Information & Cyber Security, Privacy,
Datenschutz und Datensicherheit: Beides ist nötig, beides kann nerven. Wer sich dafür einsetzt, erntet wenig Dank – dabei geht es um den wichtigen Schutz von Menschen und Unternehmen. Zwei Experten sprechen über ihre Arbeit. Welche Strategie führt zum Erfolg: guter Cop oder böser Cop? Wann platzt ihnen der Kragen? Und warum lieben sie trotz allem ihren Job?
Aus Sicht der Mitarbeitenden und Nutzenden gibt es Frustpotenzial: Will man sich im Homeoffice ins Intranet einloggen, muss man sich erst mühsam mit doppelter Authentifikation anmelden – oft mehrmals am Tag. Der Informationssicherheits-Beauftragte lässt grüssen. Und kaum hat man herausgefunden, wie neue Tools wie etwa ChatGPT die Arbeit erleichtern, schiebt der Datenschutz-Beauftragte dieser Nutzung einen Riegel vor.
Auch für Datenschützende und Sicherheitsverantwortliche ist das Frustpotenzial hoch: Man kann Mitarbeitende noch so oft sensibilisieren, sie klicken dennoch immer wieder auf Links in Phishing-Mails und geben so Cyber-Kriminellen unbedacht ihre Passwörter preis.
Dabei gälte es, alles zu tun, um die IT-Infrastrukturen von Organisationen zu sichern und diese vor Cyber-Kriminellen zu schützen. Denn die Angriffe nehmen ständig zu. Sie verursachen hohe Kosten und grossen Ärger. Sie können Existenzen gefährden. Ausserdem hat man die Compliance (Regeltreue) eines Unternehmens sowie das Bundesgesetz über den Datenschutz (DSG) zu befolgen.
Wie schlägt man Brücken zwischen Ignoranz und Ablehnung auf der einen Seite und dem Ringen um Datenschutz und -sicherheit auf der anderen? Wie sensibilisiert und motiviert man Mitarbeitende?
Wir reden darüber mit zwei Experten der Hochschule Luzern – Informatik: Armand Portmann ist bei uns für Informations- und Datensicherheit zuständig. Ruben Antenen kümmert sich um den Datenschutz.
Wie hängen diese drei Bereiche zusammen? Effektiver Datenschutz benötigt hohe Standards in Daten- und Informationssicherheit. Ohne diese Sicherheitsstufen können Organisationen keinen Datenschutz garantieren. Umgekehrt helfen Datenschutzregeln dabei, Sicherheitsmassnahmen in der Datensicherheit und Informationssicherheit zu stärken und einzuhalten.
Armand Portmann und Ruben Antenen, Sie kämpfen oft gegen Windmühlen. Was motiviert Sie an Ihrer Arbeit?
Antenen: Mir macht es grosse Freude, dass ich im People Business tätig bin. Ich gehe auf Mitarbeitende zu, tausche mich mit ihnen aus und kommuniziere positiv. Datenschutz ist für viele eine zwar notwendige, aber auch einschränkende Begleiterscheinung ihrer täglichen Arbeit. Mein Thema begeistert kaum jemanden. Seien wir ehrlich: Wir wären alle froh, wenn es keine Schutzmassnahmen bräuchte. Aber die Realität sieht anders aus.
Es geht also darum, dass ich die Leute abhole. Ich rühre die Werbetrommel ohne laute Töne. Mir liegt daran, dass sie möglichst freiwillig mitmachen. Es freut mich sehr, wenn ich nach Vorträgen positives Feedback erhalte oder wenn meine Anleitungen den Mitarbeitenden wirklich etwas nützen.
Portmann: Für mich steht die Compliance im Vordergrund. Wir müssen Regeln befolgen. Ich gehe das unemotional an. Steter Tropfen höhlt den Stein. Ich kümmere mich seit über zehn Jahren um das Thema Informations- und Datensicherheit an der Hochschule Luzern. Technisch haben wir viel erreicht. In diesen Monaten können wir nun endlich die letzten Anwendungen mit einer Multi-Faktor-Authentisierung (MFA) schützen. Das Thema stand viele Jahre auf der Pendenzenliste. Solche Prozesse brauchen viel Kraft und Energie. Jetzt ist das Ding im Trockenen. Das freut mich sehr.
Alle Schutzmassnahmen, die man ergreift, gehen zu Lasten der Usability.
Armand Portmann
Was Sie super finden, nervt gewisse Leute: MFA ist eine Hürde, die viele Mitarbeitende und Studierende als unangenehmen Zwang wahrnehmen.
Portmann: Wenn man für Informationssicherheit einsteht, hat man einen schweren Stand. Man hat einerseits eine enorm grosse Angriffsfläche, die jeder Hacker und jede Hackerin auszunützen kann – notabene weltweit. Das Toolset zur Verteidigung ist demgegenüber nicht beliebig gross. Und ja, die Tools rufen Widerstände bei den Nutzenden hervor. Alle Schutzmassnahmen, die man ergreift, gehen zu Lasten der Usability. MFA schützt uns sehr gut vor Angreifenden, aber ich kann gut nachvollziehen, dass die Nutzenden keine Lust auf MFA haben. Das macht meinen Job anspruchsvoll: Ich arbeite an der Schnittschelle zwischen der Notwendigkeit von Massnahmen und den Bedürfnissen der Mitarbeitenden.
Sind auch Sie robust genug für diesen Beruf? Wir machen Sie fit dafür: Im Frühling 2025 startet unser neues CAS Applied Privacy in New Technologies. Sie lernen, Datenschutz im Umfeld neuer Technologien verstehen und praktisch umzusetzen.
Die Weiterbildung befähigt Sie, Datenschutz-Entscheidungen kundinnen- und kundenzentriert zu fällen. Dabei werden Chancen und Risiken neuer Technologien bedacht. Es geht auch um Techniken mit Datenschutz-Implikationen. Mehr darüber in diesem Video.
Wie reagieren Sie auf Mitarbeitende, die sich nicht darum scheren?
Portmann: Mir ist bewusst, dass Einschränkungen die Arbeit behindern können. An Hochschulen ist man sich zudem traditionell viele Freiheiten gewohnt. Es gibt insbesondere mehr Freiheiten als in der Privatwirtschaft. Dort ist vieles streng geregelt. Abweichungen sind nicht erlaubt. Die Regeln sind keine Schikane; sie schützen vor Schäden, die ein existenzielles Ausmass annehmen können. Dafür versuche ich, Verständnis zu schaffen.
Ich möchte hier auch eine Bresche für unsere Mitarbeitenden schlagen: Das Bewusstsein für die Notwendigkeit von Sicherheitsmassnahmen hat zugenommen. Dennoch müssen wir weiter aufklären, für das Thema sensibilisieren, Mitarbeitende schulen und an den guten Willen appellieren.
Antenen: Wir sind eine öffentlich-rechtliche Anstalt. Daher gelten für uns strengere Datenschutzregeln als für die Privatwirtschaft. Eine einfache Regel ist: Was bei uns nicht ausdrücklich erlaubt ist, ist verboten. Im Gegensatz dazu ist in privaten Unternehmen alles erlaubt, was nicht explizit verboten ist.
Datenschutz schützt Menschen, nicht Daten.
Ruben Antenen
Ruben Antenen, kürzlich haben Sie im Intranet plakativ geschrieben: «Datenschutz schützt Menschen, nicht Daten.» Unsere Dozentin für Datenschutz Ursula Uttinger sagt jeweils: «Datenschutz ist ein Menschenrecht.» Das hört man in Sinne des Hochschulgeistes vermutlich gerne, oder nicht?
Ja, das ist ein Argument, das zieht. Datenschutz ist tatsächlich ein Grundrecht in einer freiheitlichen Gesellschaft. Es geht um den Schutz der Privatsphäre. Jeder Mensch soll bestmöglich selbst darüber bestimmen können, welche Informationen über ihn wann, wo und wem bekannt gegeben werden. Dank dem DSG haben Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten. Wenn ich unsere Mitarbeitenden auf das Datenschutzgesetz verweise, schränke ich gewisse ihrer Aktivitäten ein.
Nennen Sie uns dazu bitte konkrete Beispiele.
Antenen: Denken wir an die Nutzung von ChatGPT: Das Informatik-Departement ist diesem neuen Tool gegenüber naturgemäss offen eingestellt. Studierende und Mitarbeitende sollen es nutzen, so die Grundhaltung. Nur ist das nicht immer datenschutzkonform. Dazu gibt es seit Sommer 2023 eine Richtlinie, die die wenigsten kennen. Ich werde demnächst in einem Inside-Artikel darauf hinweisen, was bei den Mitarbeitenden vermutlich keine Freude auslösen wird.
Sie erwarten negative Reaktionen. Haben Sie Verständnis dafür?
Antenen: Ja, ich verstehe das. Ich bin mir bewusst, dass die Realität so ist. Ich betone einfach die Wichtigkeit des Gesetzes. Manche mögen das nicht. Aber als Organisation sollte man das Gesetz einhalten. Das ist besser für alle.
Aha, bekommt man dann Ihre Feldmarschall-Qualitäten zu spüren, wenn man die Regeln missachtet?
Antenen: Nein, durch Strenge würde ich nur Widerstand auslösen. Ich setze wo möglich auf die sanfte Tour und bin nur hart, wenn es nicht anders geht. Datenschutzrisiken haben ausserdem auch natürliche Konsequenzen. Im Schadensfall müssen fehlbare Mitarbeitende für ihre Handlungen oder Unterlassungen einstehen.
Ich setze wo möglich auf die sanfte Tour und bin nur hart, wenn es nicht anders geht.
Ruben Antenen
Mir ist eine gute Gesprächskultur wichtig. Ich orientiere mich am Pareto-Prinzip und vermittle einfache, aber wichtige Grundsätze: Wenn wir diese gezielt beachten, sind wir schon weit gekommen. Ich habe zum Beispiel eine E-Learning-Datenschutz-Grundlagenschulung erstellt. Sie dauert für die Lernenden nur 25 Minuten, inklusive Lernzielkontrolle. Das ist gut machbar. Ich vermittle darin einige wichtige Faustregeln.
Welche Faustregeln zum Beispiel?
Antenen: Beispielsweise die Grundsätze für den Umgang mit personenbezogenen Daten. Das bedeutet, wir nutzen sie nur rechtmässig, zweckmässig, verhältnismässig und korrekt. Hier ist ein Beispiel: Gibt jemand seine Daten an die Hochschule und sagt nichts weiter, sollest du annehmen, dass er oder sie nicht möchte, dass du die Daten weitergibst. Willst du die Daten weitergeben, frag erst um Erlaubnis. Es kann zum Beispiel sein, dass eine Dozentin Studierende auffordert, sich untereinander für Gruppenarbeiten zu vernetzen. Sie sendet allen sämtliche E-Mail-Adressen. Das ist nicht korrekt. Die Studierenden haben ihre Adressen nur der Hochschule gegeben, nicht den Mitstudierenden.
Sie beide werden nie perfekte Verhältnisse erreichen. Es geht also immer ums Sensibilisieren, Verbessern und Abwägen?
Portmann: Ja, wir beide unterstützen das Risiko-Management. Unsere Rolle ist beratender und kontrollierender Natur. Wir sind nicht operativ tätig. Wir erklären nach bestem Wissen und Gewissen, welche Gefahren drohen. Wer unseren Rat befolgt, leistet einen Beitrag zur Verminderung der Risiken. Wir verweisen dazu auf die Compliance und das Gesetz. Am Ende entscheidet aber die Hochschulleitung, wie gross ihr Risiko-Appetit ist.
Risiko-Appetit: ein Fachbegriff?
Portmann: Es geht um das Risiko-Management: Der Risiko-Appetit beschreibt, welche Risiken eine Organisation bewusst eingeht, weil diese ihr im Hinblick auf das Erreichen ihrer Ziele als vertretbar erscheinen. Der Risiko-Appetit beeinflusst somit den Umfang der Massnahmen, die wir ergreifen, um Risiken zu verringern.
Die Risiken können ein grosses bis existenzielles Ausmass annehmen. Im schlimmsten Fall ist ein Unternehmen dann am Ende. Cyber-Kriminelle können es in den Konkurs führen.
Armand Portmann
Antenen: Datenschutz ist keine exakte Wissenschaft. Es gibt zwar viele klare Fälle, aber es gibt auch Grauzonen und Interessenabwägungen. Wie setzt man das Gesetz nun konkret um? Zum Beispiel beim Löschen von Daten. Wie viele Backups muss man berücksichtigen? Man könnte lange darüber diskutieren, aber das würde niemandem helfen. Es ist mir wichtig, praxistaugliche Entscheidungen zu treffen und mich dann daran zu halten, damit wir insgesamt mehr Ordnung und weniger Risiken haben. Im Vergleich zu Armand Portmann, der sich um Datensicherheit kümmert, stecke ich beim Datenschutz noch in den Anfängen. Ich kann mich zunächst noch um die «low-hanging fruits» kümmern: Das sind dankbare Aufgaben, die von den Mitarbeitenden wenig Aufwand erfordern, aber viel bewirken.
Wo liegen die Gemeinsamkeiten in Ihren Fachbereichen?
Antenen: Informationssicherheit und Datenschutz sind Massnahmen, die man braucht, um Daten und Informationen sicher zu halten. Das eine setzt das andere voraus. Armand Portmanns Fachbereich und meiner sind verwandt. Wir zwei sprechen uns daher regelmässig ab.
Was sind mögliche Risiken und wie gross sind sie?
Portmann: Die Risiken können ein grosses bis existenzielles Ausmass annehmen. Es ist überhaupt nicht lustig, wenn besonders schützenswerte Personendaten offengelegt oder Daten durch einen Angriff zerstört werden. Im schlimmsten Fall ist ein Unternehmen dann am Ende. Cyber-Kriminelle können es in den Konkurs führen – Beispiele gibt es genügend. Im besseren Fall bekommt man bloss Schwierigkeiten mit einem Projektpartner, weil vielleicht Geheimnisse publik geworden sind.
Antenen: Die Offenlegung von Personendaten kann ein ernsthaftes Risiko für die betroffenen Personen darstellen. Das gilt für Studierende und Mitarbeitende. Bei grossem Schaden müssen wir das melden. Die Aufsichtsbehörde muss informiert werden. Wir müssen es möglicherweise auch öffentlich machen. Das schadet unserem Ruf und führt zu rechtlichen Problemen.
Unsere Arbeit ist eine Gratwanderung, manchmal die Quadratur des Kreises. Wir müssen unpopuläre Entscheide fällen.
Armand Portmann
Armand Portmann, Sie treten stets nüchtern und sachlich auf. Sind sie so stoisch oder platzt Ihnen auch mal der Kragen?
Portmann (lacht): Stoisch?! Vielleicht sieht man es nicht, wenn mich etwas aufwühlt. Zum Glück kommt das nur selten vor. Es gibt aber immer wieder schwierige Momente, zum Beispiel in Sitzungen, in denen abgewogen werden muss, welche Massnahmen für die Nutzenden zumutbar sind. Das ist immer eine Gratwanderung, manchmal die Quadratur des Kreises. Wir müssen unpopuläre Entscheide fällen.
Was zum Beispiel war unpopulär?
Erst kürzlich mussten wir darüber entscheiden, welche Apps in Teams eingebunden werden dürfen. Die Einbindung verbessert die Usability. Gleichzeitig ergeben sich daraus aber Risiken für Daten in Teams. Ein Dilemma wie aus dem Schulbuch. Die Diskussionen haben sich hingezogen… Der Entscheid war schliesslich unpopulär.
Ich gehe von einem positiven Menschenbild aus und versuche so, die Mitarbeitenden zu motivieren – denn alles steht und fällt mit ihnen.
Ruben Antenen
Antenen: Ich finde das Spannungsfeld interessant. Es geht oft darum, Vor- und Nachteile abzuwägen. Mein Ziel ist, gemeinsam Verbesserungen zu suchen. Ich weiss, dass manche Probleme ungelöst bleiben. Aber die Regeln und Risiken existieren, das ist ein Fakt. Mit der Vogelstrauss-Taktik kommen wir nicht weiter. Ich gehe von einem positiven Menschenbild aus und versuche so, die Mitarbeitenden zu motivieren – denn alles steht und fällt mit ihnen. Ich sehe ihr Interesse und ihre Bereitschaft. Darauf vertraue ich. Wir sollen uns ständig verbessern. Morgen soll besser sein als heute.
Armand Portmann ist Informationssicherheits-Beauftragter und Dozent an der Hochschule Luzern. Er ist Leiter und Co-Leiter von mehreren Weiterbildungs-Programmen im Bereich Informations-Sicherheit. Portmann wirkt unter anderem in Arbeitsgruppen von SWITCH mit, die sich mit dem Thema Informationssicherheit der Schweizer Hochschul- und Fachhochschullandschaft beschäftigen.
Ruben Antenen ist Datenschutzbeauftragter an der Hochschule Luzern und freiberuflicher Dozent. Er studierte an unserer Hochschule Wirtschaftsinformatik mit Vertiefungsrichtung IT Security. Später absolvierte er einen MAS in Business Administration sowie drei CAS in Projektmanagement, Requirements Engineering und Data Privacy Officer an der Hochschule Luzern und der Fachhochschule Nordwestschweiz.
Bilden Sie sich weiter: Die Hochschule Luzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security and Privacy an.
Holen Sie sich einen Bachelor in Information & Cyber Security: Mit dem Studium Information & Cyber Security erwerben Sie das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Hacker-Angriffen zu schützen und mit einer sicheren IT-Infrastruktur auszustatten.
Angebote für Partnerfirmen: Wollen Sie in Ihrem Unternehmen eine neuartige IT-Security-Lösung umsetzen? Die Forschenden der Hochschule Luzern – Informatik stehen Ihnen dabei zur Seite. Sie unterstützen Kundinnen und Kunden durch innovative Forschung und Entwicklung im Bereich Anwendungssicherheit und Kryptographie.
Veröffentlicht: 8. April 2023
Von: Gabriela Bonin
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.