Wie geht Input for You mit vertraulichen Daten um?

Wenn Unternehmen ihre Dokumente und Daten Input for You anvertrauen, vertrauen sie damit auch ihre sensibelsten Informationen an: Kundendaten, Finanzdaten, medizinische Unterlagen, Personaldokumente, Verträge und so weiter. Die logische Frage ist, wie Sie sicherstellen, dass diese Daten sicher und vertraulich bleiben?

Wir haben diese Frage an Pierre De Landsheere, den externen Sicherheitsbeauftragten von Input for You, gestellt. Pierre berät das Unternehmen seit mehr als zehn Jahren in Sachen Informationssicherheit, Datenschutz und Zertifizierung.

Input for You: “Pierre, was halten Sie generell von der Art und Weise, wie Input for You mit vertraulichen Daten umgeht?”

Pierre De Landsheere: “Im Großen und Ganzen gibt es zwei Aspekte, die immer Hand in Hand gehen müssen: Politik und Praxis.

Politik bedeutet, dass man sagt, was man zu tun gedenkt. Praxis bedeutet, das zu tun, was Sie versprochen haben. Sie können keine ernsthafte Informationssicherheit oder Vertraulichkeit bieten, wenn eine dieser beiden Komponenten fehlt oder nicht aufeinander abgestimmt ist.

Bei Input for You orientieren wir uns an der Norm ISO 27001 für Informationssicherheit. Das bedeutet, dass wir ein Informationssicherheitsmanagementsystem (ISMS) eingeführt haben. Dieses System schützt alle wichtigen Aspekte, wie Informationssicherheit, Compliance, Datenschutz, Datensicherheit und Risikomanagement.

Einmal im Jahr überprüft ein externer akkreditierter Prüfer, ob unsere Politik alle Anforderungen der ISO-Norm erfüllt. Dabei handelt es sich um eine unabhängige Prüfung unseres gesamten Regelwerks. Und dann beginnt der wichtigste Teil: sicherzustellen, dass das, was auf dem Papier steht, auch in der Praxis jeden Tag umgesetzt wird.

Input für Sie: “Wie wirkt sich diese Politik konkret auf unser Tagesgeschäft und den Umgang mit den Daten unserer Kunden aus?'

Pierre De Landsheere: “Hier gibt es mehrere Ebenen: Organisation, Technologie und Grundsätze.

Ein wichtiger Grundsatz ist das risikobasierte Arbeiten. Wir ermitteln die Risiken und ergreifen Maßnahmen, um sie so weit wie möglich zu verringern. Dies kann technische Maßnahmen, Prozesse, aber auch Entscheidungen in der Infrastruktur betreffen.

Wir beschränken zum Beispiel bewusst den Teil unseres Betriebs, der im öffentlichen Internet sichtbar ist. Je kleiner die Angriffsfläche ist, desto geringer ist die Wahrscheinlichkeit, dass jemand dort eindringt, wo er nicht hingehört.

Ein weiterer Grundsatz ist die Beibehaltung der Kontrolle. Input for You kauft seine eigene Hardware, verwendet seine eigene Ausrüstung und verwaltet alles so weit wie möglich selbst. Die Speicherung, Verarbeitung und Übermittlung von Kundendaten wird so weit wie möglich im eigenen Haus durchgeführt. So haben wir die maximale Kontrolle darüber, was mit diesen Daten geschieht.

Schließlich engagieren wir uns stark für Automatisierung und Systemintegration. Je weniger manuelle Eingriffe erforderlich sind, desto geringer ist das Risiko menschlicher Fehler. Aber auch hier basiert alles auf diesem Risikoansatz und ist in das Managementsystem nach ISO 27001 eingebettet, so dass wir keine blinden Flecken in unserem Betrieb haben.”

Input für Sie: “Die Vorschriften für Daten und IKT werden immer strenger. Denken Sie an GDPR und seit kurzem an DORA im Finanzsektor. Wie gehen wir damit um?”

Pierre De Landsheere: “Innerhalb des ISO-Rahmens liegt der Schwerpunkt ausdrücklich auf den gesetzlichen und vertraglichen Verpflichtungen. Das bedeutet, dass wir nicht nur auf unser eigenes Haus schauen, sondern auch auf die Vorschriften, die für unsere Kunden gelten.

Nehmen Sie zum Beispiel DORA (Digital Operational Resilience Act), einen neuen Regulierungsrahmen für den Finanzsektor, speziell für IKT und Outsourcing. Input for You ist ein Outsourcing-Partner für viele Akteure in diesem Sektor. Das bedeutet, dass wir ihnen helfen müssen, ihre Verpflichtungen zu erfüllen.

Deshalb bauen wir gezielt Fachwissen über diese Vorschriften auf. Wir verfolgen, was unsere Kunden betrifft, welche Anforderungen ihre Aufsichtsbehörden stellen und wie wir proaktiv Informationen und Nachweise dafür liefern können.

Kurz gesagt, wir beschränken uns nicht nur auf unseren eigenen Bereich, sondern wir schauen auch unseren Kunden über die Schulter, wenn es um ihre Verpflichtungen geht und wie wir ein zuverlässiges Glied in diesem Prozess sein können.

Input für Sie: “Unsere Kunden sind oft große Organisationen mit vielen Beteiligten. Wie können wir sicherstellen, dass jeder auf seine Weise mit Vertraulichkeit und Sicherheit zurechtkommt?”

Pierre De Landsheere: “Das ist richtig. Input for You selbst ist relativ klein, aber unsere Kunden sind oft große Akteure. Bei einem typischen Anruf sind zwei Personen auf unserer Seite und acht bis zehn auf der Seite des Kunden anwesend. Das sind Profile aus der Wirtschaft, dem Projektmanagement, den Sicherheitsbeauftragten, der Informationssicherheit, der Compliance und dem Einkauf, die alle ihre eigene Perspektive haben.

Ein wichtiger Teil unserer Arbeit ist daher das Stakeholder-Management. Es ist fast eine Kunst, die richtigen Informationen zur richtigen Zeit an die richtige Person zu bringen. Ein Sicherheitsbeauftragter möchte andere Details sehen als ein Projektmanager oder jemand aus dem Einkauf.

Deshalb arbeiten wir mit einer Kombination aus:

Standarddokumentation, die unsere Richtlinien und Verfahren in Bezug auf Informationssicherheit und Vertraulichkeit beschreibt.
Projektspezifische Antworten, zugeschnitten auf die Art der Daten, die Art des Prozesses, die Kritikalität und die Risiken.

Und wenn Kunden noch mehr Gewissheit wollen, bieten wir auch Transparenz vor Ort. Manche Kunden wollen unser Rechenzentrum selbst sehen. Also ziehen wir unsere Schutzkleidung an, gehen gemeinsam in den Serverraum und zeigen ihnen im wahrsten Sinne des Wortes, wo ihre Daten gespeichert sind und wo sie verarbeitet werden. Diese Art von Offenheit schafft viel Vertrauen.”

Input für Sie: “Wenn ein neuer Kunde, z. B. eine Versicherungsgesellschaft, mit uns zusammenarbeiten möchte, wie ist dann der Ansatz in Bezug auf vertrauliche Daten und Sicherheit?”

Pierre De Landsheere: “Eigentlich beginnt es oft schon vor dem eigentlichen Projektstart. In der Vorverkaufsphase erhalten wir regelmäßig umfangreiche Sicherheitsbewertungen, insbesondere aus der Finanzwelt. Dabei handelt es sich oft um umfangreiche Tabellen mit Hunderten von Fragen zur Informationssicherheit, zum Datenschutz, zur Infrastruktur, zu den Prozessen und so weiter.

Darüber hinaus gibt es NDAs (Geheimhaltungsvereinbarungen) und zusätzliche Fragerunden, bevor überhaupt von einem ersten Pilotprojekt die Rede ist. Das ist ganz normal. Die Kunden wollen genau wissen, wohin ihre vertraulichen Daten gehen.

Sobald das Projekt tatsächlich angelaufen ist, werden wir es prüfen:

Welche Dokumente und Daten wir verarbeiten werden.
Wie kritisch der Prozess ist, z. B. ein sechsmonatiges Archivierungsprojekt oder Prozesse mit einem SLA von vier Stunden.
ob die Verarbeitung vollständig automatisiert ist oder ob manuelle Schritte erforderlich sind.

Auf dieser Grundlage dimensionieren wir die Infrastruktur, legen Maßnahmen fest und sorgen dafür, dass der Ansatz dem Risikoprofil des Projekts entspricht. Auf diese Weise vermeiden wir unangenehme Überraschungen in Bezug auf Kapazität, Sicherheit oder Zuverlässigkeit.”

Input für Sie: “Wir arbeiten manchmal mit externen Technologien oder Partnern zusammen, zum Beispiel für bestimmte Automatisierungen oder Tools. Wie können wir in solchen Fällen die Vertraulichkeit der Daten sicherstellen?”

Pierre De Landsheere: “Das ist ein sehr wichtiger Punkt, denn wir bleiben für die Daten, die wir verarbeiten, verantwortlich, auch wenn wir mit Dritten zusammenarbeiten.

Wir versuchen, zwei Dinge zu tun:

Wir machen so viel wie möglich selbst. Deshalb haben wir unser eigenes Rechenzentrum, unsere eigenen Server und unsere eigene Infrastruktur.
Wenn wir mit externen Parteien zusammenarbeiten, bevorzugen wir Parteien, mit denen wir direkten Kontakt haben, und nicht anonyme öffentliche Clouds, in denen man in der Masse verschwindet.

Wir wollen vermeiden, dass Daten “irgendwo in der Cloud” abgelegt werden, ohne dass klar ist, wo sie physisch landen und was genau mit ihnen geschieht.

Wir arbeiten mit Dritten auf der Grundlage klarer Vereinbarungen zusammen. Wenn wir beispielsweise einen externen Dienst in Anspruch nehmen, bitten wir darum, dass keine Daten von dieser Partei dauerhaft gespeichert werden. Die Daten werden verarbeitet, an uns zurückgegeben und verbleiben dann bei uns. Dadurch werden die Auswirkungen eines möglichen Vorfalls bei dieser dritten Partei begrenzt.

All dies fällt unter das Risikomanagement für Dritte, für das sich auch die Regulierungsbehörden stark engagieren. Wir betrachten dies in zwei Richtungen: wir gegenüber unseren Lieferanten und wir als Lieferant gegenüber unseren Kunden.

Input für Sie: “Die Cyberkriminalität wird immer raffinierter. Die Angreifer suchen ständig nach neuen Wegen, um an Daten zu gelangen. Wo setzen wir in diesem Kampf unsere Prioritäten?”

Pierre De Landsheere: “Das größte Risiko ist oft nicht der hochentwickelte Hack, sondern der menschliche Faktor. Jemand klickt auf den falschen Link, erkennt eine verdächtige E-Mail nicht oder wird am Telefon mit einer glaubwürdigen Geschichte angesprochen.

Deshalb setzen wir uns nachdrücklich dafür ein:

Sensibilisierung unserer Mitarbeiter dafür, was man niemals tun sollte, wie man verdächtige Anzeichen erkennt und was zu melden ist.
Kompartimentierung der Systeme, damit ein Vorfall begrenzt bleibt und sich nicht wie ein Lauffeuer über das gesamte Netz ausbreiten kann.
Überwachungstools, die ständig überwachen, was auf unseren Servern, unserem Netz und unseren Systemen geschieht, und verdächtige Aktivitäten aufdecken.

Darüber hinaus wenden wir das Prinzip der mehreren Verteidigungsschichten an. Sie können niemals in einem einzigen Schritt auf unsere Systeme zugreifen. Der Zugang wird zum Beispiel gewährt über:

Ein VPN mit Zwei-Faktor-Authentifizierung.
Ein separates Login für interne Systeme, mit eigenen Rechten und Kontrollen.

Wenn eine Schicht irgendwo durchbrochen wird, sind Sie immer noch nicht “das Herzstück” des Systems. Das Risiko ist nie gleich Null, aber diese Art von mehrschichtiger Sicherheit verringert die Wahrscheinlichkeit ernsthafter Zwischenfälle erheblich.

Input für Sie: “Wie bleiben wir über neue Bedrohungen und Entwicklungen im Bereich der Internetkriminalität informiert?”

Pierre De Landsheere: “Nicht alles, was man in der Zeitung liest, ist für eine Organisation wie Input for You relevant. Das Risiko für ein Kernforschungszentrum ist ein anderes als das für ein Unternehmen, das Dokumente verarbeitet.

Wir arbeiten mit einer Kombination aus:

Sicherheitsprodukte mit integrierter Intelligenz, wie Virenschutz, Bedrohungserkennung und Netzwerksicherheit. Diese werden ständig mit neuen Informationen über Bedrohungen aktualisiert.
Überwachungslösungen auf verschiedenen Ebenen der Infrastruktur, die verdächtige Muster erkennen, ohne dass wir alles selbst analysieren müssen.

Man muss kein Virenexperte sein, um eine gute Antivirensoftware zu nutzen. Das Gleiche gilt hier: Wir kaufen das richtige Fachwissen über Tools und kombinieren es mit unserer eigenen Risikoanalyse und Infrastrukturgestaltung.

Input für Sie: “Wie stellen wir sicher, dass die Sicherheit und der Schutz vertraulicher Daten langfristig auf dem erforderlichen Niveau bleiben, wenn ein Kunde einmal live ist?”

Pierre De Landsheere: “Das ist eine Kombination aus periodischen Kontrollen und kontinuierlichen Prozessen.

Jedes Jahr führen wir u. a. folgende Maßnahmen durch

Penetrationstests, um neue Schwachstellen aufzuspüren.
Netzwerk-Scans, um die Infrastruktur systematisch zu überprüfen.
Das externe ISO 27001-Audit, bei dem geprüft wird, ob unser gesamtes Managementsystem noch konform ist.

Darüber hinaus laufen interne Prozesse wie Risikomanagement, Störungsmanagement, Überwachung, Backup und Disaster Recovery kontinuierlich ab.

Außerdem ist es wichtig, dass wir unsere IT-Infrastruktur so weit wie möglich standardisieren. Ein Ansatz für Backups, ein Ansatz für Disaster Recovery, ein globales Überwachungssystem. Auf diese Weise vermeiden wir ein Wirrwarr von Ausnahmen und stellen sicher, dass alles unter dieselbe Schutzschicht fällt.

Wir zeichnen uns bei unseren Dienstleistungen durch Individualisierung aus. Im Kern der IT und der Infrastruktur streben wir nach Standardisierung, gerade weil sie sicherer und handhabbarer ist.”

Input für Sie: “Abschließend: Wie sehen Sie die Zukunft der Datensicherheit und der Vertraulichkeit in unserem Kontext?”

Pierre De Landsheere: “Die Zukunft wird sicherlich mehr Integrationen und Automatisierung mit Dritten bringen. Das ist fast unvermeidlich. Die große Herausforderung besteht dann darin, die Kontrolle darüber zu behalten, was mit den Daten geschieht - vertraglich, rechtlich und betrieblich.

KI und neue Tools machen vieles möglich, aber oft ist das Modell so, dass man Daten über den Zaun wirft und etwas zurückbekommt, ohne genau zu wissen, was auf dem Weg dorthin passiert. Das ist ein grundlegendes Problem für vertrauliche Daten.

Bei Input for You versuchen wir, diese Kontrolle zu behalten. Entweder machen wir die Dinge selbst, oder wir stellen sicher, dass wir ausreichend Mitspracherecht und Einblick in die Verarbeitung haben, ganz im Sinne der DSGVO, die sich auf den Zweck und die Mittel der Datenverarbeitung bezieht.

Eines ist sicher: Es wird eine weitere Integration und Automatisierung geben. Unsere Aufgabe ist es, dafür zu sorgen, dass unsere Kunden uns ihre vertraulichen Daten während dieser Entwicklung vertrauensvoll anvertrauen können, denn wir überwachen Kontrolle, Aufsicht und Sicherheit als Teil unserer Dienstleistung.

Über Pierre De Landsheere

Pierre De Landsheere ist seit über zehn Jahren der externe Sicherheitsbeauftragte von Input for You. Er berät mehrere Unternehmen in Sachen Informationssicherheit, ISO 27001-Zertifizierung und GDPR-Compliance. In dieser Funktion hilft er Input for You, mit neuen Vorschriften, technologischen Entwicklungen und Kundenerwartungen Schritt zu halten, ohne dabei die Vertraulichkeit und Sicherheit der Daten aus den Augen zu verlieren.