In der Datenschutzverwaltung erfasste Daten bleiben unter Ihrer Kontrolle.
Datenhoheit
Um die Anforderungen der DSGVO umzusetzen, müssen Sie alle technischen und organisatorischen Maßnahmen beschreiben, welche Soft- und Hardware zum Einsatz kommt, wie für den Datenschutz relevante Verantwortlichkeiten geregelt sind, mit welchen Vertragspartnern Sie zusammenarbeiten etc.
Das bedeutet, dass Sie bspw. angeben müssen, wie Ihre Gebäude und die IT gesichert sind, welche Sicherheitsmaßnahmen gelten, welche konkreten IT-Geräte und welche konkreten Software-Produkte Sie einsetzen, welche Mitarbeiter für was verantwortlich sind, welche Dienstleister sich um Ihre IT oder die Gebäudereinigung kümmern. Das sind ohne Frage kritische Daten und stellen lohnende Angriffsziele dar.
Diese Informationen sollten also äußerst gut gesichert und aufbewahrt werden. Stellen Sie sich vor, was passieren würde, wenn diese Daten in die falschen Hände geraten würden. Ein Angreifer kann mit den Informationen maßgeschneiderte Angriffe auf Ihre IT oder per Phishing auf Ihre Mitarbeiter starten. Klassische Einbrecher wissen genau, wo sich Sicherheitssysteme befinden und von welchem Anbieter diese sind, was die Ermittlung möglicher Sicherheitslücken sehr vereinfacht.
Ob man diese Daten in einem fremden Rechenzentrum (den Computern anderer Leute) speichern sollte, sollte gut überlegt sein. Wahrscheinlich sind die Daten dort nach heutigem Stand sicher verschlüsselt, aber gilt das auch noch in einigen Jahren? Es bringt nichts, wenn die Daten zwar immer mit der aktuell bestmöglichsten Lösung verschlüsselt werden, aber in der Vergangenheit Daten entwendet wurden. Diese profitieren von der neuen Verschlüsselung nicht. D.h. dass selbst 10 Jahre alte Daten sehr wahrscheinlich noch aktuelle Informationen enthalten, denn Sie werden kaum alle paar Jahre die Gebäude, die komplette IT-Infrastruktur oder Belegschaft austauschen.
Und das bisher Geschriebene bezieht sich nur auf die Verschlüsselung, was ist mit unzufriedenen Mitarbeitern (der entlassene Admin), heute noch unbekannten Sicherheitslücken, nicht oder zu spät installierten Sicherheitsupdates, nicht mehr gepflegten Fremdbibliotheken, menschlichem Versagen, fehlendem geeigneten Personal oder Knowhow etc.? Was passiert mit Ihren Daten, wenn der Anbieter seine Dienste einstellt oder aufgekauft wird?
In der Informationssicherheit gibt es bei der Risikobewertung die beiden Begriffe Kumulations- und Verteilungseffekt.
Unter dem Kumulationseffekt versteht man, dass durch das Zusammenfassen mehrerer weniger schützenswerter Systeme oder Daten insgesamt ein hoher Schutzbedarf entstehen kann. Bei SaaS-Lösungen werden die Daten vieler Organisationen gemeinsam gespeichert. Selbst wenn die Daten jedes einzelnen Unternehmens für sich betrachtet uninteressant sind, kann die Gesamtheit der Daten ein lohnendes Angriffsziel bieten.
Der Verteilungseffekt stellt das Gegenteil des Kumulationseffekt dar. Hierbei werden durch das Verteilen mehrerer jeweils besonders schützenswerter Systeme oder Daten die Ausfallsicherheit erhöht oder die Angriffsfläche verringert. Wenn Sie also die Daten Ihrer Organisation möglichst getrennt von den Daten anderer Organisationen verwalten, dann müssen potentielle Angreifer wesentlich mehr Aufwand betreiben, um die gleiche Ausbeute an Daten zu erhalten wie bei einem Angriff auf ein einzelnes Ziel.
Die Datenschutzverwaltung bietet als klassische Desktop-Anwendung eine Alternative zu den verbreiteten SaaS-Lösungen („Software as a Service“, die Anwendung läuft im Browser, die Daten werden in einem fremden Rechenzentrum gespeichert). D.h. Sie behalten die Kontrolle über die Daten und legen selbst fest, wo Sie die Daten speichern wollen. Das schließt natürlich nicht aus, dass Daten entwendet werden können, aber Ihre Daten liegen nicht mit den Daten von vielen anderen Unternehmen zusammen an einem Ort. Ein potentieller Angreifer muss also viele Angriffe starten, um an die gleiche Datenmenge zu kommen wie bei einem Angriff auf ein einzelnes Rechenzentrum.
Das zum Einsatz kommende Datenbanksystem ist dabei äußerst flexibel, Sie können die Datenbanken fast überall einsetzen. Sie können diese auf dem lokalen PC, einem Server oder einem NAS speichern- Sie könnten die Datenbanken auch auf einer verschlüsselten externen Festplatte speichern und diese nach jedem Gebrauch entfernen.
Auch der Einsatz in der Cloud ist möglich, wenn Sie das wollen. Da Sie dabei sehr wahrscheinlich die Kontrolle über das verwendete Cloud-System innehaben (Hybrid-Cloud) und die Daten dadurch nicht zentral, sondern verteilt gespeichert werden (also nicht zusammen mit den Daten vieler anderer Unternehmen) kann das einen gangbaren Mittelweg darstellen.
Ergänzung vom 20.04.2023
Nachdem Microsoft angekündigt hat, in Office 365 eine Unterstützung durch die KI GPT4 zu implementieren (Quelle), sollte das jedem Benutzer von SaaS-Lösungen (oder ganz allgemein Cloud-Produkten) zu denken geben. Denn damit KI-Modelle ihre beeindruckenden Resultate liefern können, müssen sie trainiert werden und zum Training werden Milliarden echte Datensätze benötigt.
Microsoft sagt zwar, dass sie Kundendaten „[…] nur für die Erbringung der vereinbarten Dienste verwenden und für Zwecke, die mit der Bereitstellung dieser Dienste vereinbar sind.“ (siehe oben verlinkten Artikel). Aber wer kontrolliert die Einhaltung und wer definiert, was „vereinbar“ ist? Wie soll der Benutzer einen „heimlichen“ Missbrauch bemerken? Es geht hier um sehr viel Geld, die großen Anbieter stehen bei der KI-Entwicklung in scharfem Konkurrenzkampf.
Es liegt also zumindest nahe, dass die von den Benutzern erstellten Dokumente starke Begehrlichkeiten wecken und als Trainingsdaten missbraucht werden könnten. In der Vergangenheit wurde die KI „GitHub Copilot“ mit Open-Source-Code trainiert, was zumindest stark umstritten ist (GitHub gehört seit 2018 zu Microsoft): „Bislang vertreten Microsoft und viele andere Firmen im KI-Sektor die Auffassung, dass die Nutzung urheberrechtlich geschützter Inhalte zum Training von KI-Modellen nach US-amerikanischem Recht erlaubt sei.“ (Quelle)
Es wäre also durchaus denkbar, dass Sie die KI nach Zahlen oder Interna eines Konkurrenten fragen könnten. Da die KI damit trainiert wurde, könnte sie das auch liefern. Wahrscheinlich werden entsprechende Filter vorgeschaltet, so dass das nicht ohne Weiteres möglich ist. Aber funktioniert das auch zuverlässig? Wer stellt sicher, dass die Daten nicht für lukrative Zusatzgeschäfte in Form einer Auskunftei oder für Wirtschaftsspionage etc. verwendet werden?
Das birgt auch gleich ein weiteres Risiko: KI funktioniert (noch) nicht zuverlässig, oft werden falsche Aussagen als Tatsachen dargestellt (Beispiel). Was passiert, wenn bei einer Abfrage falsche Zahlen geliefert werden? Sind sie zu hoch, bekommen Sie beispielsweise Probleme mit dem Finanzamt, sind sie zu niedrig, dann bekommen Sie Probleme mit der Bank, Geschäftspartnern oder Investoren.
Und das Geschriebene gilt nicht nur für Microsoft, sondern für alle Abieter, die Cloud-Lösungen anbieten. Wenn Sie (wichtige und/oder kritische) Daten auslagern, geben Sie die Kontrolle darüber ab.
