Mehr als 800 Millionen Datensätze mit vertraulichen Informationen lagen bis vor wenigen Wochen offen auf der Webseite eines US-amerikanischen Immobiliendienstleisters vor. Darunter: Sozialversicherungsnummern und Kontoauszüge von Kunden sowie firmeninterne Dokumente. Ein Fiasko, und ein vermeidbares noch dazu. So etwas kann in Deutschland nicht passieren – oder?
„Immobilienfirmen erhalten Unmengen von personenbezogenen Daten: Von Mietern und Interessenten, aber auch von Handwerkern, Zulieferern und natürlich den eigenen Mitarbeitern“, sagt IT-Sicherheitsexperte Dr. Hubert Jäger von der TÜV SÜD-Tochter Uniscon. „Diese Daten sind selbstverständlich angemessen zu schützen.“ Auch im Facility Management oder wenn beispielsweise der digitale Zwilling eines Gebäudes in die Cloud gebracht werden soll, sind die datenschutzrechtlichen Anforderungen zu beachten. Kluge Unternehmen, so Jäger, kümmern sich um die Datensicherheit – doch auch hier können rechtliche Stolpersteine lauern.
Herausforderung Datenschutz
„Hinreichenden Datenschutz zu gewährleisten, wie er unter anderem in der DSGVO bei der Verarbeitung personenbezogener Daten gefordert wird, stellt viele Immobilien-Unternehmen vor eine echte Herausforderung“, sagt Jäger. „Wer etwa vertrauliche Daten im eigenen Rechenzentrum verarbeitet, ist dazu verpflichtet, seine Mitarbeiter durch geeignete Maßnahmen vom Zugriff auf sensible Informationen ausschließen.“
Bei der Nutzung von externen Cloud-Diensten sei es noch schwieriger, hinreichenden Datenschutz zu gewährleisten und den gesetzlichen Kontrollpflichten nachzukommen. Jäger: „Viele Cloud-Anbieter setzen auf eine Kombination von organisatorischen und technischen Maßnahmen, um unerwünschte Zugriffe auszuschließen. Gerade organisatorische Schutzmaßnahmen, wie etwa Rechte und Rollenkonzepte, lassen sich aber mit relativ wenig Aufwand umgehen.“ Daher könnten diese Dienste nicht das hohe Sicherheitsniveau bieten, das der Gesetzgeber für die Verarbeitung derart schutzbedürftiger Daten voraussetzt.
Datenschutz durch Technik?
Als Alternative schlägt Jäger Dienste und Infrastrukturen vor, die den Schutz vertraulicher Daten mit rein technischen Mitteln realisieren – denn diese lassen sich nicht ohne weiteres umgehen: „Betreibersichere Infrastrukturen schließen durch einen Satz miteinander verzahnter technischer Maßnahmen jeglichen unbefugten Datenzugriff aus – auch durch den Betreiber der Infrastruktur selbst.“
Mit dieser fortschrittlichen Zero-Trust-Technologie, so Jäger, könnten sensible Daten nicht nur sicher übertragen und gespeichert werden, sondern wären auch bei ihrer Verarbeitung in der Cloud geschützt, und zwar sowohl gegen externe als auch interne Angreifer. Passende Zertifizierungen erleichtern den Verantwortlichen überdies die Ausübung ihrer Kontrollpflichten. So bilden betreibersichere Infrastrukturen die ideale Basis für alle digitalen Geschäftsmodelle, bei denen hochsensible Daten erhoben und verarbeitet werden.
Weitere Informationen zu Uniscon stehen im Lösungskatalog zur Verfügung.