In 67 Prozent der deutschen Unternehmen werden vorhandene Richtlinien zur Datenlöschung außerdem nicht ausreichend kommuniziert
Einer Studie der Blancco Technology Group zufolge gehen einige der größten deutschen Unternehmen hohe Risiken bei der Erstellung, Umsetzung und Kommunikation ihrer Datenschutzrichtlinien ein. Für die Studie „Data Sanitization: Policy vs. Reality“, die von Blancco in Zusammenarbeit mit Coleman Parkes erstellt wurde, wurden 1,850 Entscheidungsträger von Unternehmen weltweit befragt. Das Ergebnis zeigt, dass die Datenschutzrichtlinien hinsichtlich ihrer Ausarbeitung und Umsetzung oftmals nicht geeignet sind, um in jeder Phase eine vollständige Datenlöschung der vorhandenen IT-Assets zu gewährleisten.
Obwohl 98 Prozent der insgesamt 259 Unternehmen, die in Deutschland befragt wurden, über eine Richtlinie zur Datenlöschung verfügen, haben 49 Prozent diese nach eigenen Angaben noch nicht unternehmensweit kommuniziert. Darüber hinaus halten sechs Prozent der Unternehmen ihre Richtlinien für nicht abschließend ausgearbeitet. In insgesamt 67 Prozent der Unternehmen in Deutschland fehlt es an einer unternehmensweiten, effektiven und regelmäßigen Kommunikation der Datenlöschrichtlinien. Die Folge ist ein höheres Risiko für Datenschutzverletzungen.
Weitere Schwachstellen bei der Festlegung und Umsetzung von Richtlinien zur Datenlöschung sind u. a.:
Keine zentrale Verantwortung für das Löschen von IT-Assets: 14 Prozent der Mitarbeiter sind beim Ausscheiden aus dem Unternehmen selbst für die Verwaltung und Kontrolle bei der Rückgabe ihrer IT-Geräte verantwortlich. Weitere 22 Prozent übertragen diese Verantwortung auf ihren direkten Vorgesetzten. Falls weder die Mitarbeiter noch deren direkte Vorgesetzte ausreichend über die existierenden Datenlöschrichtlinien und -verfahren informiert wurden, bedeutet dies ein deutlich höheres Risiko, dass sensible Daten nicht richtig gelöscht werden und in die falschen Hände gelangen könnten.
Horten von IT-Geräten in Lagerräumen: Die Mehrheit (89 Prozent) der Unternehmen in Deutschland gab zu, die Daten auf ihren IT-Geräten nicht unmittelbar am End-of-Life zu löschen. Besonders besorgniserregend ist, dass etwas mehr als zwei Drittel (67 Prozent) der Firmen angaben, länger als einen Monat zu benötigen, um den Löschvorgang durchzuführen. Bei knapp einem Viertel (24 Prozent) sind es sogar mehr als drei Monate. Das ist länger als in allen anderen Ländern, in denen die Studie durchgeführt wurde. Dadurch gehen diese Unternehmen das Risiko ein, dass Geräte verloren gehen oder gestohlen werden und es zu Datenschutzverletzungen kommt.
Off-site-Datenlöschung: 49 Prozent der Firmen in Deutschland lassen ihre mobilen Altgeräte off-site durch externe Anbieter löschen. Bei PCs und Laptops sind es 37 Prozent. Die Beauftragung eines externen Anbieters, der Altgeräte abholt, um sie zu löschen, ist per se nichts Schlechtes, birgt aber gewisse Risiken. Diese sind vor allem dann besonders groß, wenn Unternehmen keinen vollständigen Überblick über die Chain-of-Custody ihrer IT-Geräte und somit auch keine Möglichkeit haben, zu beweisen, dass ihre auf den Geräten befindlichen Daten während des Transports nicht kompromittiert wurden. Aus diesem Grund ist es unerlässlich, dass externe Anbieter für Datenlöschung einen detaillierten Audit-Trail für die gesamte Chain-of-Custody und die zertifizierte Datenlöschung liefern.
Fehlen klarer Zuständigkeiten für die Umsetzung von Richtlinien zur Datenlöschung: Obwohl 61 Prozent der Befragten in Deutschland nach eigenen Angaben der Meinung sind, dass die Verantwortung für die Einhaltung der Richtlinien zur Datenlöschung in ihrem Unternehmen klar kommuniziert wurde, zeigen die Antworten auf die Frage, wer für deren Umsetzung verantwortlich ist, ein sehr heterogenes Bild. Insgesamt 25 Prozent der befragten Unternehmen gaben an, dass dies Aufgabe des Datenschutzbeauftragten ist. Dahinter folgen der Chief Financial Officer (CFO) mit 13 Prozent, der Leiter der Rechtsabteilung mit 12 Prozent sowie der Leiter der IT-Abteilung bzw. der Chief Information Security Officer (CISO) mit 11 Prozent. Dieses Fehlen einer klaren Verantwortlichkeit könnte den Schluss nahelegen, dass die Datenbereinigung für viele Unternehmen lediglich eine von vielen Aufgaben ist, die es abzuhaken gilt, um den Compliance-Vorschriften zu genügen oder betriebliche Anforderungen zu erfüllen, und dass das Thema Datenschutzrisiken nicht ernst genug genommen wird.
„Das Fehlen robuster Datenlöschrichtlinien in deutschen Unternehmen ist alarmierend“, so Fredrik Forslund, Vice President, Enterprise and Cloud Erasure Solutions bei Blancco. „Wenn sie es versäumen, für jede Phase des Datenlebenszyklus effektive Richtlinien zu formulieren und zu. kommunizieren, stellt dies eine große potenzielle Gefahr für Unmengen sensibler Daten dar. Es ist deshalb unerlässlich, Prozesse mit klaren Verantwortlichkeiten einzurichten und die Kontrolle der Umsetzung dieser Prozesse dem obersten Führungsteam zu übertragen, um diese Risiken zu minimieren. Obwohl 25 Prozent der deutschen Unternehmen die Umsetzung ihrer Richtlinien zur Datenlöschung in die Verantwortung ihres Datenschutzbeauftragten gelegt haben und damit in die richtige Richtung gehen, ist es noch ein weiter Weg.“
Weitere wichtige Erkenntnisse zu Unternehmen in Deutschland:
- Ein beunruhigend hoher Anteil von 30 Prozent der deutschen Unternehmen konnte nicht sagen, wann die IT-Sicherheitsrichtlinie ihres Unternehmens zuletzt aktualisiert wurde. Darüber hinaus wissen 30 Prozent nicht genau, was darin steht.
- Fast die Hälfte (45 Prozent) der befragten Unternehmen in Deutschland ist nach eigenen Angaben der Meinung, dass Datenlöschrichtlinien am wenigsten von befristet Beschäftigten eingehalten werden. Dies ist der höchste Wert unter allen Ländern, die in die Studie einbezogen wurden. Darüber hinaus sind 36 Prozent der Ansicht, dass Auftragnehmer oder Freiberufler die Datenlöschrichtlinien des Unternehmens am wenigsten verstehen bzw. befolgen.
- Es fehlt den Unternehmen in Deutschland nicht nur an einer klaren Zuteilung der Verantwortung für die Umsetzung ihrer Richtlinien zur Datenlöschung, sondern auch an einer entsprechenden Rechenschaftspflicht, was die Einhaltung dieser Richtlinien betrifft. Die Verantwortung für die Sicherstellung der Einhaltung der Richtlinien verteilt sich auf ganz unterschiedliche Aufgabenbereiche. Überraschend ist, dass dies in 24 Prozent der Fälle in die Zuständigkeit des Head of Operations fällt, gefolgt vom Leiter für IT (22 Prozent), dem Compliance-Beauftragten (17 Prozent) und dem Leiter der Rechtsabteilung (13 Prozent). Diese uneinheitliche Übertragung der Verantwortung birgt die Gefahr, dass es zu Compliance-Verstößen und infolge dessen zur Verhängung von Bußgeldern kommt. Die Tatsache, dass die Sicherstellung der Compliance lediglich in fünf Prozent der Unternehmen in den Verantwortungsbereich des Datenschutzbeauftragten fällt, ist ebenfalls besorgniserregend, vor allem vor dem Hintergrund, dass dies zu den Kernaufgaben eines Datenschutzbeauftragten gehören sollte.
Den vollständigen Bericht – „Data Sanitization: Policy vs. Reality“ – mit einer eingehenden Analyse finden Sie hier: www.blancco.com/policy-vs-reality