Interview mit Lorena Rota, Lawyer – Cyber & Security
PricewaterhouseCoopers AG und Fabian Kuonen, Senior Consultant Cyber Security
PwC Switzerland
Referat: DSGVO: Mehr als Cookie Bestätigung – Artikel 32
Wie lange setzt du dich schon mit dem Thema Cyber Security auseinander?
Lorena
Als Juristin setze ich mich mit dem Thema Daten, Digitalisierung von Daten und Datenschutz seit 2013 auseinander. Erstmalig befasste ich mich damit bei meinem Startup. Anschliessend konnte ich mein Wissen in einer Zürcher Anwaltskanzlei vertiefen, danach bei einer anderen Big Four und jetzt bei der PwC.
Fabian
Als Endpoint Security Engineer war ich vier Jahre bei einer Schweizer Privat Bank für den Schutz der Computer (Endpoints) verantwortlich. Seit gut einem halben Jahr setzte ich mein Cyber Security Wissen bei verschiedenen Firmen als Berater ein.
In eurem Talk geht es um Artikel 32 der DSGVO, was macht diesen Artikel für Unternehmen relevant?
Lorena
Dieser Artikel zeigt auf, dass Daten(-schutz) und Technik nicht mehr ohne einander auskommen. Juristen, Ingenieure, Informatiker, Datenanalysten usw. müssen zusammenarbeiten und sich austauschen. Datenschutz hängt vom technischen Fortschritt ab, welcher sich konstant verändert.
Als Jurist im Datenschutz bzw. in der Informationssicherheit muss man Schritt halten und sich verstärkt mit der technischen Seite befassen, um ein Grundverständnis aufzubringen und Kunden professionell beraten zu können.
Fabian
Unternehmen ringen oft mit der Interpretation solcher Artikel und Gesetze. Was zum Beispiel ist ein „angemessenes Schutzniveau“? Wir Berater können die Schutzniveaus der einzelnen Unternehmen vergleichen, um sie so bei der Einordnung zu unterstützen und weiter voran zu bringen.
Als Techniker unterstütze ich Unternehmen den Minimalstandard der Behörden einzuhalten und wenn nötig Systeme zu implementieren.
Gibt es erste Erfahrungen, wie viel Budget ein Unternehmen “Handgelenk * Pi” vom Umsatz einrechnen muss?
Lorena
Wenn Du mit dieser Frage beabsichtigst, dass ich Dir eine Formel präsentiere, um die Kosten bei einem Umsetzungsprojekt zur Informationssicherheit einzuschätzen, würde ich Dir diesbezüglich gerne Auskunft geben. Nur gibt es keine Patentformel für solch eine Berechnung, die man auf jedes Unternehmen basierend auf dem Umsatz anwenden könnte. Vielmehr gilt es zu fragen, wie die Informationssicherheitsmaturität der betroffenen Unternehmung ist, welche Ziele gesetzt wurden, wie schnell die Unternehmung diese erreichen möchte und nach welchen Standards. Ausserdem sollten Faktoren in Betracht gezogen werden über die Grösse des Unternehmens, wie hoch die Risiken bei Verstössen sind und ob ausreichend Ressourcen zur Verfügung stehen. Die Liste könnte ich jetzt noch fortführen. Wie man sieht, hängen diese Faktoren stark vom Einzelfall ab. Daher möchte ich diese Frage mit der für einen Juristen typische Aussage beantworten: „Es kommt darauf an“.
Daher ist es wichtig für die Unternehmen, sich mit den oben erwähnten Fragen auseinander zu setzen. Sobald die Organisation eine konkrete Vorstellung über ihre Informationssicherheit-Strategie hat und wie sie diese umsetzen möchte, ist es möglich eine klare Einschätzung zu liefern.
Aus deiner Erfahrung, welches ist die wichtigste Massnahme, die Unternehmen zu oft vergessen anzupacken?
Lorena
Die Datenvorbereitung (data preparation) oder User Awareness werden oftmals vernachlässigt. Die Wichtigkeit einer guten Vorbereitung wird von den Unternehmen oft unterschätzt. Haben sie diese Grundsteine gelegt, lassen sich die nächsten Schritte einer Umsetzung meistens leichter implementieren.
Fabian
In der Cyber Security gibt es meiner Meinung nach keine einzelne Massnahme, welche massgeblich wichtiger ist als alle anderen. Der Mix verschiedener Handlungen ist es, der ein Unternehmen stark macht und gut gegen Angriffe schützt. Dabei kommt es aber natürlich immer auch auf die Risikoexposition und auf den Risikoappetit des einzelnen Unternehmens an. Glücklicherweise kann man sagen, dass fast alle Unternehmen einsehen, dass sie ihre Daten schützen und in die Cyber Security investieren müssen. Was sie genau anpacken und in welcher Reihenfolge, analysieren wir in unseren Assessments.
Weshalb sollen die Leser und Leserinnen euer Referat am 2. Juli besuchen?
Lorena
Wir verbinden die Expertise aus Technik und Rechtswissenschaft. Da in unserem Cyberteam Experten aus beiden Fachbereichen zusammenkommen, ermöglicht es uns dies die Expertise von der jeweils anderen Seite kennenzulernen und somit weiterzuentwickeln. Dies ist natürlich eine einzigartige Möglichkeit, die uns in unserer alltäglichen Arbeit geboten wird. Dieses Knowhow und diese Leidenschaft beabsichtigen wir dem Publikum auch in unserem Referat zu vermitteln.
Was gefällt dir an deiner Aufgabe besonders?
Lorena
Ich bewege mich in einem spannenden Arbeitsumfeld im Rahmen meiner beratenden Tätigkeit. Als Beraterin und Juristin darf ich viele Kunden begleiten, welche auf globaler Ebene agieren. Dass ich Teil der digitalen Transformation bin und helfen kann grundlegende Kundenprobleme zu lösen. Zu erwähnen ist, dass ich zu guter Letzt auch ein tolles Team habe, mit dem ich gerne zusammenarbeite.
Fabian
Die Cyber Security verändert sich stetig und bei den einzelnen Unternehmen muss noch viel Wissensaufbau betrieben werden. Das macht dieses Thema so spannend für mich. Auch wenn die meisten Kunden mit ähnlichen Problemen kämpfen, sind die Ausgangslagen, die Herangehensweise, die Umgebungen und die Kunden selbst sehr unterschiedlich. Auch schätze ich das heterogene Team und somit die vielfältigen Hintergründe ausserordentlich.
Deine drei Webseiten-Tipps.
Lorena
Ich kann mich leider nicht einschränken…
Fabian
Viele Informationen zum Thema Cyber Security beschaffe ich via www.twitter.com. Folgende Accounts kann ich empfehlen:
- @GovCERT_CH
- @USCERT_gov
- @schneierblog
- @Troyhunt und @haveibeenpwned
- @MalwareTechBlog
- @SwiftOnSecurity
Melde dich jetzt für den 2. Juli 2019 an: DSGVO: Mehr als Cookie Bestätigung – Artikel 32
Antworten