Compliance und IT

Ethische Aspekte bei Zugriffsberechtigungen

Seite: 2/2

Anbieter zum Thema

Medizinische Daten als Entlassungsgrund?

Die Materie wird noch um einiges komplizierter, denn IoT-Geräte wie Fitness- und Gesundheits-Tracker tun mehr, als nur Stufen zu zählen. In nicht allzu ferner Zukunft werden wir es mit internetfähigen Überwachungsmonitoren für die Herztätigkeit und Herzschrittmachern zu tun bekommen sowie mit Insulinmessgeräten, die mit dem Netz verbunden sind. Und vermutlich mit noch sehr viel mehr internetfähigen Geräten, die es den Akteuren im Gesundheitswesen erlauben in Echtzeit miteinander zu kommunizieren. Sollte ein Unternehmen diese Daten speichern? Werden Unternehmen diese Daten nutzen, wenn es an das Berechnen von Gehältern geht oder darum, ob ein bestimmter Mitarbeiter eingestellt und ein anderer entlassen werden soll?

Ein anderes ethisches Problem, das insbesondere die IT betrifft, ist der Einfluss von behördlichen Regularien und Vorschriften. Das zeigt sich gerade besonders deutlich am Beispiel des Vereinigten Königreichs. Dort fordern Experten immer wieder, dass der Datenstrom im Internet nicht nur überwacht, sondern zensiert werden sollte. Und tatsächlich „droht“ die Regierung bereits damit Plattformen wie Facebook, LinkedIn und Twitter technisch nach potenziell terroristischen Inhalten zu filtern. Wir sind uns sicher weitgehend darüber einig, was terroristische Inhalte sind und was nicht.

Ein Mal installiert öffnet eine solche Technologie allerdings eine Reihe von Möglichkeiten für eine behördliche Überwachung oder die Überwachung durch politische Mandatsträger. Wer definiert dann, wer ins Visier der Überwachung gerät? Vielleicht rivalisierende politische Parteien? Inhalte von Personen oder Interessengruppen deren Lebensstil nicht zu den Ansichten der vorherrschenden Partei/en passt? Wahrscheinlich? Eher nicht. Möglich? Durchaus.

Erwartungen in einem „IT Code of Conduct“ dokumentieren

Wir haben hier nur einige Bereiche beleuchtet, in denen ethische Fragen mit der IT kollidieren. Warum sind diese Fragen so schwierig zu beantworten und warum hat es bisher so wenige brauchbare Versuche gegeben? Dafür gibt es eine Reihe von Gründen. Zum einen gibt zwischen denen, die Gesetze machen, und denen, die sie „leben“ einen Graben was die Tiefe des technischen Verständnisses anbelangt. Regierungsbehörden und Agenturen sollten wesentlich enger mit den IT-Experten an der Basis zusammenarbeiten, um besser zu verstehen, wie sich ihre Wortwahl konkret auswirkt.

Ein gutes Beispiel für eine solche Zusammenarbeit sind die Payment Card Industry’s (PCI) Standards für sichere Kreditkartentransaktionen. Die Vorschriften sind sehr explizit formuliert. Sowohl bei dem, was sie bewirken sollen, als auch dabei wie die Vorschriften umgesetzt werden. Andere Gesetze und Vorschriften, insbesondere solche, die von der jeweiligen Regierung erlassen werden (wie etwa die EU-Datenschutzgrundverordnung, DSGVO/GDPR) sind im Gegensatz zu Regularien, die direkt aus der betreffenden Branche kommen wie PCI, eher vage, wenn es an die Vorgaben zur Implementierung geht.

Das macht es den einzelnen Firmen nicht unbedingt leichter. Um diese Lücke zu füllen, sollten Unternehmen besser selbst aktiv werden und ihre Erwartungen in einem „IT Code of Conduct“ klären und dokumentieren. Es gibt bereits einige solcher Dokumentationen unter anderem vom SANS-Institut, einer Forschungs- und Bildungseinrichtung, der weltweit über 165.000 Sicherheitsexperten angehören.

Die Antwort: Vertrauen und verifizieren

Unternehmen sollten zudem eine Strategie von „Vertrauen und Verifizieren“ verfolgen. Die schützt sowohl IT-Fachleute als auch Unternehmen vor Rechtsstreitigkeiten oder mangelnder Compliance. Es gibt Produktklassifikationen und Aktivitäten, die solche Maßnahmen unterstützen:

  • • Privileged Access Management-Lösungen kontrollieren, wer hochprivilegierten Zugriff auf die jeweiligen Systeme hat.
  • • Das Log-Management hält jede einzelne Aktivität fest, die auf einem Computer oder einem anderen Gerät stattfindet (das sogenannte „Audit-Log“); üblicherweise bieten diese Produkte entsprechende Sicherheitsmaßnahmen und stellen sicher, dass die Logs nicht manipuliert werden.
  • • Kontinuierliche Schulungen für das IT-Personal vermitteln, was von ihm erwartet wird und welche Auswirkungen ihre Aktivitäten haben – auf die IT ebenso wie auf das Unternehmen selbst.

Unabhängig davon, für welche Lösung ein Unternehmen sich letzten Endes entscheidet, sollte die Entscheidung nicht ausschließlich gefällt werden, weil sie in sicherheitstechnischer Hinsicht nützlich ist. Moderne Sicherheitsprodukte und Lösungen werden inzwischen so entwickelt, dass sie zusätzlich in der Lage sind, Unternehmen agiler und produktiver zu machen. Viele Industriezweige verfügen mittlerweile über einen Code of Conduct, um ethische Dilemmata zu lösen. Die Zeit ist reif einen solchen Code of Conduct in der IT einzuführen. Er sollte sich an IT-Experten und Benutzer gleichermaßen richten und mehr Vertrauen und Verständnis dafür schaffen, was wir von der IT erwarten dürfen und was nicht.

Bill Evans ist Vice President Marketing bei One Identity, Aliso Viejo (USA).

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:45273840)