This post is also available in: English (Englisch)
Sie staunen? Sie haben den Eindruck, dass Informationssicherheit heute ein sehr wichtiges Thema ist? Dann deckt sich ihre Einstellung mit meiner. Die Datenschutzgesetze und vor allem die DS-GVO bilden die Bedeutung der Informationssicherheit in keiner Art und Weise ab (Art. 32 hat gerade mal 4Absätze, eigentlich nicht mehr als eine Randnotiz). Hier hat man nichts gemacht und nicht einmal die alten Bestimmungen aus den bestehenden Datenschutzgesetzen übernommen. Natürlich spricht man von technischen und organisatorischen Massnahmen und fordert adäquate Sicherheitsmassnahmen. Das reicht nirgends hin. Gibt es dafür einen Grund? Ich kann mindestens einen Erklärungsversuch liefern:
In der Praxis ist der Sicherheitsbeauftragte der natürliche Feind des Datenschützers.
Datenschutz bleibt blanke Theorie, wenn man die notwendigen Sicherheitsmassnahmen nicht implementiert. Viele Datenschützer sehen aber Sicherheitsmassnahmen primär als Bedrohung für ihre Klientel, nämlich die Arbeitnehmer (dies gilt v.a. für Deutschland, wo der Datenschutz vielfach der verlängerte Arm des Betriebsrats ist). Diese sollen ausspioniert werden, ihre Arbeit wird überwacht, ihre persönlichen Vorlieben sollen durch den Arbeitgeber erfasst werden. Diese Art von Datenschutz dient primär der Selbstbefriedigung der selbst ernannten Datenschutz-Missionare.
Aus unternehmerischer Sicht muss man dafür sorgen, dass ALLE Daten (und damit meine ich sowohl die Unternehmensdaten wie auch die Daten von Arbeitnehmern), richtig geschützt sind und die Risiken bekannt sind und eingegrenzt werden können.
Die Bedrohungen, denen Daten ausgesetzt sind, haben aber in einem solchen Mass zugenommen, dass eine lapidare Formulierung, so wie sie heute im Gesetz vorgesehen ist, nicht mehr reicht. Das Gesetz mag die Informationssicherheit nicht bewusst herabsetzen, doch der Anwender gewinnt den Eindruck, es genüge, Datenschutzerklärungen zu erstellen und Einverständniserklärungen zu formulieren.
Datenschutz besteht aus 40% Informationssicherheit, 40% Information Governance und 10% Prozesse und 10% Richtlinien und Verträgen. Auf Grund einer aktuellen Umfrage des KRM verfügt die Mehrzahl der Schweizer Unternehmen nicht über ein Informationssicherheits-Management. Sie kennen deshalb auch die Risiken nicht, denen sie ausgesetzt sind. In einem sehr aktiven Cybercrime Umfeld ist dies mehr als bedenklich.
