Letztes Jahr etablierte die Software AG einen Wissenschaftlichen Beirat. Das Gremium bietet der Software AG durch seine wissenschaftliche Perspektive wertvolle Impulse für (potenzielle) neue Technologietrends. In dieser Artikel-Serie beleuchten die Experten ihre Forschungsgebiete und geben einen kurzen Ausblick, wie sich diese künftig entwickeln werden. Prof Dr. Michael Waidner ist der Leiter des Fraunhofer-Instituts SIT und Inhaber des Lehrstuhls für Sicherheit in der Informationstechnik an der Technischen Universität Darmstadt. Er beschäftigt sich mit den Themen Cybersicherheit und Datenschutz sowie mit neuen Technologien wie etwa Blockchain.
Prof. Dr. Michael Waidner
Die Vernetzung produktionstechnischer Anlagen bietet großes Potenzial zur Steigerung von Effizienz und Agilität. Durch Cloud-Technologien ist der Status der Maschinen und der Produktion insgesamt immer im Blick und Änderungen an der Analagenkonfiguration können jederzeit flexibel nach Marktlage erfolgen. Auf der anderen Seite wirft diese Vernetzung auch neue Fragen der IT-Sicherheit auf. Information und Steuerung sind nun nicht mehr in physikalischen Anlagen, sondern in Software abgebildet und somit vielfältigen Angriffen ausgesetzt. Bei mangelnder Absicherung dieser Software können beispielsweise Konkurrenten Einblick in Produktionsverfahren erhalten oder Saboteure gar die Produkte manipulieren oder die Produktion stilllegen.
Dass Angriffe auf industrielle Anlagen keine theoretischen Konstrukte sind, wurde bereits 2010 mit dem Stuxnet-Wurm offenbar. Notwendig ist, alle eingesetzten Softwareprodukte automatisiert auf typische Schwachstellen in Code und Konfiguration zu untersuchen. Dies schließt in einer modernen digitalen Fabrik beispielsweise Webanwendungen, cloudbasierte Plattformanwendungen, mobile Apps und auf den Produktionsanlagen selbst ausgeführte Steuersoftware ein. Die Überprüfung muss, insbesondere in Zeiten agiler Entwicklungsprozesse, bei jedem Update neu erfolgen. Da eine manuelle Begutachtung des Systems durch Experten aufgrund der Größe und Komplexität realistischer Installationen nicht zu leisten ist, sind automatisierte Scanner unerlässlich.
Wo Schwachstellen nicht geschlossen werden können, müssen diese isoliert werden, um ein Ausnutzen zu verhindern oder zumindest unverzüglich zu detektieren. Hierzu ist es wichtig, Anomalien frühzeitig zu erkennen und dem Betreiber zu ermöglichen, passende Gegenmaßnahmen zu ergreifen. Betreiber vertrauen zudem darauf, dass eingesetzte Plattformen wie etwa ADAMOS nicht nur sicher sind, sondern auch für die darauf aufbauenden Lösungen einfach nutzbare Sicherheitstechniken bereitstellen. Daher müssen die bereitgestellten Schnittstellen und Funktionen auch für nicht explizit geschulte Entwickler intuitiv sicher nutzbar sein.
Lesen Sie hier alle weiteren Beiträge des Wissenschaftlichen Beirats der Software AG:
Betrug, Insider-Handel, unerlaubte Algorithmen – das Kapitalmarktgeschäft von Banken und anderen Finanzinstituten hat in den vergangen Jahren einiges an missbräuchlichem Verhalten erlebt. Prominente Fälle wie die von Jérôme Kerviel von der Société Générale (2008) und Kweku Adoboli von der UBS (2011) sind nur die Spitze des Eisberges.
Schätzungen zufolge, die Quinlan & Associates im Oktober in einer Studie veröffentlichte, hat das „weitverbreitete unethische Verhalten” von Mitarbeitern Investmentbanken seit der Finanzkrise 2008 rund 850 Milliarden US-Dollar in Form von Abschreibungen, Verlusten im Handel, Strafen und höheren Kosten für Compliance gekostet.
Mit illegalen Geschäften, versteckten Konten und geheimen Chatrooms krimineller Händler haben Banken nicht nur enorme Verluste eingefahren, sondern auch die Regulierungsbehörden auf den Plan gerufen, die hohe Geldbußen verhängten und die Prüfungen sowie Vorschriften deutlich verschärften.
Marktüberwachung mit Adleraugen
Im Rahmen zahlreicher Projekte bei internationalen Großbanken entstand mit Apama EagleEye ein Marktüberwachungssystem, das komplexe Datenströme analysiert und mit Hilfe von künstlicher Intelligenz (KI) Handelsaktivitäten auf Betrugsversuche prüfen kann. Wir haben Apama EagleEye mit künstlicher Intelligenz ausgerüstet, damit Firmen ein Werkzeug haben, um sich schnell und effizient einen Überblick über alle ihre Daten zu verschaffen und sie auf mögliche Compliance-Verstöße zu untersuchen.
Mit Apama EagleEye können Finanzinstitute Live-Datenströme, historische Daten und Kommunikationsdaten für unterschiedliche Anlageklassen, Standorte und Märkte überwachen, um Compliance-Verstöße und unerlaubte Handelsmuster zu erkennen. Apama EagleEye erweitert regelbasierte Überwachungsstrategien durch die Integration mit KI, Maschinenlernen, Predictive Analytics und auf offenen Branchenstandards basierenden statistischen Modellen. Compliance-Teams erhalten mit Warnfunktionen, Case-Management und anpassbaren Reports umfassende Tools zur Optimierung ihrer Compliance-Analysen.
Betrugsschutz in Echtzeit
Regulierer und Vorstände wollen mit Compliance mehr erreichen, und zwar schnell, häufig sogar nahezu in Echtzeit. Apama EagleEye hilft Banken, sich vor Betrug zu schützen, Geldbußen zu vermeiden und unlautere Handelspraktiken zu erkennen, bevor sie sich auf den Unternehmensgewinn auswirken.
Apama EagleEye nutzt die neuesten Funktionen der mehrfach ausgezeichneten Apama Streaming Analytics Plattform der Software AG, die erst im September 2017 von Forrester erneut als bestes Werkzeug für „Streaming Analytics“ ausgezeichnet wurde. Hinzu kommen Funktionen von Zementis Predictive Analytics, um Analyse-Modelle in die Analyse-Praxis zu überführen.
Ab dem 25. Mai 2018 müssen Unternehmen die Anforderungen der neuen EU-Datenschutz-Grundverordnung einhalten. Andernfalls drohen ihnen hohe Bußgelder. Die neuen Vorschriften noch fristgerecht umzusetzen ist jedoch zum Glück kein Ding der Unmöglichkeit, denn dafür gibt es konkrete Lösungen – und für Unternehmen ergeben sich sogar noch Vorteile.
In wenigen Monaten müssen alle europäischen oder in der EU tätigen Unternehmen die neuen Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) einhalten. Diese tritt am 25. Mai 2018 in Kraft und viele Unternehmen und Institutionen haben noch einiges vor sich. Sie müssen dann personenbezogene Daten von EU-Bürgern schützen und deren Datenschutzrechte wahren.
Das ist keine einfache Aufgabe: Wenn es Unternehmen nicht gelingt, die Verordnung bis zum Stichtag umzusetzen, drohen hohe Bußgelder von bis zu 4 Prozent ihres weltweiten Umsatzes. Laut dem Marktforschungsinstitut Gartner werden über 50 Prozent der Unternehmen, die von der DSGVO betroffen sind, es nicht schaffen, alle Anforderungen bis Mai 2018 vollständig zu erfüllen.
Für wen gilt die DSGVO?
Die EU-DSGVO gilt für alle Organisationen, die personenbezogene Daten innerhalb der Europäischen Union verarbeiten. Sie stärkt die Rechte betroffener Personen, verschärft die Vorschriften für die Datenverarbeitung, sieht deutlich höhere Bußgelder bei Verstößen vor und empfiehlt Zertifizierungen als möglichen Compliance-Nachweis.
Die Verordnung ersetzt und vereinheitlicht die bisher vorhandenen und zum Teil sehr unterschiedlichen Datenschutzgesetze in den einzelnen EU-Mitgliedsstaaten. Daraus ergibt sich gleichzeitig ein großer Vorteil: Für die gesamte EU gilt somit ein einheitlicher gesetzlicher Rahmen im Bezug auf personenbezogene Daten für internationale Unternehmen. In Deutschland agierende Unternehmen sind zudem bereits einen Schritt weiter, als viele andere Firmen, da der Datenschutz hierzulande bereits einem vergleichsweise hohen Standard entspricht.
Folgen und Lösungsansätze
Für große, internationale und in der EU tätige Unternehmen aller Branchen hat die DSGVO jedoch zum Teil weitreichende Folgen. Die riesigen Datenspeicher, vernetzten Systeme, Business-Netzwerke und Technologien, mit denen Unternehmen ihre Märkte und Kunden bedienen, enthalten enorme Mengen an Informationen. Nur wenige Unternehmen haben eine Übersicht über ihre verteilten Daten oder Verarbeitungstätigkeiten und wissen genau, welche Art von Daten sie speichern. Das ist aber entscheidend, um die Anforderungen der DSGVO einhalten zu können.
Die Datenschutz-Grundverordnung ist eine Reaktion auf die zunehmende Digitalisierung. Als globaler Anbieter von Produkten und Services für die digitale Transformation hat die Software AG auch Lösungen, die DSGVO effektiv und effizient umzusetzen. Das DSGVO-Framework der Software AG ermöglicht es Unternehmen, die neuen Auflagen der DSGVO fristgerecht zu erfüllen und nachhaltige Verfahren für entsprechende Compliance-Einhaltungen zu implementieren. Dazu zählen mitunter Funktionen, mit denen Unternehmen ihre Verarbeitungstätigkeiten dokumentieren können, um Daten-, Prozess- und Anwendungstransparenz herzustellen.
Darüber hinaus unterstützt die Software AG Unternehmen beim Aufbau eines Frameworks für Governance, Risikomanagement und Compliance (GRC), über das sie Richtlinien und Vorschriften für DSGVO-Compliance intern publizieren und ihre Einhaltung überwachen können. Zusätzlich ermöglicht ihnen dieses Framework, die Business- und IT-Transformation DSGVO-konform voranzutreiben.
Haben Sie die Auflagen der DSGVO im Blick? Erfahren Sie mehr über die Datenschutz-Regelung in diesem Video.
In vielen Unternehmen herrscht Unsicherheit über den Umgang mit der EU-Datenschutzgrund-Verordnung (DSGVO) und ihre Auswirkungen. Da käme ihnen eine „Landkarte“ zur Orientierung ganz gelegen. Wichtig ist zunächst, dass Unternehmen erkennen, welche weitreichenden Folgen die DSGVO hat. Sie rückt den Datenschutzbeauftragten der eigenen Firma ins Rampenlicht. Und auch die Unternehmensarchitektur spielt künftig beim Thema Datenschutz eine entscheidende Rolle.
Bis zum 25. Mai nächsten Jahres haben Unternehmen Zeit, die Anforderungen der neuen Datenschutz-Grundverordnung umzusetzen. Datenschutzbeauftragte sollten bei der Zusammenstellung ihrer Teams deshalb darauf achten, den Verantwortlichen für das Enterprise Architecture Management (EAM) mit ins Boot zu holen.
Orientierungshilfe Unternehmensarchitektur
Warum spielt die Unternehmensarchitektur eine so wichtige Rolle für Compliance mit der DSGVO? Um diese Frage zu beantworten, sollten wir uns zunächst damit beschäftigen, was die neue Regelung von Unternehmen, die mit EU-Bürgern Geschäfte machen, fordert.
Datenverantwortliche müssen einige wichtige Fakten zum Umgang mit personenbezogenen Daten berücksichtigen: Wie wurden sie erfasst? Und für welchen Zweck werden sie eingesetzt? Darüber hinaus gilt es sicherzustellen, dass die verwendeten Daten korrekt sind, und nur solche Daten genutzt werden, die für einen bestimmten Zweck benötigt werden. Schließlich dürfen die Daten auch nur über den Zeitraum gespeichert werden, der erforderlich ist, um eben jenen Zweck zu erreichen.
Was bedeutet das in der Praxis? In erster Linie müssen Datenschutzbeauftragte wissen, welche Daten erfasst wurden, wo sie gespeichert sind und wie sie verarbeitet werden. Dafür brauchen sie eine Übersicht – ähnlich einer Landkarte – aller Datenspeicher und Anwendungen. Darauf basierend können Unternehmen ein Verzeichnis erstellen, in dem Daten analysiert und gemäß der verschiedenen DSGVO-relevanten Attribute klassifiziert werden.
Was ist wo gespeichert?
Das Verzeichnis hält fest, welche Daten an welchem Ort zu finden sind. Es liefert Auskunft darüber, ob die Datensätze einer Person zugeordnet werden können und welche Art von Daten sie enthalten. Darunter fallen Standortinformationen, Rechnungsinformationen, Informationen zu Einkäufen, Informationen aus Communities oder Foren, Informationen zu verwendeten Geräten, zur Bonität der betroffenen Person oder zur Nachverfolgung der Benutzeraktivität.
Den Anwendungen werden verschiedene Eigenschaften zugeordnet. So wird der Zweck der Anwendung (Abrechnung, Marketinganalysen, Direktmarketing, Monitoring, Incident-Management, Personalbeschaffung oder Kundenranking) bestimmt und es wird festgehalten, ob es ein Sicherheitskonzept gibt – und wenn ja, welches. Zusätzlich sollte die Übersicht festhalten, ob es ein gesondertes Testsystem gibt und ob dieses anonymisiert ist.
Darüber hinaus enthält das Verzeichnis Informationen darüber, wie die Datensätze verarbeitet werden können: dazu zählen Speicherfristen, Löschmethoden, Verarbeitungsort, Ursprung der Daten, Zugriffsrechte, Zugriffsprotokollierung sowie Informationen darüber, an welche Personen oder Systeme Daten transferiert werden, welche Personen betroffen sind und ob es sich dabei um Privatpersonen oder Unternehmenskunden, Mitarbeiter oder Bewerber handelt.
Zurück zur Unternehmensarchitektur: Sie umfasst die Bereiche Geschäftsarchitektur, Datenarchitektur, technische Architektur und Anwendungsarchitektur – und ist somit ein guter Ausgangspunkt für ein Verzeichnis über Datenverarbeitungsprozesse. Aufgrund ihrer Struktur und Inhalte liefert sie entscheidende Einblicke in die Business- und IT-Landschaft, die Unternehmen benötigen, um sich gemäß den Vorgaben der DSGVO zu organisieren.
In der Vorbereitungsphase auf die neue Verordnung, in der noch keiner so genau weiß, was auf Unternehmen zukommen wird, ist es der leitende Enterprise Architect, der den Weg in Richtung Compliance weisen kann.
Ist Ihr Unternehmen bereit für die DSGVO? Nehmen Sie am Live Webinar teil und werden Sie fit für die neue Datenschutz-Grundverordnung. Mehr Informationen zur DSGVO bekommen Sie auch in unserem neuen Video.
Diese Website benutzt funktionelle Cookies und externe Skripte, um Ihr Benutzererlebnis zu verbessern.
Lade Kommentare …
Privacy settings
Datenschutzeinstellungen
Diese Website benutzt funktionelle Cookies und externe Skripte, um Ihr Benutzererlebnis zu verbessern. Welche Cookies und Skripte benutzt werden und wie diese die Webseitenbenutzung beeinflussen, steht links. Sie können Ihre Einstellungen jederzeit ändern. Ihre Entscheidungen werden Ihren Besuch nicht beeinflussen.
NOTE: Diese Einstellung wird nur auf den Browser und das Gerät angewendet, das Sie derzeit benutzen.
Cookies
Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.