Datenschutz & Security bei NTS
Unsere Experten geben Einblick in NTS-interne Maßnahmen zu Schutz, Sicherheit und Bedrohungen.
Datenschutz bei NTS
Wie geht NTS selbst mit dem heiklen Thema Datenschutz um?
Wir haben keine Angst vor Datenschutz! Wenn man sich gut vorbereitet und einige Grundprinzipien verstanden hat, dann ist das Thema nicht so heikel. Wir haben schon früh begonnen uns mit Datenschutz zu beschäftigen – auch weil einzelne unserer MitarbeiterInnen persönlich für das Thema zu begeistern waren. Jeder von uns ist betroffen und will höchstmöglichen Schutz seiner eigenen Daten und nach diesem Leitsatz handeln wir.
Es gibt viele Vorgaben nach der Datenschutz Grundverordnung der EU (DSGVO) und die Betriebe mussten sich hier orientieren und ein Datenschutzmanagementsystem aufbauen. Abgesehen vom erheblichen Aufwand bezüglich der Dokumentation und vielen Verträgen mit unseren Kunden und Partnern ist ein großer Teil unserer Arbeit der tatsächliche Schutz von Daten. Hier kommt unser Informationsmanagementsystem, das wir nach ISO 27001 zertifiziert haben, ins Spiel. Das ist der Rahmen und die Basis für unsere Arbeit und Leidenschaft rund um die Sicherheit der uns anvertrauten Daten. Einige von uns beschäftigen sich tagtäglich nur damit und versuchen alle Mitarbeiterinnen und Mitarbeiter mit dieser Begeisterung anzustecken.
Was wir selber als Kunde von Software und Hardware-Herstellern gebraucht haben, um den Datenschutz umzusetzen, versuchen wir nun auch unseren Kunden für unsere eigenen Produkte bereit zu stellen.
Da müssen Fragen wie:
- Welche Kategorien von personenbezogenen Daten werden im System gespeichert?
- Welche Personenkreise betrifft das?
- Unterstützt das System selber schon die DSGVO-Anforderungen?
- Muss ich eine Datenschutz-Folgeabschätzung machen?
beantwortet werden.
Wir versuchen damit auch bei unseren Produkten das Prinzip des Privacy by Design, das die DSGVO ja nur abstrakt vorgibt, zum Leben zu erwecken.
Welche Maßnahmen werden bei NTS getroffen um heikle Kundendaten zu schützen?
Wie viele Stunden haben wir Zeit, das Thema zu besprechen? Datenschutzmaßnahmen und Informationssicherheit sind SEHR umfangreiche Themen. Deshalb ist das Gebiet so spannend und keinesfalls eintönig! Das beginnt alles mit einem klaren Ziel: Wie gut möchten wir sein?
NTS hat sich zum Ziel gesetzt, dass wir zumindest dem Stand der Technik entsprechen wollen. Das beginnt mit Zutritts- und Zugangskontrollen, geht über Eingabe- und Auftragskontrollen, die Daten sollen zwischen den Kunden natürlich ausreichend getrennt sein und wir wollen auch wissen, wohin die Daten gehen.
Man sieht schon, es steckt sehr viel “Kontrolle” in diesem Thema. Das bedeutet, es werden technisch, aber auch organisatorisch die Rahmenbedingungen gesetzt. Es spielen hier klassische Disziplinen der Informationssicherheit hinein: Access Control, Personalsicherheit, Verwaltung von Assets (inkl. der Daten), physische Sicherheit, Kommunikationssicherheit, Incident Response, Vulnerability Management, Lieferanten und Partnerbeziehungen etc., aber auch “Neues” – saubere Löschkonzepte, Behaltefristen, Anonymisierung. Bei jeder Evaluierung von neuer Software, beim Einsetzen einer neuen Verarbeitungstätigkeit, bei jeder Veränderung in unseren Prozessen, muss die Situation auch aus Datenschutzsicht neu bewertet werden. Bei dem Einsatz von technischen Mitteln haben wir einen riesen Vorteil: Wir haben die Expertise im Haus. Sei es bei Netzwerk-Sicherheit, Malware-Protection oder beim Enterprise Mobility Management. Da greifen wir gerne auf die Produkte zurück, die wir selber auch vertreiben!
Wie werden Daten verarbeitet?
Grundsätzlich ist es wichtig zu verstehen, wozu NTS personenbezogene Daten überhaupt verarbeitet werden. Das Geschäftsmodell der NTS beinhaltet nicht, dass wir mit Personendaten Handel treiben. Zu keinem Zeitpunkt.
Wir brauchen wenige Daten unserer Kunden, um unsere Aufgaben als IT-Systemintegrator wahr zu nehmen, das heißt, dass unsere Mitarbeiterinnen und Mitarbeiter beispielsweise die Kontaktdaten von Kunden dazu verwenden, um unsere Services oder eine Hardware im Netzwerk des Kunden zu platzieren. Die Kontaktdaten dürfen nur zu unseren rechtlich erlaubten Geschäftszwecken verwendet werden, alles andere ist unseren Mitarbeiterinnen und Mitarbeitern verboten. Kundendaten werden in einer zentralen Datenbank verwaltet, die als Quelle für andere Systeme dient. Diese Datenbank ist Teil unseres ERP-Systems, mit dem wir unsere zentralen Geschäftsprozesse abwickeln. Die Daten werden aktiv gewartet und gepflegt.
Bei dem Einsatz von technischen Mitteln haben wir einen riesen Vorteil: Wir haben die Expertise im Haus.
Was sind die Herausforderungen für die Rechtsabteilung? Wie lässt sich das Thema Datenschutz rechtssicher und trotzdem praktikabel umsetzen?
Die zentrale Herausforderung bei diesem stark bürokratisierten Thema ist, ein gesundes Maß zu halten. Wir haben nichts davon, wenn wir hunderte Formulare einsetzen, dafür aber irgendwann keine Kunden mehr haben. Mit gesundem Hausverstand und guten Vorlagen kann man die DSGVO Compliance unkompliziert und rechtssicher erfüllen!
Dieses Spannungsverhältnis erstreckt sich aber auch auf die andere Seite. Wir merken bei unseren Kunden teilweise starke Verunsicherung. Klar – bei den Strafdrohungen möchte niemand Fehler machen. Das führt manchmal dazu, dass die Kunden eher mehr Bürokratie von uns erwarten, als für eine Zusammenarbeit nach der DSGVO erforderlich wäre. Wir stehen dabei auch vor der Herausforderung, dass wir unseren Support prozesshaft abwickeln und den Datenschutz in bestehende Prozesse integriert haben. Die Leistungserbringung erfolgt bei uns durch 250 hochqualifizierte Engineers, da skalieren bürokratische Sonderlösungen nicht mehr wirklich gut. Wir möchten unser Business das machen lassen, was es am besten kann. Als unsere wertvollste Ressource möchten wir für unsere Engineers den administrativen Mehraufwand so gering wie möglich halten. Aber wir konnten uns als verständnisvoller Systemintegrator noch mit jedem Kunden auf gemeinsame Standards und Vorgehen einigen.
Wie vermeidet NTS Fehler?
Auch hier haben wir einen risikoorientierten Ansatz gewählt. Im Mittelpunkt steht der Schutz der inhaltlichen Daten jeder betroffenen Person: Unseren Kunden gegenüber sehen wir uns in einer Garantenstellung. Das funktioniert bei uns Top-Down und ist unserem Vorstand ein besonderes Anliegen: Wir bekommen Informationen anvertraut und sehen es als selbstverständlich an, diese auch adäquat zu schützen. Nicht zuletzt stehen die personenbezogene Daten ja unter einem besonderen gesetzlichen Schutz.
Deshalb bietet die DSGVO den Behörden mehrere Anknüpfungspunkte, um Verantwortliche zu prüfen und anschließend zu bestrafen. Von der verheerenden öffentlichen Wirkung eines Datenschutzproblems reden wir hier noch gar nicht. Der naheliegendste Beginn eines solchen Verfahrens ist natürlich das Vorliegen einer Beschwerde einer betroffenen Person oder ein schweres Sicherheitsleck, das der Behörde gemeldet werden muss. Dann steht man im Scheinwerferlicht. Für beides versuchen wir, keinen Anlass zu geben und meinen, dafür exzellent aufgestellt zu sein. Datenschutz erledigt sich besser im Stillen.
Erledigt NTS den Datenschutz zu 100% selbst?
Wir haben große Expertise in der Rechtsabteilung und in den Fachabteilungen zu den Themen Daten- und Informationsschutz aus allen Blickwinkeln. Aber es ist nie gut, ausschließlich “im eigenen Saft zu schmoren”. Es war nicht leicht, einen Partner zu finden, der uns mit Erfahrung und qualifizierten Ratschlägen zur Seite stehen kann. Zu Beginn der Geltung der DSGVO kamen täglich mehrfache Werbebriefe von Beratern, die offensichtlich das Thema gerade erst entdeckt hatten.
Um mit dem Thema Datenschutz umgehen zu können braucht es aber Erfahrung. Nur haben sich vor der DSGVO nur ganz wenige Menschen dafür interessiert. Diese Erfahrung war also am Markt nur spärlich vorhanden, dafür umso besser gebucht. Die DSGVO hat ja quasi über Nacht (trotz zwei Jahren Vorlaufzeit) einen Bedarf von 75.000 zusätzlichen Datenschutzexperten geschaffen. Zum Glück hatten wir bereits intern auch in der Rechtsabteilung entsprechendes Know-how und deshalb auch bereits eine sensibilisierte Geschäftsführung, die uns das Thema mit großer Ruhe und Professionalität umsetzen ließ. Dadurch konnten wir die “Pflicht” rechtzeitig erfüllen. Mittlerweile sind wir neben einem täglichen Datenschutzbetrieb zur “Kür” übergegangen und verfeinern unser Datenschutzmanagement und unsere Policies laufend.
Welche Herausforderungen bietet das ständige Wachstum von NTS?
Wir befinden uns als mittlerweile globaler Konzern mitten im Fahrwasser der Unwegsamkeiten der DSGVO. Datenübertragungen im Konzern, noch dazu in Drittländer, sind von der DSGVO weder besonders privilegiert, noch einfach zu regeln. Das ist ein riesiger Fortschritt für die betroffenen Personen, weil man sich nicht hinter komplexen Konzernstrukturen verstecken kann, um Datenverarbeitungen zu verschleiern.
Jeder Konzernteil braucht einen legalen Zweck und eine Rechtsgrundlage, um einen Datensatz verwenden zu dürfen. Dazu muss man sich natürlich auch intensiv Gedanken über die Unternehmensprozesse und den Datenfluss im Konzern machen. Die DSGVO leitet ein Unternehmen mit der Verpflichtung eine Dokumentation zu führen mit der gebotenen Strenge an.
Schattenseiten sind die umfangreichen Vereinbarungen, die man innerhalb des Konzerns für die verflochtenen Datenanwendungen treffen muss.
Security bei NTS
Welchen Bedrohungen ist NTS (bzw. sind Unternehmen) ausgesetzt?
Eine allgemeine Antwort auf diese Frage zu geben ist nicht einfach – jedes Unternehmen muss hier selber darüber nachdenken, welche Bedrohungen sie oder ihre Industrie ausgesetzt sein könnte. Hilfreich ist eine Liste von möglichen Bedrohungen durchzugehen und man muss hier nicht unbedingt mit den Cyber-Bedrohungen anfangen. Das beginnt “banalen” Dingen wie Feuer, Blitzschlag (könnte die Verfügbarkeit stark einschränken), mit Personalausfall (Pandemie), Diebstahl oder einem Anschlag. Ein Angreifer könnte Schwachstellen (Vulnerabilities) oder Konfigurationsfehler (auch unsichere Softwareentwicklung) ausnutzen.
Ein großes Thema ist Schadsoftware – hier vor allem Ransomeware hat Hochsaison – und Phishing – oder allgemein Social Engineering. Aber auch wo Menschen arbeiten passieren Fehler, die große Auswirkungen haben können.
Also auch hier – das Thema ist SEHR vielschichtig. Aus der Schule geplaudert – wir konzentrieren uns derzeit auf den Schutz vor Social Engineering Attacken (Mitarbeiterschulungen und Awareness-Programme), auf das schnellere Finden von Schwachstellen (da hilft uns unser NTS DEFENSE Team, das dieses NTS Vulnerability Management als Managed Service auch unseren Kunden anbieten) und wir müssen und möchten noch besser dabei werden, ungewöhnliche Aktivitäten und Schadsoftware-Attacken zu erkennen. Auch hier ist unser DEFENSE Team involviert (NTS THREAT DETECTION SERVICE | SIEM).
Was ist bei NTS schützenswert?
Unsere Vorgehensweise ist risiko- und business-orientiert. Das bedeutet, dass wir die lebensnotwendigen Geschäftsprozesse (man kann aber auch Abteilungen oder Produkte der Abteilungen nehmen) der NTS identifizieren und gemeinsam mit dem Top-Management feststellen, wie wichtig die Verfügbarkeit, Vertraulichkeit und Integrität für einzelne IT-Services/Prozesse ist. Hier sind natürlich die Prozesse am wichtigsten, die unser Business am Leben erhalten. Also alles was mit der Erfüllung von Kundenverträgen zu tun hat. Beispielsweise ist eine der wichtigsten Lebensadern unser NTS OC (Operations Center).
Das muss gewisse SLAs beim Kunden einhalten – d.h. das OC hat hohe Ansprüche an die Verfügbarkeit des Netzwerkmanagement und Alarmmanagement. Wir modellieren dann Tool-gestützt die notwendigen Services bis hinunter zu Netzwerkkomponenten, wie z.B. DNS, AD. Daraus ergibt sich das Schutzniveau und die Anforderungen an die Systeme darunter. Betrachten wir die Vertraulichkeit, dann bekommen wir Zugang zu sehr sensiblen Daten unserer Kunden – diese Daten werden von uns maximal geschützt. Diesem Ziel ist alles andere untergeordnet.
Welche möglichen Schwachstellen im technischen Bereich werden ständig überwacht?
Alle. Zusammen mit unseren NTS DEFENSE Team haben wir ein System entwickelt, auf welche Schwachstellen wir uns zuerst konzentrieren. Es gibt natürlich viele Quellen, Schwachstellen mitzubekommen. Eine davon ist unser Vulnerability Management, das wir intern an das NTS DEFENSE Team ausgelagert haben.
Mit sehr engmaschigen und regelmäßigen Scans (auch lokal auf den Systemen selber) finden wir Schwachstellen (die wir nicht anders über Feeds oder Mailinglisten entdeckt haben). Die Wichtigkeit wird nach einer Formel entsprechend ihrer Kritikalität (basierend auf CVSS), der Art der Ausnutzbarkeit (remote, einfach, nur lokal, …), der Wichtigkeit des betroffenen Systems und der Erreichbarkeit des Systems eingestuft. Schwachstellen mit höchster Wichtigkeit werden schneller behoben. Ohne Spezialisten und ohne ständigem Tuning und Aufbereiten der hohen Datenmengen würde das nicht so funktionieren.
Wir haben einen Grundsatz: „Eat your own dogfood!“
Welche Sicherheitstechnologien werden bei NTS eingesetzt?
Welche Produkte wo und wie eingesetzt werden, dürfen wir aus Sicherheitsgründen nicht erzählen. Sagen wir natürlich nicht, aber wir haben einen Grundsatz: “Eat your own dogfood!” Bedeutet, dass wir die Lösungen einsetzen, die wir auch in unserem Portfolio haben. Security ist natürlich so breit, dass es Produkte gibt, die nicht bei uns auffindbar sind.
Wir setzen auf Firewalls, die wir auch unseren Kunden verkaufen. Wir setzen auf Malware und URL-Protection und natürlich Email-Security Lösungen. E-Mail ist noch immer das wichtigste Einfallstor für alle kriminellen Aktivitäten zusammen mit Social Engineering. Wir, die wir für die Sicherheit von NTS zuständig sind, sind auch immer ein wichtiger Sparring Partner und Nutznießer unserer NTS SECURITY SERVICES und unserer NTS DEFENSE Abteilung bei NTS Vulnerability Management und NTS THREAT DETECTION SERVICE | SIEM.
Wo liegen die Stärken der NTS beim Thema Security?
Ein großer Schritt in die richtige Richtung war die Entscheidung unser ISMS nach ISO 27001 zertifizieren zu lassen. Bitte nicht falsch verstehen, auch vor der Zertifizierung haben alle versucht NTS sicherer zu machen, aber eine geordnete und bewährte Vorgehensweise bringt schon viele Vorteile. Außerdem ist man dadurch auch gezwungen immer wieder seinen Standpunkt und seine Schwerpunkte zu überdenken und von unabhängigen Experten beurteilen zu lassen.
Wir haben die Produktexpertise im Haus, das heißt Fragen wie: “Mit welcher Version, in welchem Feature Set ist die Sicherheitslösung am effizientesten?” , “Wie setze ich die Lösung am effizientesten ein?” , “Welche Version der SW ist am stabilsten?” können schnell gelöst werden. Da hilft die Erfahrung unserer Experten, die auch bei Kunden tagtäglich mit diesen Fragen konfrontiert sind. Bei unseren NTS SECURITY SERVICES des DEFENSE-Teams ist der große Vorteil (den auch die Kunden haben), dass die Experten nicht nur unser System kennen, sondern auch den Blick auf andere Firmen haben und so auch nicht “betriebsblind” werden. Außerdem können wir Bedrohungslagen besser beurteilen.
Welche Vorteile ergeben sich durch zahlreiche Maßnahmen und Technologien von NTS für Kunden?
Wichtigster Vorteil für unsere Kunden ist, dass wir bewusst und fokussiert die Daten unserer Kunden schützen. Wir lernen jeden Tag Neues dazu und versuchen das intern soweit als möglich zu nutzen. Aber was wir sehen und lernen, kann indirekt auch Kunden zugute kommen. Unsere Engineers, die den Zustand unserer Systeme überwachen und unsere Schwachstellen managen, tun dies auch für Kunden. So profitieren alle. In meiner internen Funktion habe ich auch noch einen großen Nutzen – ich fokussiere mich auf Risiken, das Finden der Schwachstellen und deren Bewertung übernehmen die DEFENSE Leute.
Wie (er)lebt NTS das Thema Security im täglichen Berufsleben?
Eigentlich bei jeder Aktion, bei jedem Arbeitsschritt müssen die Mitarbeiterinnen und Mitarbeiter Sicherheit im Hinterkopf haben. Sie werden auch immer wieder an die Sicherheitsmaßnahmen erinnert, z.B. befinden sich manche in geschützten Bereichen, das bedeutet, dass sie mit ihren Zutrittskarten/Mitarbeiterausweisen die Türen öffnen müssen. Da bekommen unsere Mitarbeiterinnen und Mitarbeiter mit, dass hier Sicherheitsbarrieren eingebaut sind. Andere Maßnahmen, wie verschlüsselte mobile Arbeitsgeräte, fallen nur Spezialisten auf – aber im täglichen Arbeiten ist das keine Einschränkung.
Aufmerksamkeit bei externen Mails ist aber von jedem gefordert. Trotz hoher automatischer Unterstützung kommen immer noch vereinzelt Mails an die Empfänger, die in bösartiger Absicht geschickt wurden. Da muss jeder Einzelne aufpassen und die Legitimität der Nachricht bewerten. Auch hier helfen Profis aus, aber der schnelle (falsche) Klick soll nicht passieren.