Datenschutzverletzungen sind heute alltÀglich. Das VerstÀndnis der Bedrohungslandschaft ist in der Folge mehr als nur eine Aufgabe des Risikomanagements. Es ist ein strategischer Imperativ, der in alle ArbeitsablÀufe eingebettet werden muss.

Im Jahr 2023 stiegen die öffentlich gemeldeten Datenkompromittierungen um 78 % und erreichten insgesamt 3.205 VorfĂ€lle. Dies entspricht einem Anstieg von 72 % gegenĂŒber dem bisherigen Höchststand von 1‘860 Datenkompromittierungen im Jahr 2021, wie aus dem Data Breach Report 2023 des Identity Theft Resource Center (ITRC) hervorgeht.

Im MĂ€rz haben wir einen Artikel veröffentlicht, in dem wir eine FĂŒnf-Schritte-Strategie fĂŒr mehr Sicherheit und Compliance vorgestellt haben. In diesem Monat gehen wir nĂ€her auf Schritt 3 ein: die Abstimmung von Datenschutzinitiativen mit den GrundsĂ€tzen des Risikomanagements.

Im Zeitalter der Digitalisierung ist der Schutz sensibler Daten von grösster Bedeutung. Das exponentielle Wachstum von Daten bringt einen entsprechenden Anstieg der Risiken mit sich, was robuste Datenschutzstrategien unerlÀsslich macht.

Verantwortlichkeiten des Risikomanagements in einer datengesteuerten Welt

Laut Forbes „stieg die Menge der weltweit erstellten, erfassten, kopierten und verbrauchten Daten von 2010 bis 2020 von 1,2 Billionen Gigabyte auf 59 Billionen Gigabyte – ein Wachstum von fast 5.000 %.“ Und fast in der Mitte des nĂ€chsten Jahrzehnts, Anfang 2024, lag die globale Gesamtmenge bei 5,35 Milliarden Terabyte (oder 5,35 Zettabyte) . IDC sagt voraus, dass dieses Volumen bis 2025 auf 175 Zettabyte ansteigen wird. Das ist ein atemberaubendes Tempo. Es bringt komplexe Risiken mit sich, die sich auf alle Branchen auswirken.

In der heutigen vernetzten Welt, in der Cyber-Bedrohungen von ĂŒberall kommen, kann die Bedeutung des Datenschutzes gar nicht hoch genug eingeschĂ€tzt werden. Je mehr Ihr Unternehmen digitalisiert wird, desto mehr sensible Informationen sind in Ihrer Verantwortung. Aber wer ist in diesem Zusammenhang „Sie“?

Die einfache Antwort lautet „alle“. Welche Funktion Sie auch im Unternehmen innehaben, die Chancen stehen gut, dass Sie sowohl Daten verarbeiten als auch erstellen. Und mit der Verbreitung von KI-gestĂŒtzten Werkzeugen, kann es sich so anfĂŒhlen, als wĂŒrde man Katzen hĂŒten. Oder anders ausgedrĂŒckt: Es ist praktisch unmöglich, den Überblick zu behalten und diese Daten zu schĂŒtzen. Ein grundlegender Schritt auf dem Weg zum Risikomanagements ist es, allen Beteiligten zu vermitteln, welche wichtige Rolle sie beim Schutz der Daten und damit des Unternehmens spielen. Autor David Brin stellte fest: „Wenn es um Datenschutz und Verantwortlichkeit geht, verlangen die Menschen immer Ersteres fĂŒr sich selbst und Letzteres fĂŒr alle anderen.“

Aus diesem Grund sind wir der Meinung, dass Identity Access Management (IAM) an der Spitze von Datenschutzinitiativen steht. IAM dient als TorwĂ€chter zu digitalen Bereichen. Damit sorge sie fĂŒr Klarheit, indem sie Zugriffsrechte, Authentifizierung und Autorisierung regelt und damit die DatenintegritĂ€t stĂ€rkt.

Hindernis oder doch lieber Chance?

Die Risikolandschaft zu navigieren wird nicht einfacher. Doch anstatt dies als Hindernis zu sehen, sollten wir sie als Chance begreifen.

Die PwC-Studie 2023 Global Risk Survey hebt mehrere wichtige Trends hervor und zeigt auf, wie Unternehmen diese Herausforderungen als Chancen begreifen können:

  1. Zunehmende Risikobelastung: Über 70 % der FĂŒhrungskrĂ€fte gaben an, dass Umfang und KomplexitĂ€t der Risiken in den letzten drei Jahren zugenommen haben. Dies deutet auf ein sich schnell verĂ€nderndes Risikoumfeld hin, in dem sich die Unternehmen zurechtfinden mĂŒssen.
  2. Strategisches Risikomanagement: Etwa 60 % der Unternehmen beziehen das Risikomanagement in ihre strategische Planung ein. Diese Integration hilft den Unternehmen, ihre Risikostrategien auf ihre Gesamtziele abzustimmen und potenzielle Bedrohungen in Chancen fĂŒr Wachstum und Innovation zu verwandeln.
  3. Technologie und Datenverwendung: 59 % der FĂŒhrungskrĂ€fte gaben an, dass fortschrittliche Technologien wie KI und Datenanalyse fĂŒr das Risikomanagement entscheidend sind. Diese Tools ermöglichen eine bessere Vorhersage, Identifizierung und AbschwĂ€chung von Risiken und erhöhen die WiderstandsfĂ€higkeit des Unternehmens.
  4. Fokus auf Cybersicherheit: 80 % der Befragten rĂ€umen Massnahmen zur Cybersicherheit PrioritĂ€t ein. Dieser Schwerpunkt ist entscheidend fĂŒr den Schutz digitaler Werte und die Aufrechterhaltung des Vertrauens der Stakeholder in einer zunehmend digitalen Unternehmenslandschaft.
  5. Einhaltung gesetzlicher Vorschriften: Die Einhaltung der sich entwickelnden Vorschriften ist eine grosse Herausforderung. 65 % der FĂŒhrungskrĂ€fte betonen, wie wichtig es ist, den Änderungen der Vorschriften immer einen Schritt voraus zu sein. Proaktive Compliance-Strategien können rechtliche Probleme verhindern und eine Kultur der Verantwortlichkeit fördern.

Diese Erkenntnisse machen deutlich, wie komplex und herausfordern die Risikolandschaft ist. Unternehmen, die strategisches Risikomanagement, Technologie und proaktive Compliance nutzen, verwandeln diese Herausforderungen in Chancen fĂŒr WiderstandsfĂ€higkeit und Wachstum.

Die Wichtigkeit der Datenklassifizierung

Bei ERP-Systemen ist die Klassifizierung der Daten nach ihrer KritikalitĂ€t und SensibilitĂ€t von entscheidender Bedeutung. Diese Klassifizierung ist ein Garant fĂŒr die DatenqualitĂ€t und die Einhaltung von Vorschriften. ERP-Systeme sind umfassende Softwareplattformen, die zur Verwaltung und Integration wichtiger GeschĂ€ftsprozesse firmenĂŒbergreifend eingesetzt werden. Hier werden riesige Datenmengen gespeichert, die von Finanzdaten ĂŒber Personalinformationen bis hin zu Details des Lieferkettenmanagements reichen. Das VerstĂ€ndnis und die richtige Klassifizierung dieser Daten hat höchste PrioritĂ€t.

Bei der Klassifizierung werden die Daten nach ihrer Wichtigkeit und SensibilitĂ€t kategorisiert. Dieser Prozess hilft bei der Festlegung, wie Daten behandelt und geschĂŒtzt werden sollten. In ERP-Systemen spielt die Datenklassifizierung aus mehreren GrĂŒnden eine entscheidende Rolle:

  • Datensicherheit: Durch die Klassifizierung von Daten nach ihrer SensibilitĂ€t können Organisationen geeignete Sicherheitsmassnahmen ergreifen, um sensible Daten vor unbefugtem Zugriff und Verstössen zu schĂŒtzen. So erfordern beispielsweise personenbezogene Daten (PII) oder Finanzdaten ein höheres Sicherheitsniveau als allgemeine Betriebsdaten. (Microsoft)
  • Einhaltung gesetzlicher Vorschriften: Verschiedene Datentypen unterliegen unterschiedlichen rechtlichen Anforderungen. So mĂŒssen Finanzdaten beispielsweise Standards wie dem Sarbanes-Oxley Act (SOX) entsprechen, wĂ€hrend gesundheitsbezogene Daten dem Health Insurance Portability and Accountability Act (HIPAA) genĂŒgen mĂŒssen. Eine ordnungsgemĂ€sse Klassifizierung stellt sicher, dass Unternehmen diese gesetzlichen Verpflichtungen erfĂŒllen und so rechtliche Strafen und RufschĂ€digung vermeiden (IBM).
  • Effiziente Datenverwaltung: Die Klassifizierung von Daten hilft dabei, sie effektiver zu verwalten. Sie ermöglicht es Unternehmen, kritische Daten zu priorisieren und sicherzustellen, dass sie korrekt, zugĂ€nglich und sicher sind. Dies fĂŒhrt zu einer verbesserten Entscheidungsfindung und betrieblichen Effizienz. (Microsoft)

ERP-Systeme integrieren und speichern Daten aus verschiedenen UnternehmensaktivitÀten. Die KritikalitÀt und SensibilitÀt dieser Daten ist sehr unterschiedlich:

  • Kritische Daten: Dazu gehören Daten, die fĂŒr den alltĂ€glichen Betrieben des Unternehmens unerlĂ€sslich sind. Beispiele hierfĂŒr sind LagerbestĂ€nde, Informationen zur Auftragsabwicklung und Finanztransaktionen. Jede Kompromittierung oder jeder Verlust von kritischen Daten stört den GeschĂ€ftsbetrieb und fĂŒhrt zu erheblichen finanziellen Verlusten.
  • Sensible Daten: Dies bezieht sich auf Daten, die aufgrund von Datenschutz- oder Sicherheitsbedenken geschĂŒtzt werden mĂŒssen. Beispiele sind Mitarbeiterdaten, Kundeninformationen und geschĂŒtzte GeschĂ€ftsinformationen. Sensible Daten ĂŒberschneiden sich oft mit kritischen Daten, unterstreichen aber die Notwendigkeit von Datenschutz- und Sicherheitskontrollen, um unbefugten Zugriff und Datenverletzungen zu verhindern.

Ein derartiges VerstÀndnis erleichtert Digitalisierungsinitiativen und ermöglicht, Daten zu klassifizieren.

5 Schritte zur effektiven Datenklassifizierung

Nachdem wir die Bedeutung der Datenklassifizierung beschrieben haben, wollen wir uns nun eine 5-Schritte-Strategie fĂŒr eine erfolgreiche Umsetzung ansehen. Von Anfang an ist es wichtig, daran zu denken, dass diese GrundsĂ€tze sowohl fĂŒr Stammdaten (Produkt, Preis, Lieferant usw.) als auch fĂŒr Transaktionsdaten gelten mĂŒssen, die Ihr Unternehmen mit externen Quellen verbinden:

  1. Identifizieren Sie Datentypen: Beginnen Sie mit der Identifizierung und Katalogisierung aller im ERP-System gespeicherten Datentypen. Dazu mĂŒssen Sie die Quelle, das Format und die Verwendung der einzelnen Datentypen kennen.
  2. Definieren Sie Klassifizierungskriterien: Legen Sie Kriterien fĂŒr die Klassifizierung von Daten auf der Grundlage ihrer KritikalitĂ€t und SensibilitĂ€t fest. Dabei können Faktoren wie die potenziellen Auswirkungen eines Datenverlusts, gesetzliche Vorschriften und der erforderliche Grad der Vertraulichkeit berĂŒcksichtigt werden.
  3. Klassifizierungsebenen zuweisen: Weisen Sie den Daten auf der Grundlage der definierten Kriterien Klassifizierungsstufen zu. Zu den ĂŒblichen Klassifizierungsstufen gehören öffentlich, intern, vertraulich und eingeschrĂ€nkt.
  4. Implementierung von Sicherheitskontrollen: Implementieren Sie auf der Grundlage der Klassifizierungsstufen geeignete Sicherheitskontrollen zum Schutz der Daten. Dazu können VerschlĂŒsselung, Zugriffskontrollen und regelmĂ€ssige Audits gehören, um die Einhaltung der Sicherheitsrichtlinien zu gewĂ€hrleisten.
  5. RegelmĂ€ssige ÜberprĂŒfung und Aktualisierung der Klassifizierungen: Die Datenklassifizierung sollte keine einmalige AktivitĂ€t sein. ÜberprĂŒfen und aktualisieren Sie die Klassifizierungen regelmĂ€ssig, um Änderungen in der Datennutzung, den gesetzlichen Anforderungen und den geschĂ€ftlichen PrioritĂ€ten Rechnung zu tragen.

Weitere Informationen zur Implementierung eines effektiven und sicheren ERP-Systems finden Sie in dem ausgezeichneten 9-seitigen Leitfaden von Forbes zu diesem Thema.

Datenschutz und Risikomanagement in Einklang bringen

Und damit kommen wir zurĂŒck zum Hauptthema dieses Artikels, der Verbindung zwischen Risikomanagement und Datenschutz. Die Auswahl an Governance-, Risiko- und Compliance-Tools (GRC) ist unendlich.  und die AngriffsflĂ€che fĂŒr Angriffe wĂ€chst mit dem Boom der Automatisierung und dem Einsatz von kĂŒnstlicher Intelligenz. Der Einsatz von Strategien wie Identity Access Management (IAM) in Verbindung mit einem soliden Datenklassifizierungssystem innerhalb einer effektiven Enterprise Resource Platform (ERP) ist die beste Chance, diese Risiken in echte Chancen zu verwandeln: Chancen,

  • Vertrauen bei Ihren Mitarbeitern und Kunden aufzubauen,
  • sich mit besseren Produkten und zuverlĂ€ssigeren Dienstleistungen von der Konkurrenz abzuheben,
  • den Wert von Daten durch KI-Trainingsmodelle und die von ihnen gesteuerten Anwendungen zu nutzen.

Und die Möglichkeit, den Wert des Unternehmens zu erhöhen, indem Sie die Kontrolle ĂŒber Ihre digitalen Ressourcen ĂŒbernehmen, anstatt sich von ihnen kontrollieren zu lassen.