Warum ein CISO auch als Data Privacy Officer tätig wird

Koordination der Anliegen von Sicherheitsexperten und Betriebsräten

[datensicherheit.de, 11.03.2019] Mit Rainer Rehm hat sich der Cloud Security Anbieter Zscaler einen erfahrenen Chief Information Security Officer (CISO) an Bord geholt, der gleichzeitig die Rolle des Datenschutzbeauftragten für EMEA übernimmt. In dieser Funktion tritt er in der Vertriebsphase für den Kunden als Berater auf, um die Anliegen von Sicherheitsexperten mit den Aufgaben der Betriebsräte in Einklang zu bringen. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Rehm warum diese Aufgabe als Vermittler der digitalen Transformation zunehmend gefragter wird.

Foto: Zscaler

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

ds: Warum brauchen wir heute eine Funktion, die den Kunden das Zusammenwirken von Datenschutz und Informationssicherheit erklärt?

Rehm: Wenn es um Datenschutz und Datensicherheit geht prallen in einem Unternehmen zwei Lager aufeinander, die nicht die gleiche Sprache sprechen. Die Betriebsräte (BR) leiten ihre Aufgabe aus dem Betriebsverfassungsgesetz ab. Der Sinn dieses Gesetzes ist der Schutz der Mitarbeiter vor allmächtiger Überwachung und Ausnutzung der schwächeren Position der Mitarbeiter. Die BR befassen sich mit abstrakten Themen und deren juristischen Definitionen und mit dieser Begrifflichkeit tut sich die IT-Abteilung schwer. Darüber hinaus sind auch die tatsächlichen Bestimmungen im täglichen Miteinander von Belang im Sinne dessen, was durchgeführt werden darf und was nicht.

Die Sicherheitsverantwortlichen brauchen für die technische Umsetzung von Datensicherheit klare Anweisungen und entsprechende Prüfverfahren, wie Hardening-Guides, welche die Systemkonfigurationen und Services definieren oder Checklisten, die belegen, dass alle notwendigen Maßnahmen für das Sicherstellen der Datensicherheit ergriffen wurden. Mit ihren Checklisten liefern sie Nachweise, die den Datenschützern und Auditoren den Beleg für die Sicherheit bieten. Was in dieser Gleichung der Security-Compliance fehlt, ist der Bogen zum Geschäftsrisiko eines Unternehmens. Zieht man das Business Risk in die Überlegungen von Datenschutz und Datensicherheit mit ein, bekommt man es mit entgegengesetzten Polen der gleichen Diskussion zu tun.

ds: Wie kann man diese entgegengesetzten Lager vereinen? Denn letztlich geht die Sicherheit des Unternehmens ja alle Parteien etwas an.

Die Datenschützer müssen mit den Security-Verantwortlichen ins Gespräch kommen. Dazu ist oftmals eine vermittelnde Funktion erforderlich, welche die Sprachen beider Pole spricht – eine Art Übersetzer. Jedes Lager hat seine eigene Fachterminologie und oftmals fehlendes Verständnis für die Gegenseite. Die IT-Abteilung kommuniziert mit der Sprache der Techniker und deren spezifischen Komponenten, dagegen die BR und Juristen reden in Begrifflichkeiten, die der IT Security-Spezialist nicht versteht.

Ein Beispiel: Privacy by Design trifft im Unternehmensalltag auf AES 265 Verschlüsselung. Genau an dieser Stelle kommt ein externer Vermittler ins Spiel, der als CISO in Personalunion mit dem Datenschutzbeauftragten beide Lager versteht. Als Mittelsmann springt er in die Bresche und sorgt dafür, dass Technik-, Juristenterminologie und auch die darunter liegenden Ansätze in Einklang gebracht werden können. Er sorgt zudem dafür, dass die Nachweise vorhanden sind, sei es als Betriebsvereinbarung oder als technischer Nachweis.

ds: Ist es die Cloudifizierung oder die DSGVO, die beide Pole zur Kooperation zwingt?

Beide Strömungen geben hier die entscheidenden Impulse. Ursprünglich war die IT-Abteilung in der Pflicht, inhouse die geforderte Sicherheitsinfrastruktur bereitzustellen und durch die getroffenen Maßnahmen die Compliance mit den Datenschutzanforderungen zu gewährleisten. Durch die Verlagerung der Sicherheitsfunktion aus dem Rechenzentrum in die Cloud – also den Bezug von Security as a Service – muss die IT-Abteilung den Cloud-Anbieter mit den Fragenstellungen der Sicherheit konfrontieren. Auch hier spielt der Compliance-Beauftragte/Auditor eine wichtige Rolle, denn er muss wiederrum überprüfen, ob alle rechtlichen Anforderungen durch den Service-Provider abgedeckt werden. Die Verantwortung wird in einem solchen Szenario an den Service-Anbieter delegiert, wobei sichergestellt werden muss, dass die nötige Sicherheitsfunktion bereitgestellt wird.

ds: Oft will in Puncto Sicherheit auch der Betriebsrat mit in die Diskussion einbezogen werden, wobei dieser dann wiederum andere Interessen vertritt. Wie kann ein CISO hier vermitteln?

Im Gespräch mit dem Betriebsrat kommt tatsächlich das Abwägen zwischen den Interessen des Unternehmens hinsichtlich Cybersecurity-Maßnahmen und den Interessen der BR auf den Tisch. Eine der Kernaufgaben des Betriebsrats besteht im Schutz der Mitarbeiter vor Leistungsüberwachung. Abgeleitet aus dem Betriebsverfassungsgesetz fordert der Betriebsrat ein Mitspracherecht und thematisiert Ängste der Mitarbeiterüberwachung durch den Einsatz technischer Lösungsansätze. Ein solcher Lösungsansatz ist beispielsweise das Aufbrechen von SSL-verschlüsseltem Datenverkehr zur Untersuchung auf Malware. Das Unternehmen rechtfertigt diese Maßnahme durch die Zunahme von Schadcode, der hinter der Verschlüsselung verborgen in Unternehmensnetzwerke eingeschleust wird, wie der jüngste Cloud Security Insights Report von Zscaler belegt.

Das Aufbrechen der verschlüsselten Datenströme zum Malware-Scan ist aus Sicht der Unternehmer erforderlich, um langfristig einen sicheren Betrieb zu garantieren. Denn wird durch eingeschleuste Malware die Kernkompetenz des Unternehmens ausgespäht, Baupläne oder Prozessbeschreibungen abgezogen, kann der Fortbestand eines Unternehmens gefährdet sein. Eine solche Kompromittierung muss die Unternehmensführung aus wirtschaftlichen Gründen verhindern um Arbeitsplätze zu erhalten. Auch der Betriebsrat möchte die Sicherheit des Arbeitsplatzes für den Mitarbeiter gewährleisten. So gesehen verfolgen der Unternehmer und der Betriebsrat den gleichen Zweck. Um beide Pole zusammenzubringen ist wiederum ein (externer) Berater hilfreich, der die Anliegen beider Seiten kennt und vermitteln kann. Ein CISO und Datenschutzbeauftragter kann dem Betriebsrat verdeutlichen, welche Maßnahmen, wie beispielsweise ein Vier-Augen-Prinzip in Bezug auf das SSL-Scanning, getroffen wurden, um die Funktion der Datensicherheit zu gewährleisten und zeitgleich den gläsernen Mitarbeiter zu verhindern.

ds: Und durch die DSGVO wird die Aufgabe zusätzlich um weitere Komponenten angereichert?

Durch die Grundverordnung sind Unternehmen in der Pflicht, zusätzlich zu Datensicherheit und Datenschutz noch eine weitere Ebene der Compliance abzudecken. Sie betrifft die Datenerhebung und -verarbeitung. Privacy by Design trifft also auf Privacy by Default! Aufbauend auf dem Datenschutzgesetz gilt es bei ersterem zu überlegen, welche Maßnahmen ergriffen werden müssen, dass nichts Unerwünschtes mit den Daten passieren kann – also die Absicherung des Datenverkehrs und der Datenverarbeitung gegen unbeabsichtigte Zugriffe. Andererseits muss bei Privacy by Default ein Kontakt im ersten Schritt explizit einwilligen, dass seine Daten überhaupt erhoben werden dürfen. In der Praxis bereitet dieser Teil der Umsetzung den Unternehmen das größere Kopfzerbrechen. Um nur ein Beispiel zu nennen befinden sich Cookies in aller Regel bereits auf der ersten Webseite eines Unternehmens und werden dort abgegriffen, bevor die Anfrage eingeblendet wird zum Einholen der Erlaubnis. Es gibt also durch die DSGVO zusätzlichen Aufklärungsbedarf, der die Datenschützer und CISOs weiterhin beschäftigen wird.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019