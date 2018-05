Dies ist ein zentrales Ergebnis der Studie „Internet of Things in Deutschland 2018", für die IDC im Januar 2018 über 400 Unternehmen und Behörden aus acht Branchen in Deutschland befragt hat. Doch wenn die EU-Datenschutz-Grundverordnung, kurz DSGVO, Ende Mai in Kraft tritt, stellen die Datenschätze industrielle Betriebe vor große Herausforderungen: Die erzeugten Daten müssen datenschutzkonform gesichert, gespeichert und archiviert werden. Sensoren erzeugen große Mengen von Daten Das Internet of Things führt dazu, dass in Produktionsanlagen und Maschinenparks immer mehr Sensoren zum Einsatz kommen. Die kleinen Helfer erzeugen ununterbrochen Produktionsdaten und Messwerte, zum Energieverbrauch ganzer Maschinen und Anlagen genauso wie einzelner Geräte und Bauelemente. So liefern sie wertvolle Daten über Maschinen, Produkte oder Transportmittel. Diese Daten können zu einer besseren Entscheidungsfindung im Management beitragen. Und sie eröffnen industriellen Betrieben die Möglichkeit, ganze Anlagen und einzelne Komponenten vorausschauend zu warten – Stichwort Predictive Maintenance – was langfristig zu spürbaren Einsparungen führen und teure Produktionsausfälle verhindern kann. Smart Factory: DSGVO betrifft auch den Maschinenraum Doch es reicht nicht, die Daten zu erfassen, zu analysieren und zu bewerten. Die wachsenden Informationsmengen müssen auch gespeichert, gesichert und archiviert werden. In großen industriellen Betriebe erreichen die aggregierten Daten leicht über ein Terabyte und bringen damit die Kapazitäten mancher Rechenzentren an ihre Grenzen. Die Situation verschärft sich dadurch, dass eine Analyse der Daten erst dann richtig wertvoll wird, wenn diese über viele Jahr gesammelt und aufbewahrt werden. Die wachsenden Datenmengen zu speichern, zu sichern, zu strukturieren, zu analysieren und gewinnbringend zu nutzen, ist für viele IT-Verantwortliche in der industriellen Fertigung eigentlich schon Herausforderung genug. Dazu kommen aktuell noch die Anforderungen der DSGVO. Industrie-4.0-Anwendungen wie IoT verbreiten sich rasant und mit ihnen auch die Verbindung von Maschinendaten und Personenbezügen. Leider ist die Auffassung weit verbreitet, die DSGVO betreffe vor allem die Personalabteilung, da hier auf den ersten Blick ersichtlich mit personenbezogenen Daten gearbeitet wird. Dabei wird übersehen, dass in der Smart Factory auch Maschinendaten wie Kennnummern, Standortdaten oder Maschinennamen Rückschlüsse auf konkrete Personen und beispielsweise deren Verhalten oder Leistung zulassen – seien es Mitarbeiter, die die Maschinen führen oder warten, Kunden oder Geschäftspartner wie beispielsweise Zulieferer. Und Maschinendaten mit Personenbezug unterliegen, auch wenn der Bezug nicht auf den ersten Blick erkennbar ist, den Regelungen der DSGVO. Und so zeigt auch die IDC-Studie weiter, dass etwa 20 Prozent der befragten Maschinen- und Anlagenbauer befürchten, dass IoT zu Sicherheitslücken in den IT-Systemen führt und dass sie Schwierigkeiten haben, den Datenschutz durchzusetzen. Die DSGVO erfordert eine Konsolidierung der IT-Landschaft Der industrielle Mittelstand ist gezwungen, seine IT-Landschaft grundlegend zu erneuern beziehungsweise zu konsolidieren. Denn die DSGVO ist keinesfalls eine rein juristische Angelegenheit, die allein in den Verantwortungsbereich der Rechtsabteilung oder des Datenschutzbeauftragten fällt. Wenn es darum geht, die neuen Gesetze im Betrieb einzuhalten, spielt die Technologie eine entscheidende Rolle. Und so führen die Regelungen aktuell zu hohem Handlungsdruck in den IT-Abteilungen. Leider gibt es keine universelle DSGVO-konforme Lösung – allein deshalb, weil es noch gar keine Zertifizierung hierfür gibt. Das heißt konkret: Keine Software oder Hardware kann zum jetzigen Zeitpunkt sicherstellen, dass alle Anforderungen der DSGVO erfüllt werden. Es ist dennoch machbar, zentrale Aspekte hinsichtlich Backup, Archivierung und Desaster Recovery zu berücksichtigen und gleichzeitig die Auswirkungen der Verordnung auf den täglichen Betriebsablauf zu begrenzen. Die DSGVO bietet zudem eine gute Gelegenheit, betriebseigene Datenflüsse nicht nur auf Compliance, sondern auch auf die Sicherheit hin zu überprüfen. Die EU-Verordnung empfiehlt eindeutig verschiedene Techniken wie Verschlüsselung, Anonymisierung und Pseudonymisierung. IT-Verantwortliche, die diese Vorgaben berücksichtigen, tragen nicht nur entscheidend zu einer datenschutzkonformen IT ihres Arbeitgebers bei, sondern verbessern gleichzeitig die Sicherheit. Data Discovery: Voraussetzung für erfolgreiche Datenlöschung Die DSGVO sieht für EU-Bürger ein Recht auf Vergessenwerden vor. Fordert eine Person – dies kann ein Kunde sein, ein Mitarbeiter eines Zuliefererbetriebes oder ein interner Mitarbeiter – ein Unternehmen auf, ihre Daten zu löschen, muss dieses innerhalb eines Monats sicherstellen, dokumentieren und nachweisen, dass alle Spuren restlos aus allen Systemen entfernt wurden. Das gilt auch für Backups mit langer Aufbewahrungsfrist und für Datenarchive mit Tausenden von Einträgen. Die Basis eines DSGVO-konformen Daten-Managements liegt daher in der Ist-Analyse der Systeme. Das Ziel ist eine lückenlose Transparenz, Stichwort Data Discovery. Denn nur wer weiß, wo sich die Daten befinden, kann garantieren, sie auch vollständig zu löschen. Backups und Archive: Bestehendes hinterfragen Die meisten Betriebe haben Backup-Aufbewahrungsfristen von drei bis fünf Wochen und die Daten laufen in der Regel automatisch mit den Backups ab, in denen sie gespeichert sind. Backups können jedoch auch länger aufbewahrt werden. Sofern der Daten-Controller aus anderen Compliance-Gründen die Daten länger aufbewahrt, wird das Recht auf Vergessenwerden nicht angewendet. In jedem Fall ist es ratsam, die eigenen Prozesse grundlegend zu hinterfragen: Müssen alle Daten wirklich gesichert werden? Und ist es vielleicht ohnehin an der Zeit, einen neuen Archivierungsprozess zu starten? Daten, die in den Archivspeicher verschoben wurden, sind nicht mehr Teil des regulären Sicherungsprozesses. Daher sind weniger Daten durch die IT zu sichern und die Sicherungsvorgänge laufen entsprechend zeitsparender ab. Vor dem Hintergrund der DSGVO ist das Archiv datenschutzfreundlicher als das Backup, denn es speichert die Daten in der Regel im nativen Format. Der Vorteil: Der Datenschutzbeauftragte kann direkt auf Daten zugreifen, ohne Unterstützung vom IT-Team anzufordern. Dies bedeutet eine weitere Zeitersparnis für die IT-Abteilung. Ein angemessenes Sicherheitsniveau gewährleisten Die DSGVO verpflichtet dazu, technische und organisatorische Maßnahmen zu ergreifen, die ein Sicherheitsniveau gewährleisten, dass dem Risiko angemessen ist. Personenbezogene Daten sind – neben dem Einsatz von sicheren Backups – während des gesamten Lebenszyklus durch Verschlüsselung zu schützen. Aber eine lückenlose Verschlüsselung allein reicht nicht. IT-Verantwortliche sollten weitere Tools für die Datensicherheit implementieren. Sinnvoll ist zum Beispiel eine Lösung, die vertrauliche Daten inklusive aller Restdaten sicher und dauerhaft von den Festplatten löschen kann. (Autor: Stéphane Estevez, Quantum)

