Auch wenn die Datenschutz-Grundverordnung (DSGVO) nun bereits mehr als zwei Jahre alt ist, liegt in vielen Unternehmen noch einiges im Argen. Diese Einschätzung stammt von Robert Engel, Geschäftsführer der Raz-Lee Security GmbH. Im Interview mit dem Midrange Magazin (MM) skizziert er unter anderem, welche Aktionen unbedingt ausgeführt werden sollten.
MM: Die Datenschutzgrundverordnung ist nun seit zwei Jahren gültig – wie steht es um die Umsetzung dieser Vorgaben in den Unternehmen?
Engel: Wir haben vor dem Mail 2018 ein erhöhtes Interesse an Technologien feststellen können. Unternehmen hatten sich mit den technisch-organisatorischen Maßnahmen beschäftigt und wer „DSGVO-compliant“ sein wollte, hat das auch umgesetzt. Bei vielen anderen Firmen ist außer Dokumentation noch wenig passiert. Hier ist noch viel zu tun.
MM: Was sollten Unternehmen schleunigst umsetzen, wenn sie ihre Hausaufgaben noch nicht gemacht haben?
Engel: Die DSGVO spricht in ihren Erwägungsgründen und Artikeln eindeutig von Maßnahmen die umzusetzen sind. Wir haben dies in einem Datenblatt aufgegriffen und Vorschläge gemacht, wie wir die Realisierung sehen. Jedes Unternehmen mit IBM i im Einsatz kann sich das kostenlos bei uns abrufen und zumindest mal anfangen zu lesen, welche Maßnahmen notwendig sind und wie diese mit unseren Modulen erledigt werden können.
MM: Welche Tools haben sich in der Zwischenzeit als besonders hilfreich bei der Umsetzung von technischen Maßnahmen erwiesen?
Engel: Eine große Rolle spielt die Verschlüsselung von Daten. Hierfür haben wir ein extra Modul zur Feldverschlüsselung für IBM i-Daten entwickelt. Das lässt sich ganz einfach implementieren, besticht durch einfache und verständliche Administration, ist sicher und performant. Auch deshalb, weil wir uns hier durch verschiedene innovative Merkmale deutlich von Mitbewerbern abheben.
MM: Wie wichtig ist es, dass die Hersteller von Software im Entwicklungsprozess auf die Vorgaben durch den Datenschutz Rücksicht nehmen – Stichwort Testdaten?
Engel: Viele Unternehmen, die eigene Software entwickeln, haben Testsysteme im Einsatz. Oftmals werden hier nur Kopien der Echtdaten zum Testen zur Verfügung gestellt. Das ist natürlich „suboptimal“, Testsysteme sollten auch mit Testdaten versehen werden. Wir selbst bieten hier keine Lösung an, verweisen aber gerne auf die Firma ARCAD die mit dem Anonymizer ein Werkzeug genau dafür anbietet.
MM: Welche Aktualisierungen darf ein Softwareanwender von seinem Lieferanten erwarten?
Engel: Wartungsgebühren bezahlen und keinen Gegenwert bekommen ist schlimm. Wir haben uns selbst verpflichtet, einen Großteil der Wartungseinnahmen in Produktinnovation und -entwicklung zu stecken. Das Ergebnis ist, dass wir regelmäßig komplett neue Module entwickeln, und bestehende Module dynamisch weiterentwickeln. Unsere Hauptmodule erfahren durchschnittlich zwei bis drei neue Versionen pro Jahr!
MM: Wie schätzen Sie das Gefährungspotenzial durch die Advanced Persistent Threads – APTs – heutzutage ein?
Engel: Verschlüsselungstrojaner sind einfach zu bauen oder zu erwerben und werden in guter Qualität massenhaft verbreitet. Da passiert es recht häufig, eine Mail eines Lieferanten zu öffnen, die tatsächlich nicht von diesem stammt. Schon ist es passiert und bevor der Anwender überhaupt weiß, was geschieht, ist sein Rechner mit allen verbundenen Netzlaufwerken verschlüsselt.
MM: Wie können sich Unternehmen dagegen am besten wappnen?
Engel: Wir haben mit iSecurity Advanced Thread Protection, kurz ATP, ein weltweit einzigartiges Modul zur Abwehr von solchen Verschlüsselungstrojanern für IBM i entwickelt. Zuverlässig überwacht ATP die Verbindungen zu PCs und kappt diese sofort, wenn Verschlüsselungsaktivitäten festgestellt werden. Damit werden vielleicht ein bis zwei Dateien verschlüsselt, der Rest bleibt aber verschont.
Rainer Huttenloher
