Die Konzentration der britischen Konservativen auf die Bestrafung von Datenschutzverletzungen im öffentlichen Sektor läuft Gefahr, die Privatwirtschaft aus der Verantwortung zu nehmen, so Alan Calder.
Letzte Woche gaben die britischen Konservativen Pläne bekannt, „den Aufstieg des Überwachungsstaates zu verhindern“. Dazu möchten sie die Vollmachten der britischen Datenschutzbehörde (ICO) zur Regulierung des öffentlichen Sektors erweitern.
In diesem Dokument ist viel Gutes enthalten, da anerkannt wird, wie erschreckend unfähig die Regierung ist, unsere persönlichen Daten zu schützen. Die Privatwirtschaft kommt im Vergleich dazu jedoch glimpflich davon, da nicht erkannt wird, dass das ICO größere Vollmachten benötigt, um Direktoren unter Kontrolle zu bringen.
Persönliche Informationen
Eine große Menge persönlicher Informationen wird in der Privatwirtschaft gespeichert. Bonuskarten, Banksysteme und soziale Medien sind nur einige der Dinge, die in unserem Leben heute eine zentrale Rolle spielen. Während die Tories natürlich Recht damit haben, dass wir Informationen freiwillig an die Privatwirtschaft geben, wird das Ausmaß dieser Freiheit übertrieben. Wenn die Alternative darin besteht, in der heutigen technologischen Welt „außerhalb des Netzes“ zu leben, welche Wahl haben wir dann wirklich?
Das Dokument der britischen Konservativen besagt, dass „Unternehmen im Allgemeinen viel besser im Bereich Datenschutz sind“ und dass Firmen gute Gründe haben, um die Informationen ihrer Kunden zu schützen. Wenn dies jedoch wahr wäre, warum werden wir dann regelmäßig mit Datenschutzskandalen konfrontiert, die Unternehmen einfach hätten vermeiden können?
Die Tories übersehen die wesentlichen Wahrheiten. Immer wieder haben Unternehmen ihre Pflichten gegenüber Kunden nicht wahrgenommen, da unsere schwachen Regulierungen wenig Anreize zur Verbesserung bieten.
Echte Strafen
Wenn Unternehmen Datenschutz nicht ernst nehmen, ist die Finanzaufsichtsbehörde (Financial Services Authority) derzeit die einzige Organisation, die echte Strafen verhängen kann. Die Strafe, die vor kurzem gegen drei Filialen der HSBC-Bank verhängt wurde, ist die bisher höchste, die gegen ein Unternehmen vorgebracht wurde.
Es war die Absicht der Finanzaufsichtsbehörde, der Geschäftsleitung ihre Verantwortung klar zu machen, und zumindest hat es den Druck erhöht. Doch macht eine Strafe von £3 Millionen für eine Organisation mit Gewinnen in Milliardenhöhe wirklich etwas aus?
Während die HSBC vermutlich ein wenig peinlich berührt war, schlägt die finanzielle Strafe kaum zu Buche. Wenn Strafen wie diese tatsächlich eine Wirkung hätten, warum war es dann notwendig, nur zwei Jahre nach der Strafe von £980.000 für Nationwide Maßnahmen gegen die HSBC zu ergreifen?
Zudem ist es für Unternehmen nur mit geringerem finanziellen Aufwand verbunden, ihre Pflicht in diesem Bereich zu tun. Niemand muss das Rad neu erfinden – ISO 27001 legt fest, wie Datensysteme sicher verwaltet werden können, während BS10012 zeigt, wie die Anforderungen des Datenschutzgesetzes erfüllt werden können. Selbst für einen Goliath wie die HSBC würden die notwendige Arbeit und die Schulung von Mitarbeitern £100.000 nicht übersteigen. Kleinere Unternehmen könnten die Vorgaben schon für viel weniger umsetzen.
Angesichts der Tatsache, dass Strafen offenbar keine Wirkung zeigen, scheint die Strafverfolgung von Einzelpersonen leider die einzige Alternative zu sein. Es wird Zeit, dass Datensicherheit die angemessene Bedeutung eingeräumt wird, d.h. Freiheitsstrafen für CEOs, CIOs und leitende Beamte, die absichtlich die Gesetze missachten.
Hier beginnen jedoch die Probleme. Das ICO wäre zwar die geeignete Behörde für solche Maßnahmen, sie hat jedoch weder die Ressourcen noch die Vollmachten, um tatsächliche Änderungen zu bewirken. Der Gesundheits- und Arbeitsschutzbeauftragte hat ein Budget und eine Belegschaft, die 20 Mal so groß sind wie die des ICO, sowie die Vollmachten, Strafen zu verhängen und zu prüfen. So ist es auch wenig verwunderlich, dass die Gesetzgebung zum Gesundheits- und Arbeitsschutz weit vorangekommen ist, während der Datenschutz so schwach bleibt.
Das ICO wird außerdem durch fehlende Richtlinien zu Verurteilungen behindert. Diese Richtlinien wurden schon häufig versprochen, scheinen jedoch auf unabsehbare Zeit in Ausschüssen festzuhängen, so dass Täter ihre Arbeit ungestraft fortführen können.
Eröffnungssalve
Während wir also diese Eröffnungssalve von der möglichen nächsten Regierung begrüßen, müssen sich die britischen Konservativen sowohl auf die Privatwirtschaft als auch auf den öffentlichen Sektor konzentrieren. Einfach nur die Idee einer freiwilligen Kitemark-Zertifizierung für Prozesse in der Privatwirtschaft in den Raum zu stellen, ist beinahe eine Einladung an die Vorstände, die Füße hochzulegen.
Ich würde mir wünschen, dass die Konservativen ein ICO-Budget beschließen, das erheblich über dem heutigen liegt, und die Veröffentlichung von wesentlichen Strafrichtlinien beschleunigen. Sie sollten die Übernahme von ISO 27001 und BS10012 für britische Unternehmen ab einer bestimmten Größe bindend machen.
Als i-Tüpfelchen sollten sie außerdem eine Richtlinie zur paneuropäischen Datensicherheit auf den Weg bringen. Unternehmen, die persönliche Daten nicht schützen, müssen die vollen Entschädigungskosten tragen sowie erhebliche finanzielle Strafen bezahlen.
Es ist Zeit, von unseren gewählten Vertretern zu verlangen, dass sie dieses Thema ernst nehmen. Sie müssen Gesetze verabschieden, deren Missachtung spürbare Strafen nach sich zieht, und die finanzielle Unterstützung zur Verfügung stellen, um die Durchsetzung dieser Gesetze zu ermöglichen.
Alan Calder ist Autor im Bereich Informationssicherheit und CEO der Sicherheits- und Compliance-Organisation IT Governance.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…