Ein Dateiserver, der an einem Montagmorgen ausfällt, drei Mitarbeiter, die auf einer veralteten Fachsoftware feststecken, eine Cloud-Rechnung, die sich ohne Erklärung verdoppelt: solche Situationen begegnen den meisten KMUs, die ihre IT-Umgebung nicht strukturiert haben. Bevor man über digitale Transformation oder Innovation spricht, müssen diese konkreten Ärgernisse behoben werden. Die IT-Lösungen, die für ein Unternehmen geeignet sind, beginnen nicht mit einem Katalog von Technologien, sondern mit einer Diagnose der operativen Blockaden.
Kryptographisches Inventar: ein technisches Projekt, das niemand plant
Die meisten Inhalte über IT-Lösungen für Unternehmen sprechen von Cloud, Cybersicherheit oder IT-Outsourcing. Keiner behandelt ein Thema, das in den Architekturentscheidungen zunehmend Gewicht hat: die Vorbereitung auf post-quanten Risiken.
Auch interessant : Innovative digitale Lösungen zur Steigerung der digitalen Transformation von Unternehmen
Das NIST und das BSI empfehlen Unternehmen, ein Inventar ihrer Kryptographiesysteme zu erstellen. Ziel ist es, die Daten zu identifizieren, die einen langfristigen Schutz benötigen (Verträge, Patente, medizinische Daten), und die Algorithmen zu erkennen, die anfällig werden, wenn Quantencomputer eine ausreichende Leistung erreichen.
Konkret geht es darum, jedes SSL-Zertifikat, jeden VPN-Tunnel und jeden Mechanismus der elektronischen Signatur, der im Unternehmen verwendet wird, zu erfassen. Die Migration zu post-quanten Kryptographieschemata wird mehrere Jahre in Anspruch nehmen. Dieses Inventar jetzt zu beginnen, auch in kleinem Umfang, verhindert, dass man später in der Not ist.
Ebenfalls empfehlenswert : Unvergessliche Reise: Entdecken Sie die Welt mit MSC Kreuzfahrten
Diese Art von technischem Projekt fügt sich in eine umfassende Überlegung zur Infrastruktur ein. Mit Unterstützung von den IT-Lösungen von Digitale Naïve kann ein Unternehmen diesen Ansatz strukturieren, ohne ein internes Sicherheitsteam in Vollzeit zu mobilisieren.
Privacy by Design: die DSGVO bereits bei der Konzeption des Informationssystems integrieren
Oft werden die Werkzeuge zuerst installiert, und dann fragt man sich, ob sie der DSGVO entsprechen. Dieser Ansatz ist teuer in der Korrektur. Die neuesten DSGVO-Leitfäden betonen ein einfaches Prinzip: den Datenschutz bereits in der Entwurfsphase zu integrieren, nicht erst nach der Inbetriebnahme.
Wirkungsanalyse vor der Bereitstellung
Die Datenschutz-Folgenabschätzung (DSFA) muss erfolgen, bevor eine neue Fachsoftware, ein CRM oder eine Dokumentenmanagement-Plattform implementiert wird. Sie identifiziert die Risiken für die betroffenen Personen und zwingt zur Dokumentation der Minderungsmaßnahmen.
Für ein KMU bedeutet dies, vor jedem IT-Projekt drei Fragen zu stellen:
- Welche personenbezogenen Daten wird dieses System sammeln, und kann man das Volumen auf das notwendige Minimum reduzieren (Minimierung)?
- Wo werden diese Daten gespeichert, und sind die Übertragungen außerhalb der EU durch konforme vertragliche Klauseln geregelt?
- Wer hat Zugang zu den Daten, und sind die Zugriffsrechte standardmäßig auf das restriktivste Niveau konfiguriert?
Was sich bei der Wahl eines Dienstleisters ändert
Ein IT-Dienstleister, der diese Fragen im Vorfeld nicht stellt, integriert nicht das Privacy by Design. Das Kriterium der DSGVO-Konformität muss im Lastenheft aufgeführt sein, ebenso wie die technischen Leistungen oder die Lizenzkosten.
Die Rückmeldungen zu diesem Punkt variieren: Einige Unternehmen sind der Meinung, dass ihr Dienstleister die Konformität automatisch verwaltet, während die rechtliche Verantwortung immer beim Verantwortlichen für die Verarbeitung bleibt.
Confidential Computing: sensible Daten verarbeiten, ohne sie offenzulegen
Regulierte Unternehmen (Gesundheit, Finanzen, öffentlicher Sektor) teilen eine gemeinsame Einschränkung: Sie verarbeiten sensible Daten, die niemals im Klartext zugänglich sein dürfen, selbst während ihrer Verarbeitung. Die Infrastrukturangebote integrieren zunehmend sichere Hardware-Enklaven, die unter dem Begriff “Confidential Computing” zusammengefasst sind.
Das Prinzip: Die Daten werden nicht nur im Ruhezustand und während der Übertragung verschlüsselt, sondern auch während ihrer Nutzung im Speicher. Der Prozessor erstellt einen isolierten Bereich, auf den weder der Systemadministrator noch der Cloud-Anbieter Zugriff haben.
Für ein Unternehmen, das Patientendaten oder Finanztransaktionen hostet, beseitigt diese Technologie einen wesentlichen Angriffsvektor. Man verlässt sich nicht mehr auf das Wort des Anbieters, sondern stützt sich auf eine überprüfbare Hardware-Isolierung.
Wann Confidential Computing sinnvoll wird
Nicht alle Unternehmen benötigen dies. Es wird sinnvoll, wenn mindestens zwei dieser Kriterien erfüllt sind:
- Das Informationssystem verarbeitet Gesundheitsdaten, Finanzdaten oder Daten, die durch einen branchenspezifischen regulatorischen Rahmen klassifiziert sind
- Das Unternehmen nutzt eine öffentliche Cloud und hat die physischen Server, über die seine Daten übertragen werden, nicht unter Kontrolle
- Externe Partner greifen auf gemeinsam genutzte Datensätze für Analysen oder Berichterstattung zu, ohne dass man ihre Umgebungen kontrollieren kann
Die Einstiegskosten sind höher als bei einer klassischen Cloud-Infrastruktur, aber die Reduzierung des rechtlichen Risikos rechtfertigt die Investition für die betroffenen Sektoren.
Management des Informationssystems: abwägen zwischen Standardsoftware und maßgeschneiderter Entwicklung
Oft werden “fertige” Softwarelösungen den maßgeschneiderten Entwicklungen gegenübergestellt, als ob die Wahl binär wäre. In der Praxis kombinieren die meisten Unternehmen beide.
Ein marktgängiges ERP deckt Buchhaltung, Lagerverwaltung und Rechnungsstellung ab. Es deckt jedoch nicht unbedingt einen spezifischen Geschäftsprozess ab, wie die Rückverfolgbarkeit eines handwerklichen Produkts oder die Verwaltung komplexer Zeitpläne im sozialmedizinischen Sektor. In diesen Fällen ist ein maßgeschneiderter Modul, der mit dem Standard-ERP verbunden ist, kostengünstiger als eine vollständige Entwicklung und erfüllt dennoch das tatsächliche Bedürfnis.
Die klassische Falle: eine vollständige maßgeschneiderte Software zu bestellen, während eine umfassende Konfiguration der Standardsoftware ausgereicht hätte. Bevor man eine Entwicklung startet, ist es sinnvoll, den tatsächlichen funktionalen Umfang von einem unabhängigen Dienstleister des zukünftigen Entwicklers prüfen zu lassen.
Die Wahl zwischen Standard und maßgeschneidert hängt auch von der Fähigkeit des Unternehmens ab, die Lösung langfristig zu warten. Eine maßgeschneiderte Software ohne Dokumentation oder Wartungsvertrag wird zu einem operationellen Risiko, sobald die Person, die sie entworfen hat, das Unternehmen verlässt. Die Frage der Nachhaltigkeit wiegt ebenso schwer wie die der Funktionalität.