals höchstrichterlichen Entscheids, dann kommt einem das Ganze heute etwas absurd vor. Es ging damals (1983) um die Erfassung von Daten im Rahmen der Volkszählung in Deutschland (also gegenüber dem Staat).  In diesem Jahr war die Datenverarbeitung mittels Lochkartenerfassung, Kernspeichern und waschmaschinengrossen Magnetspeichern die Regel. Die ersten PCs lauerten am Horizont, aber eine Datenverarbeitung im heutigen Stil konnten sich nur echte Utopisten vorstellen. 1984 von George Orwell war omnipräsent, aber der Überwachungsstaat war das zu bekämpfende Übel, nicht marktbeherrschende Internet-Konzerne.

Ein technischer Vergleich mit heutigen Rechnern erübrigt sich. Was viel wesentlicher ist, ist die Tatsache, dass sich die Informationsnutzung umfassend verändert hat. Datenverarbeitung zum Zeitpunkt des Volkszählungsentscheids war Schwerarbeit und wurde von den EDV-Göttern in weiss durchgeführt.  

Die DS-GVO basiert noch immer auf den Überlegungen der Siebzigerjahre. Die betroffene Person, wird als Opfer der Datenhalter („Verantwortlichen“) dargestellt. Dieser Datenhalter ist die anonyme Verwaltung oder eine Datenkrake, ein Unternehmen, welches alles daran setzt, die Persönlichkeitsrechte der Betroffenen zu verletzen.

Doch diese Opferrolle entspricht schon lange nicht mehr dem Durchschnittsnutzer.  Dieser bestimmt heute weitgehend selbst, welche Daten er im täglichen Leben von sich preisgibt und verarbeitet. Dies bedeutet nun nicht, dass er darüber wirklich die Kontrolle hat. 90% der Benutzer verhalten sich aber so, als ob es ihnen entweder egal sei oder sie sich darüber keine Gedanken machen würden.

Informationelle Selbstbestimmung im heutigen Kontext bedeutet eine Umkehrung der Gedanken der Siebzigerjahre. Heute geht es darum, möglichst viele Daten publik zu machen, um mit anderen in Kontakt zu treten. Wer jetzt glaubt, dies sei nur eine Geschichte rund um soziale Medien wie Facebook, der täuscht sich gewaltig.  Es gibt offensichtliche Gründe, wieso Personen persönliche Details auf sozialen Plattformen veröffentlichen. Die Frage ist nicht, WIESO Sie diese Daten bekannt geben, sondern die Frage, WIE intelligent diese Daten veröffentlicht werden. Ich bin überzeugt, dass ein Grossteil der heutigen Nutzer von Facebook durchaus Klarheit darüber hat, dass Ihre Daten weiterverwendet und kommerziell genutzt werden. Mit anderen Worten: Die Informationelle Selbstbestimmung hat dazu geführt, dass die Anwender viel grosszügiger mit ihren Daten umgehen. Diese Tatsache kann man weder negieren noch mit Gesetzen alternative Fakten schaffen. Wenn Personalabteilungen systematisch Daten aus dem Netz auswerten, um Bewerber zu beurteilen, dann führt das automatisch dazu, dass die potentiellen Bewerber gezielt Daten platzieren. Jeder Social Media Nutzer überlegt sich heute, welchen Nutzen seine Aktivitäten auf diesen Kanälen haben.

Das soll auf keinen Fall heissen, dass Datenschutz überflüssig geworden wäre. Der Datenschutz geht jedoch per se und selbstverständlich davon aus, dass Personendaten in jedem Fall vor den Bösen „Verantwortlichen“ und „Verarbeitern“ geschützt werden müssen. Tatsächlich geht das Datenschutzrecht nicht darauf ein, welchen Schutz Personen bedürfen, die ihre gesamte Datenwelt transparent machen! Mittlerweile weiss eine Mehrheit aller Nutzer von Gratisdiensten, dass sie mit ihren Daten bezahlen.

Der Datenschutz muss mit aller Konsequenz greifen, wenn Daten von Dritten (z.B. Bilder) freizügig verteilt oder widerrechtlich publiziert werden. Hier muss es Schutzmöglichkeiten geben. Dies bedeutet, dass es möglich sein muss, solche Inhalte konsequent vom Netz zu nehmen oder zu blockieren. Die aktuellen Diskussionen rund um Facebook zeigen, dass sich hier etwas bewegt. Solange aber die internationale Gemeinschaft Kriminellen Schlupflöcher bietet, hapert es an der Durchsetzung. Soll ein Gesetz Personen schützen, welche von sich die intimsten Details freiwillig publizieren? Was ist der Wert einer Einwilligung! Damit zur nächsten Fehlkonzeption.

IKT-Minimalstandard Sicherheit

Der Bund hat am 27.8.18 einen Minimalstandard für IT-Sicherheit publiziert. Wie immer sind solche “Mindeststandards” alles andere als einfach zu verstehen, geschweige denn umzusetzen.  Wir helfen Ihnen bei der Umsetzung dieser Vorgaben.

IKT-Minimalstandard mit erhöhtem Fokus auf Vorfallsbehandlung

Das Bundesamt für wirtschaftliche Landesversorgung (BWL) lanciert einen Minimalstandard zur Verbesserung der IKT-Resilienz mit erhöhtem Fokus auf Vorfallsbehandlung (Incident Response). Die vom BWL herausgegebene Publikation richtet sich zwar insbesondere an die Betreiber von kritischen Infrastrukturen, ist aber grundsätzlich für jedes Unternehmen oder jede Organisation anwendbar.

Das Assessment-Tool ist in fünf Themenbereiche mit insgesamt 106 Massnahmen gegliedert, über welches der Minimalstandard in der eigenen Organisation einem Test unterzogen werden kann. Auffallend ist, dass erstmals der Vorfallsbehandlung und Wiederherstellung ein merkbar gewichtiger Stellenwert zugeordnet wird, als dies früher der Fall war. So beziehen sich im erwähnten Assessment-Tool 21 Punkte auf die Vorfallsthemen “Respond & Recover”.

Voraussetzung für die Verbesserung der IKT-Resilienz durch die Implementierung einer Defense-in-Depth-Strategie ist ein aktives Risikomanagement. Dieses soll die Risikobereitschaft des Unternehmens berücksichtigen. Eine absolute Sicherheit wird es nie geben. Deshalb muss die Unternehmensführung den Risikoappetit festlegen und zusätzlich Massnahmen treffen, um für den hoffentlich nie eintreffenden Ernstfall adäquat gewappnet zu sein. Compass Security unterstützt Sie hierbei mit einem 4/7 Digital Forensics & Incident Response Service (DFIR).

Download der Publikation des BWL wie auch des IKT-Minimalstandard-Assessment-Tools.

DS-GVO Fehlkonzept Nr. 1: Datenschutz ist global

Mit der DS-GVO hat die EU ein Gesetz geschaffen, welches dazu führt, dass Ländern Datenschutz-Regeln aufgezwungen werden, die in keiner Art und Weise ihrem Verständnis von Datenschutz entsprechen.

Die EU will der Welt ihr Datenschutz-Konzept aufdrängen.

Die meisten Bürger von EU-Mitgliedsstaaten sehen sich primär als Bürger ihres Landes und nicht als Teil eines anonymen (EU)-Verbunds. Datenschutz ist historisch, gesellschaftlich und sozial geprägt.  Wenn wir uns darüber aufregen, dass es Staaten gibt, die dazu übergehen, ihre Bürger systematisch zu kategorisieren und einzuteilen, dann vergessen wir leicht, dass wir in einem sozialen Umfeld aufgewachsen sind, in welchem wir Repression, Unterdrückung oder Zwang zur Uniformität nur noch aus Büchern oder aus dem Internet kennen. Vergleichbarkeit und Messbarkeit sind bei uns Unworte, obwohl sie die gesellschaftliche Realität widerspiegeln. Während wir in der Schule Noten bekämpfen und uns nicht messen wollen („es bekommt jeder einen Preis“), wird in den Sozialen Medien knallhart bewertet, was der Mausklick hergibt. In Systemen, in welchen der Einzelne nur dann aus der Menge auftaucht, wenn er ein hohes Rating hat, hat Datenschutz nur eine geringe Bedeutung („geben wir uns doch gegenseitig die Maximalbewertung..“).

Trotz Fichen-Affäre und alltäglichen Big Data Analysen ist unsere Sensibilisierung zum Thema Datenschutz gering. Das hat damit zu tun, dass wir Schweizer traditionell vom Staat wenig zu befürchten haben und hatten („wir sind der Staat“). Studien zeigen, dass dort, wo das Vertrauen in den Staat hoch ist, dem persönlichen Datenschutz geringes Gewicht beigemessen wird. So ist es nicht überraschend, dass gerade in den skandinavischen Ländern Dinge wie das Implantieren von Chips sozial akzeptabel sind (in Schweden lag die Zahl „gechippter“ Personen bei rund 3000, August 18). Für die Mehrheit ist dies heute noch undenkbar. Trotzdem wächst die Gruppe von Personen stetig, welche sich freiwillig der digitalen Transparenz aussetzt. Wie sollen die Gesellschaft damit umgehen, dass ein Grossteil der Bevölkerung ihre Personendaten verschleudert und sich damit den hoch heiligen Prinzipien des Datenschutzes aktiv widersetzt? Wie man diese Frage auch immer beantwortet: die DS-GVO ist nur ein Weg, Personen vor sich selbst zu schützen. Sie ist aber in keinem Fall geeignet, auf globaler Ebene als verbindliche Norm eingesetzt zu werden.

Ist der Bürger eines ehemals kommunistischen Staates sensibler, wenn es um Datenschutz geht?

Die 10 wichtigsten DS-GVO Fehlkonzeptionen – So hat Datenschutz keine Chance

Die DS-GVO hat bis Ende Mai 2018 enorm viel Aufwand generiert. Sie hat dazu geführt, dass Heerscharen mehr oder weniger seriöser Anwälte und Berater haufenweise Verträge, Richtlinien und Vereinbarungen geschrieben haben. Wieso sollte uns das interessieren? Ich behaupte, dass sowohl Softwareanbieter wie auch Dienstleister, welche Personendaten verarbeiten, ihre Produkte in diesem Jahr damit um geschätzte 25% verteuert haben. Spätestens nächstes Jahr werden wir als Kunden diese Rechnung präsentiert bekommen – die Produktpreise werden steigen. Da fragt sich doch der Anwender (oder die „Betroffene Person“ im Jargon der DS-GVO): Was bekomme ich wirklich dafür?

Selbst der Widerhall in der Presse war einmalig. Selten hat ein Gesetz so hohe Wellen geworfen. Die DS-GVO ist ein inhaltliches Monster und wer behauptet, er hätte alles davon verstanden, der hat entweder eine sehr hohe Fehlertoleranz oder gibt sich mit dem Verstehen der wichtigsten Grundprinzipien zufrieden (Zitat aus der Internet Community: „Chuck Norris hat die DS-GVO schon zweimal umgesetzt – vollständig!“). Statt sich mit den Inhalten auseinander zu setzen und sich um reale Risiken zu kümmern, wurden isolierte Aktionen losgetreten. Ein gutes Beispiel dafür ist die Aufforderung zum Erneuern der Newsletter-Anmeldung, welche in 90% aller Fälle überflüssig ist. Solche, meist aus dem Nichts auftauchende Aktionen haben teilweise sinnlose und überflüssige Eigendynamiken entwickelt.

Schaut man etwas über den Tellerrand hinaus, dann muss man sich auf jeden Fall die Frage stellen, ob das heutige Datenschutzkonzept, so wie es durch die Europäische Union vorgelebt werden will, wirklich zukunftsgerecht ist. Ich meine: Nein. Um dies zu begründen, habe ich die wichtigsten Fehlkonzepte der DS-GVO hier aufgelistet:

Fehlkonzeption 1: Datenschutz ist global

Fehlkonzeption 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Fehlkonzeption 3: Einwilligung ist möglich

Fehlkonzeption 4: Datentransparenz ist machbar

Fehlkonzeption 5: Alle Verantwortlichen sind gleich

Fehlkonzeption 6: Informationssicherheit ist unwichtig

Fehlkonzeption 7: Meldepflicht von Datenschutz-Verletzungen

Fehlkonzeption 8: Bussen werden es richten

Fehlkonzeption 9: Alles ist Verarbeitung

Fehlkonzeption 10: Datenschutz hat Einfluss auf die Technologiegestaltung

Im Laufe dieses Jahres werde ich regelmässig auf die einzelnen Fehlkonzeptionen eingehen und sie ausführlich kommentieren.

DSGVO – Panik?! Was Sie wirklich tun müssen.

Neu: Videos zur Kurzinformation:  Englisch  / Deutsch

Mein Kollegen von Mission 100, Michael Erner und ich* haben schon vor einer Weile beschlossen, der Panikmache rund um die DSGVO den Kampf anzusagen. Was seit rund anderthalb Jahren durch viele Berater, Anwälte und Revisionsfirmen kommuniziert und verteilt wird, schlägt jedem Fass den Boden aus. Da wird hemmungslos mit dem FUD (Fear, Uncertainty, Doubt) Prinzip argumentiert, ohne die offenen Fragen rund um die DSGVO-Umsetzung  zu kennen, geschweige denn zu adressieren.

Was auf dem Papier steht, muss noch lange nicht so umgesetzt werden!  Schon die Tatsache, dass wir es mit einem Geflecht von verschiedenen Rechtssystemen zu tun haben, die in sich weder abgestimmt noch widerspruchsfrei sind, müsste dem Praktiker sagen, dass es mit der Umsetzung ziemlich haarig werden wird. Noch viel schwieriger wird es, wenn man die Umsetzung im Hinblick auf die Konformitätsbeurteilungen betrachtet. Während heute jedes Land, Bundesland, Kanton, … eine eigene Aufsichtsbehörde hatte und diese auch autonom Prüfungen nach eigenem Ermessen durchführen, sollte nun vom Mai 2018 EU weit plötzlich alles klar und einheitlich sein! Dem ist natürlich nicht so. Die Aufsichtsbehörden versuchen derzeit, sich im Hinblick auf die Harmonisierung der Umsetzung abzustimmen, das wird mehr oder weniger erfolgreich sein. Zu einer einheitlichen Praxisauslegung der DSGVO Bestimmungen wird es kaum führen.Es ist zu erwarten, dass es wie bei anderen Regulierungen ein aktives “Forum Shopping” (Forum shopping bezeichnet die Möglichkeit, unter mehreren zur Verfügung stehenden Gerichtsständen auszuwählen.) einsetzen wird.

*Bruno Wildhaber und Michael Erner sind akkreditierte Datenschutz Sachverständige beim Unabhängigen Landeszentrum für Datenschutz, Schleswig-Holstein (ULD) und international tätige Datenschutz Experten (Europa, Südafrika).

Was bedeutet das für uns Anwender und Anbieter von IT-Lösungen?  Das haben wir in einem  Whitepaper zusammengefasst (Download) –> Link auf der KRM Website

 


Weitere Informationen zur DSGVO:

Vergleich CH DSG neu – DSGVO

DSGVO Kurz Assessment

Umfassende Informationen rund um unsere Datenschutz-Dienstleistungen finden Sie hier.

 

DSGVO/GDPR Penetration Testing

Neu: Datenschutz Pentesting und Social Engineering!

Ab September 2017 können Sie bei uns Ihre DSGVO/GDPR Bereitschaft testen lassen! Analog von Ethical Hackern testen wir Ihre Reaktionsmuster, Organisation und Infrastruktur auf ihre Konformität mit den ab Mai 2018 geltenden DSGVO/GDPR Regeln.

Haben Sie sich schon einmal gefragt, ob ihre Organisation wirklich in der Lage wäre, die Anforderungen der neuen Datenschutz Grundverordnungen (DSGVO) zu bewältigen?
Derzeit wird viel Energie in die Prävention und vor allem  in die vertragliche Absicherung gesteckt. Alle diese Massnahmen sind notwendig, doch schiessen sie oftmals auch über das Ziel hinaus oder sind ineffizient – vor allem: Niemand weiss, wie gut die Datenschutz-Massnahmen wirklich sind! Insbesondere wird vergessen, dass das Kontrollsystem ein Ganzes bildet, welches in seiner Konzeption von Prävention, Überwachung und Wiederherstellung in sich geschlossen und integer sein muss.
Seit vielen Jahren liefert das Ethik Hacking, d.h. das Hacken im Auftrag durch Sicherheitsspezialisten, wichtige Rückschlüsse für die Aufdeckung von Sicherheitslücken. Solche Angriffe im Auftrag des Betroffenen erlauben wesentliche Aufschlüsse darüber, ob er seine Vorbereitungsarbeiten richtig ausgeführt hat. Gleichzeitig wird auch die Reaktion überprüft und die Ergebnisse zeigen schonungslos auf,  wo die Organisation wirklich steht.
Genau dasselbe unternehmen wir, wenn wir Ihre Organisation auf ihre DSGVO-Reife überprüfen. Wir simulieren dabei verschiedene Angriffsmustern, die wir entweder mit Ihnen absprechen, oder diese autonom ausführen. Der Umfang dieser Aktivitäten wird mit Ihnen im Vorfeld abgesprochen und es werden Zeit, Dauer und Intensität der Überprüfung vereinbart. Ebenso werden die Rahmenbedingungen geregelt: Soll auf die rein administrativen und organisatorischen Abläufe geprüft werden? Sollen auch technische Systeme oder der Abruf von Daten geprüft werden? Tritt man als möglicher Vertragspartner auf und lässt sich den Verkauf von Personendaten anbieten? Wie geht die Organisation mit Auftragsdatenverarbeitung um? Findet die Organisation die verlangten Personendaten innerhalb der geforderten Frist? Wie gut ist Ihre Information Governance?
Wir entwickeln vor dem Einsatz verschiedene Szenarien und spielen diese dann mit Ihnen durch.
Sind Sie interessiert? Dann verlangen Sie einen unverbindlichen Informationstermin.

30 Jahre im Kampf für Cyber Security – Gedanken eines Pioniers

Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zurück. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verlässlichkeit fort. Während das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um “Datensicherheit” eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, später aber zunehmend auch auf Netzwerke.

Parallel entwickelte sich die Kryptologie von einer rein militärisch geprägten Fachrichtung zu einer Wissenschaft, die Hoffnung und Lösungen für die zukünftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsansätze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: “From Obscurity to Security”, also der Verwendung von publizierten Algorithmen und deren Anwendung für die Sicherung von “Transaktionen” (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet nämlich u.a., dass die Verschlüsselungsverfahren für die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP liefert den Beweis dazu.

In dieser Zeit konzipierten wir bei r3 security engineering bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen für die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der  die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End hätte anbieten können. Also ein System, welches die sicherer Authentifizierung und Verschlüsselung, unabhängig von der E-Banking-Lösung, realisiert hätte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute für jedes Online-Banking eine eigene Sicherheitslösung (sic!).

Ein grosser Dank gilt Bruce Schneier, er hatte erstmals ein Kryptobuch publiziert, welches auch für den Nichtmathematiker lesbar und verständlich war (was natürlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschlüsselungsverfahren schneller ausbreiteten.

1999 wurde das Thema Informationssicherheit erstmals auch für die Chefetage zum Thema: “Mein Sohn hat übers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr”. So oder ähnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase fällt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen für die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.

Die Nullerjahre waren geprägt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Behörden 1997 mit der Strategie gescheitert waren, Verschlüsselungsverfahren zu schwächen (die berühmte 56bit Netscape-Verschlüsselungs-Diskussion), begannen sie, subtiler zu agieren.  Sie habe sich über Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man möge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches für Transparenz nicht wirklich empfänglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivitäten (Echelon) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr für Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).

Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsführung kam). De facto treten wir hier seit Langem an Ort. Ist das für die Praxis von Bedeutung? Nicht wirklich, denn die Grundübel oder politisch korrekter ausgedrückt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erhöht. Mit dem Einsatz von Windows als flächendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch hätte in den achtzigern Jahren darauf gewettet, dass dies eine  Konkurrenz für “ernsthafte” Betriebssysteme sein würde. Oder anders formuliert: Die Sicherheit der Welt hängt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) für die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch für die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universitären Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften hängen, hätten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise Lücken, die nachträglich gefüllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger wäre es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies hätte es ermöglicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.  Damit hätte man auf einen Schlag  haufenweise Probleme verhindert, z.B. Fake news,  copyright infringements etc.

Kurz und gut, alles was wir in der Cyber Security tun ist “aufgesetzt”. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt serienmässig eingebaut hatten. Vorher war das System “Auto” brandgefährlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingeführt wurde. Dummerweise hat ein Unfall im Internet wesentlich grössere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.

Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren rückläufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger verfassten Artikel “Biggest misconceptions in information security“):

  1. Die Basisinfrastruktur (HW, SW, Netzwerke) ist nicht geeignet, um sicher zu sein.
  2. Jahrelange wurde versucht, 1. zu negieren. Die Industrie suggeriert, man könne Sicherheit “einbauen”.
  3. Schäden wurden und werden nicht transparent gemacht, die Quantifizierung von erlittenen Schäden ist bis heute nicht etabliert. Die Hemmschwelle, Erfahrungen auszutauschen, hat sich eher erhöht.
  4. Organisationen banalisieren das Problem oder blocken ab, wenn unpopuläre Massnahmen getroffen werden müssten..
  5. Sicherheitssoftware ist teilweise katastrophal kompliziert (versuchen Sie mal, auf Ihrem PC ein Zertifikat zu installieren und damit eine Mali zu verschlüsseln). Zum Vergleich: Das Anlegen des Sicherheitsgurts war zwar am Anfang mit Überzeugungsarbeit verbunden, der Akt selbst war aber einfach.
  6. Die Organe (VR, GL) haben sich jahrzehntelang erfolgreich gewehrt, sich mit diesem “technischen Kram” herumzuschlagen.
  7. Die Technik kann die Probleme alleine nicht lösen. Trotzdem verspricht sie alles. Die Industrie kreiert immer wieder falsche Versprechung. Der grösste Schabernack der letzten Jahre: “Data Leakage Prevention”, implizierend, man könne das Abfliessen von Information verhindern.  Noch schlimmer ist “Firewall” = nichts Böses kann da durchdringen, dies ist eine der schlimmsten Wortschöpfungen des Internetzeitalters. Prävention wurde immer in den Vordergrund geschoben, obwohl seit Anfang des Internets klar ist, dass dem Monitoring die mindestens gleich hohe Bedeutung zukommt.
  8. Der Einfluss der nationalen Interessen (“Cyberwar”) wurde negiert oder verharmlost. Das wahre Bild zeigt sich jetzt mit den Angriffen auf die Meinungsbildung in den USA, Frankreich und später wohl auch in Deutschland.
  9. Die Rechtsdurchsetzung ist nicht möglich: Die beherrschenden Grossanbieter sowie verschiedenen Nationalstaaten foutieren sich de facto darum, dass es so etwas wie nationales Gesetz gibt. Nur was die grossen Anbieter akzeptieren, kann durchgesetzt werden. Damit wurde ein Recht geschaffen welches nicht auf  demokratischen Prinzipien basiert.
  10. Die Politik hat das Thema mangels Fachwissen und mangelndem Lobbyismus völlig ignoriert.

Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen/Prognosen:

  1. Die erfolgreichen Angriffe werden weiter zunehmen.
  2. Die Internetprotokolle werden kurzfristig nicht abgelöst werden können, weil keine Einigung erzielbar ist.
  3. Der Druck auf die Politik wächst, die allerdings nichts tun kann. Sie wird panisch reagieren und wirkungslose Massnahmen erlassen oder versuchen, das Problem mit Geld zuzudecken.
  4. Die Netzneutralität stirbt, mit ihr die neutrale Internet Governance.
  5. Der Datenschutz wird im Interesse der “Prävention” weiter ausgehebelt. Die schwachen Versuche der Industrie, sich von den Landesinteressen zu lösen, werden endgültig scheitern.
  6. Als Folge der beschriebenen Entwicklung wird das Internet “balkanisiert” werden: Auftrennung von kommerziellem vs. staatlichem vs. “verseuchtem” Internet (mache weitere, einleuchtende Beispiele…).
  7. Die Staaten erlassen zur Beruhigung der Bevölkerung eigene Cybergesetze, die aber nicht durchsetzbar sind.
  8. Schlaue Köpfe werden sichere Parallelsysteme aufbauen. Die Nutzung des Darknets steigt, es bilden sich Parallelstrukturen (vergleichbar mit Pay TV).
  9. Der Anwender steht dieser Entwicklung hilflos gegenüber. Viele werden sich wieder vom Netz entkoppeln.
  10. Die grossen Anbieter übernehmen die umfassende Kontrolle über unsere Daten und auch gleich deren Schutz.

Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken möglichst in den Begriff zu bekommen:

  1. Sensibilisierung: Schaffen Sie persönliche Betroffenheit (leider wird Ihnen das jetzt schon fast durch die aktuelle Entwicklung abgenommen); Kommunikation und Schulung hören nie auf. Setzen Sie Password-Policies durch und sanktionieren Sie knallhart, wenn diese nicht beachtet werden. Letzteres gilt für alle früheren Gentleman-Delikte im Umgang mit Cybersecurity.
  2. Es wird passieren! Deshalb muss Cybersecurity muss auf die Risk-Management Agenda. Ein regelmässige Security-Status (KPI) gehört in die GL/VR Agenda.
  3. Es braucht einen Kümmerer auf GL Ebene. Dieser muss sowohl operativ wie auch strategisch wirken können.
  4. Monitoring ist das A und O, dazu gehört auch ein ausgetestetes Krisen-Management sowie getestete Disaster-Recovery Konzepte. Sind Sie nicht in der Lage, diese Aufgabe selbst zu übernehmen beauftragen Sie Profis mit klaren SLA’s
  5. Information Governance: Das Wissen um die Daten und deren Speicherorte ist der Schlüssel für alle Sicherheitsmassnahmen. Planen Sie neue Anwendungen (Coud) oder Datenhaltungen und überlegen Sie, welche Auswirkungen diese auf die Sicherheit haben.
  6. Tauschen Sie Erfahrungen mit “Peers” aus. Machen Sie Druck auf Anbieter, welche die notwendigen Sicherheitsmassnahmen nicht umsetzen wollen.
  7. Etablieren Sie Business Continuity Konzepte, welche den Worst Case beinhalten (Nichtverfügbarkeit von Systemen und Netzwerken). Koppeln Sie Kernsystem konsequent vom Netz ab.
  8. Führen Sie umfassende Authentifizierungs- und Verschlüsselungsverfahren ein. Führen Sie Verfahren zum Schlüsselmanagement ein und überwachen Sie diese konsequent. Machen Sie Druck auf die Anbieter, brauchbare Software zu liefern.
  9. Üben Sie Druck auf die Anbieter/Hersteller aus und verlangen Sie nach geprüften Systemen und lassen sich dies vertraglich bestätigen. Verlangen Sie ebenfalls regelmässige Informationen zur Sicherheit der Produkte (z.B. Ergebnisse von Pentests).
  10. Die Zertifizierung von Software führt dazu, dass das darunter liegende OS nicht  geändert werden darf. Diese Praxis ist unhaltbar. Zertifizierer müssen ihre Verantwortung wahrnehmen,  d.h. entweder schwache Betriebssysteme grundsätzlich verbieten oder Schwachstellen darin akzeptieren. Akzeptieren Sie als Anwender keine Systeme, die nicht an die  aktuellen Sicherheitsbedrohungen adaptierbar sind.

Schlussfolgerung: Was für die Digitalisierung gilt, gilt auch für die Cybersecurity. Man hätte vieles schon lange machen können, hat es aber aus verschiedensten Gründen nicht gemacht, Bequemlichkeit ist nur einer davon. Während der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die Hände gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.

 

Sicherheit überprüfen – JETZT!

Die jüngsten Ereignisse mit Cryptolockern und Ransomware habe bewiesen: Es kann jeden treffen. Das ist keine Angstmache sondern schlichte Tatsache. Wir müssen damit leben, dass das Internet und die verwendete Hard- und Software maximal fehlerbehaftet ist. Durch die fehlerhafte Konzeption des Internets werden solche Ereignisse immer wieder vorkommen.

Als Anwender kann man sich vor solchen Angriffen nur bedingt schützen. Die Prävention hat in grossem Masse versagt und ist in vielen Fällen nicht mehr ausreichend.  Ein umfassendes Sicherheitsdispositiv verlangt nach einer ausgewogenen Balance von:

  • Prävention
  • Detektion / Erkennung
  • Korrektur

im Sicherheitsdispositiv.

Wollen Sie wissen, ob Ihre Sicherheitsvorkehrungen ausreichend sind?  Ich führe Überprüfungen / Audits Ihrer Verfahren und Technologien durch und prüfe deren Wirksamkeit.