Individual Data Processing – Sicherheits- & Compliance-Perspektive

VonDr. David Bauder,Dr. Carsten Woltmann
Cyber Security, Point of View

Diesen Beitrag teilen

Teilen auf LinkedInTeilen per WhatsAppTeilen via E-Mail

Die meisten von uns kennen und nutzen es: ein über die Jahre entwickeltes Excel-Tool, das ursprünglich von einer Kollegin erstellt wurde, um den Arbeitsalltag zu erleichtern. Die Rede ist von Individual Data Processing (IDP), auch bekannt als individuelle Datenverarbeitung (IDV). IDP beschreibt die Verarbeitung von Daten durch (teil-)automatisierte Anwendungen, die auf individuell erstellten Tools basieren. Im Laufe der Zeit werden oftmals neue Funktionen hinzugefügt, während eine umfassende Dokumentation jedoch ausbleibt. Diese Anwendungen entstehen meist abseits der zentralen IT-Prozesse, um schnell und flexibel auf spezifische Anforderungen der Fachabteilungen zu reagieren. Beispiele hierfür sind, komplexe Berechnungen in Excel, bei denen mitunter auch Makros zur Automatisierung zum Einsatz kommen oder individuell programmierte Tools zur Erstellung von Berichten oder Dashboards. Die Attraktivität solcher Lösungen liegt in ihrer Flexibilität, der oft kurzen Entwicklungszeit und den geringen Kosten. Diese Vorteile gehen jedoch häufig zulasten von Sicherheitsmaßnahmen und Standardisierungen. Es entwickelt sich so eine Art „Schatten-IT“, die weder zentral verwaltet noch ausreichend dokumentiert wird. Dadurch entstehen potenzielle Sicherheitslücken und Schwachstellen, die das gesamte Unternehmen gefährden können. In diesem Artikel zeigen wir Möglichkeiten auf, um die Risiken zu mindern und gleichzeitig die Vorteile von IDP nutzen zu können.

Risiken und Maßnahmen für IDP im Überblick 

Risiken von IDP – Sicherheits- und Compliance-Bedenken aus der Praxis

Die zunehmende Bedeutung von IDP wurde auch durch die Regulierungsbehörden erkannt. Vorschriften wie DORA oder branchenspezifische IT-Anforderungen wie VAIT, BAIT oder KAIT betonen die Notwendigkeit, alle datenverarbeitenden Prozesse – einschließlich IDP – in ein umfassendes Sicherheits- und Risikomanagement einzubinden. Ein Beispiel: Wenn IDPs nicht den strengen Vorgaben und Kontrollen eines Secure Software Development Lifecycle unterliegen, entstehen erhebliche Risiken. Diese betreffen sowohl regulatorische als auch operative Aspekte und erfordern gezielte Maßnahmen. Unternehmen, die diesen Anforderungen nicht nachkommen, riskieren nicht nur hohe Strafen, sondern auch schwerwiegende Reputationsverluste. Die Analyse von Ablaufprozessen zeigt oft überraschend, an wie vielen Stellen undokumentierte IDPs im Einsatz sind. Diese Tools erfüllen häufig nützliche Aufgaben und arbeiten zuverlässig, doch ihre objektive Qualitätssicherung ist in der Regel nicht gewährleistet. Dies führt zu verschiedenen Risiken:

  1. Mangelnde Sicherheitskontrollen: Viele IDP-Lösungen werden ohne einheitliche Sicherheitsvorgaben entwickelt. Beispielsweise enthalten Excel-Makros häufig Schwachstellen, die von Angreifern ausgenutzt werden können. Auch die ungesicherte Speicherung sensibler Daten auf lokalen Laufwerken oder Cloud-Diensten stellt ein typisches Problem dar.
  2. Fehlende Dokumentation und Nachvollziehbarkeit: Ohne klare Dokumentation und Versionskontrollen sind Änderungen an IDPs kaum nachvollziehbar. Die Fehleranfälligkeit komplexer Anwendungen, etwa in Excel, verschärft die Problematik zusätzlich. Selbst bei anfangs fehlerfreien Tools können Änderungen in den Eingangsdaten, Softwareversionen oder Zugriffsmöglichkeiten die Stabilität gefährden. Dies erschwert die Identifikation und Behebung von Sicherheitslücken.
  3. Fehlender Owner: In einer strukturierten IT-Landschaft wird jeder Anwendung ein Application-Owner zugeordnet, der für Pflege, Dokumentation und Governance verantwortlich ist. Bei IDPs fehlt diese Rolle oft. Stattdessen fungiert häufig ein einzelner Kollege, der sich mit dem Tool auskennt, ohne jedoch offiziell dafür verantwortlich zu sein.
  4. Regulatorische Anforderungen: Vorschriften wie DORA oder NIS2 verlangen von Unternehmen eine klare Governance über alle datenverarbeitenden Prozesse. Unkontrollierte IDP-Anwendungen laufen diesen Vorgaben zuwider, da sie häufig außerhalb der zentralen IT-Governance betrieben werden und die nötigen Sicherheits- oder Prüfstandards nicht erfüllen.
  5. Hohes Betriebsrisiko: Individuell entwickelte Lösungen bergen bei Ausfällen oder Weiterentwicklungen hohe Risiken für den Betrieb. Es fehlt häufig an Skalierbarkeit und an der Integration in zentrale IT-Strategien, was die langfristige Verfügbarkeit erschwert.

Trotz der genannten Risiken sollte der Einsatz von IDPs nicht grundsätzlich infrage gestellt werden. Wenn die Risiken bekannt sind, können gezielte Sicherheitsstrategien entwickelt werden. Wie dies im Detail aussehen kann, wird im nächsten Abschnitt beleuchtet.

Sicherheitsstrategien – die sichere Nutzung von IDP

Die sichere Nutzung von IDP erfordert einen strukturierten Ansatz, der die Flexibilität solcher Lösungen erhält, ohne Sicherheits- oder Compliance-Standards zu kompromittieren. Zu den wichtigsten Maßnahmen für einen sicheren Umgang mit IDPs zählen:

  1. Inventarisierung und Klassifizierung: Es ist essenziell, alle bestehenden IDP-Anwendungen zu identifizieren und zu bewerten. Eine Schutzbedarfsanalyse kann dabei helfen, kritische Anwendungen zu priorisieren und gezielt Sicherheitsmaßnahmen zu implementieren.
  2. Definition von Mindeststandards: Unternehmen sollten verbindliche Sicherheitsrichtlinien für IDP festlegen. Dazu gehören u. a. die Verwendung sicherer Frameworks, regelmäßige Sicherheitsprüfungen und das Verbot unsicherer Programmiersprachen oder Bibliotheken.
  3. Sensibilisierung der Nutzer: Mitarbeitende müssen geschult werden, dass bereits ein einfaches Excel-Tool IDP sein kann. Sicherheitsbewusstsein und Grundkenntnisse im Umgang mit entsprechenden Tools und Daten sind essenziell, um potenzielle Schwachstellen von Anfang an zu vermeiden.
  4. Integration in die IT-Governance: IDP sollte in bestehende IT-Prozesse integriert werden, z. B. durch die Einbindung in IT-Asset-Management-Systeme. Dadurch können Anwendungen überwacht und zentralisiert dokumentiert werden.
  5. Automatisierte Sicherheitsprüfungen: Tools zur Analyse von Makros oder Scripts können automatisiert Schwachstellen identifizieren und Sicherheitslücken schließen. Solche Prüfungen sollten regelmäßig und vor jeder Nutzung neuer Versionen durchgeführt werden.
  6. Monitoring und Reporting: Ein kontinuierliches Monitoring von IDP-Anwendungen, einschließlich ihrer Nutzungsdaten und potenzieller Sicherheitsvorfälle, erhöht die Transparenz und hilft, Risiken frühzeitig zu erkennen.

Fazit

IDPs sind aus der Praxis kaum mehr wegzudenken, da sie den Arbeitsalltag spürbar erleichtern und in vielen Bereichen einen echten Mehrwert bieten. Dennoch bringen sie Risiken mit sich, die gezielt adressiert werden müssen. Unternehmen sollten IDPs deshalb in ihre Sicherheitsstrategien einbinden und klare Mindeststandards definieren, um Sicherheitslücken zu schließen und regulatorische Vorgaben zu erfüllen. Ein strukturierter Ansatz, der die Flexibilität von IDPs mit robusten Sicherheitsmaßnahmen kombiniert, stärkt nicht nur die Cyberresilienz, sondern erhöht auch die Effizienz und die operative Zuverlässigkeit der Organisation nachhaltig.

//Über die Autor:Innen

//Das könnte Sie auch interessieren

27. Januar 2025
Cyber & Regulatorik 2025: Was Unternehmen jetzt wissen müssen
Lesen
20. Januar 2025
Vulnerability Management – Der Lifecycle für nachhaltige IT-Sicherheit
Lesen
12. Dezember 2024
Erfassung der IKT-Dienstleister-Daten im DORA Register
Lesen