Die IT-Landschaft in einem einzelnen Unternehmen ist schon heterogen und komplex. Doch in Digitalen \u00d6kosystemen ist die Komplexit\u00e4t und Dynamik noch weitaus h\u00f6her. Auch sind in der Regel nicht alle beteiligten Partner gleicherma\u00dfen kompetent und gewissenhaft im Umgang mit der Datensicherheit. Aufgrund dessen und aufgrund der Vielzahl an wertvollen IT-Systemen und Daten sind Digitale \u00d6kosysteme daher attraktive Angriffsziele.<\/p>\n
Gerade die Aufbauphase ist dabei gleicherma\u00dfen herausfordernd und essenziell f\u00fcr die Datensicherheit. Einerseits m\u00fcssen Aufbau und Wachstum eines Digitalen \u00d6kosystems schnell gehen, um einen fr\u00fchen Markteintritt zu erm\u00f6glichen. Andererseits k\u00f6nnen Sicherheitsm\u00e4ngel oder gar -vorf\u00e4lle in dieser Phase schnell das Aus bedeuten. Die Ergreifung der notwendigen Ma\u00dfnahmen steht teils in Abw\u00e4gung zur Geschwindigkeit von Ausbau und Wachstum. Leider werden in der \u00f6ffentlichen Wahrnehmung h\u00e4ufig alle \u00d6kosystempartner f\u00fcr die Sicherheitsm\u00e4ngel eines einzelnen Partners mit in \u00bbHaftung\u00ab genommen. Umso wichtiger ist es daher, fr\u00fchzeitig und durchg\u00e4ngig ein hohes Datensicherheitsniveau zu etablieren. Um dies zu erreichen, m\u00fcssen diverse Aspekte beachtet werden, \u00fcber die wir im Folgenden einen \u00dcberblick geben.<\/p>\n
Anwendungsbeispiel \u00bbBanking\u00ab \u2013 Die Bank als Plattformbetreiber<\/h2>\n
Um unsere Ausf\u00fchrungen etwas plastischer zu machen, m\u00f6chten wir ein fiktives Digitales \u00d6kosystem aus dem Finanzwesen skizzieren, auf welches wir in diesem Artikel immer wieder Bezug nehmen.<\/p>\n
Mit der Umsetzung der zweiten Zahlungsdienstrichtlinie (EU) 2015\/2366 (kurz PSD2)<\/a> wurde nicht nur der Schutz f\u00fcr Bankkunden verbessert, sondern es wurden auch einheitliche Schnittstellen (API) f\u00fcr FinTechs und Kooperationspartner geschaffen. FinTechs k\u00f6nnen durch diese Schnittstellen auf Bankdaten zugreifen und durch deren Auswertung neue Produkte und Dienstleistungen generieren. Diese reichen von neuen Bezahlmethoden \u00fcber einheitliches Finanzmanagement und KI-basiertes Asset-Management bis hin zu Empfehlungen auf Basis des Einkaufs- und Surfverhaltens.<\/p>\n In unserem Beispiel (siehe Abb. 1) sorgt die Plattform \u00bbBanking-Data-Hub\u00ab zus\u00e4tzlich daf\u00fcr, dass \u00d6kosystempartner (also FinTechs und Banken) Daten zentralisierter und standardisierter austauschen k\u00f6nnen. Als Teilnehmende haben wir Bankkunden, aber auch weitere Unternehmen, welche die Dienste der Kooperationspartner nutzen. Im Hinblick auf Themen wie Compliance, Datensicherheit oder Datensouver\u00e4nit\u00e4t wird deutlich, dass die genannten Aspekte immer ganzheitlich f\u00fcr das Digitale \u00d6kosystem betrachtet werden sollten.<\/p>\n Der Erfolg und die Sicherheit aller Teilnehmenden steht und f\u00e4llt nat\u00fcrlich zun\u00e4chst mit der Sicherheit der Plattform. Als Kern des \u00d6kosystems m\u00fcssen in der Plattform entsprechende technische und organisatorische Ma\u00dfnahmen (TOM) konzipiert und umgesetzt werden, um die Gesamtheit der Sicherheitsanforderungen und -herausforderungen f\u00fcr alle Teilnehmenden in angemessener Form zu l\u00f6sen. Diese Aufgabe f\u00e4llt den Initiator*innen und Betreibenden der Plattform zu. Das Spektrum umfasst dabei Ma\u00dfnahmen zum Schutz der Daten beim Transport, zur sicheren Speicherung, zur Authentifizierung und Autorisierung, zur Datenvalidierung, zur Verwaltung von Ressourcen und Nutzern, zur Mandantentrennung, zur rechtssicheren Protokollierung, zur Sicherstellung der Verf\u00fcgbarkeit bis hin zu Ma\u00dfnahmen zur Sicherstellung des Datenschutzes. All diese Ma\u00dfnahmen m\u00fcssen dabei mit den organisationsweiten TOM des Betreibers Hand in Hand gehen und diverse Rahmenbedingungen ber\u00fccksichtigen.<\/p>\n Ein solches Sicherheitskonzept erfordert Expertise und entsprechende Fachkr\u00e4fte. Unsere Erfahrungen haben au\u00dferdem gezeigt, dass die gesamte Bandbreite an Anforderungen, einschlie\u00dflich des Gesch\u00e4ftsmodells, direkt miteinbezogen werden sollte. Ziel muss es immer sein, die Datensicherheit zu gew\u00e4hrleisten, gleichzeitig aber einen wirtschaftlichen Betrieb zu erm\u00f6glichen.<\/p>\n Als w\u00e4re ein umfassendes Sicherheitskonzept f\u00fcr die Plattform alleine nicht schon komplex genug, endet der Sicherheitshorizont leider nicht an der Plattformschnittstelle. Entsprechend sollten durch den Plattformbetreiber entsprechende Standards, bzw. ein Code of Conduct (\u00bbSpielregeln\u00ab) beim Umgang mit Daten, festgelegt werden.<\/p>\n Wie diese Spielregeln genau ausfallen und wie detailliert oder restriktiv sie sein sollten, h\u00e4ngt dabei vom Einzelfall ab. Schlussendlich m\u00fcssen diverse Aspekte gegeneinander abgewogen werden. Zu restriktive oder enge Regeln erschweren beispielsweise das Onboarding oder stehen den Gesch\u00e4ftsmodellen der Teilnehmenden entgegen.<\/p>\n Unserer Erfahrung am Fraunhofer IESE nach funktionieren solche Codes of Conduct dann am besten, wenn jeder einzelne Partner einen Nutzen davon hat, wenn sich alle Partner an die Regelungen halten. Idealerweise werden die Regelungen auch als eine Art Hilfestellung bei der Umsetzung gewisser Ma\u00dfnahmen ausgestaltet, welche ohnehin obligatorisch sind \u2013 wie beispielsweise die Umsetzung der Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO).<\/p>\n Die Umsetzung der DSGVO ist nat\u00fcrlich f\u00fcr den Plattformbetreiber und alle Partner bindend. Dies zieht jedoch ein Konglomerat aus datenschutzspezifischen Erkl\u00e4rungen, Einstellungen und Kontaktm\u00f6glichkeiten nach sich. Die Umsetzung der Betroffenenrechte (z. B. Datenauskunft, Korrektur, L\u00f6schung) in der Plattform an sich ist schon herausfordernd. Im Digitalen \u00d6kosystem muss man zudem \u00fcber die eigentliche technische Plattform hinausdenken. Man muss sich also dar\u00fcber hinaus auch mit einem plattform\u00fcbergreifenden Einwilligungsmanagement, einheitlichen Schnittstellen f\u00fcr Partner und Teilnehmende sowie Prozessen und Qualit\u00e4tsstandards f\u00fcr die Plattform und die Partner auseinandersetzen.<\/p>\n Aus Sicht des Fraunhofer IESE ist es daher entscheidend, dass alle Einstellm\u00f6glichkeiten und Informationen in einer einheitlichen Art und Weise dargestellt werden und die dahinterliegenden Umsetzungen auch einheitlich funktionieren, um schlussendlich eine hohe User Experience zu erreichen.<\/p>\n Die Einhaltung der Regelungen ist dabei ein Punkt, deren \u00dcberpr\u00fcfung und Einhaltung ein anderer.<\/p>\n Bevor ein Partner in das \u00d6kosystem aufgenommen werden kann, muss sichergestellt werden, dass geeignete TOM und Vorgaben umgesetzt wurden. Dies ist h\u00e4ufig kein trivialer Vorgang und erfordert entsprechende Prozesse und technische Ma\u00dfnahmen, die aus dem Sicherheitskonzept der Plattform abgeleitet werden. Um den Vorgang der Aufnahme neuer Teilnehmender strukturiert durchzuf\u00fchren, sollte eine Plattform einen Onboarding-Prozess etablieren. Dieser Prozess stellt sicher, dass der neue Teilnehmende alle notwendigen Ma\u00dfnahmen umgesetzt hat.<\/p>\n Dabei enth\u00e4lt der Prozess zum einen manuelle Schritte, wie die Erfassung von allgemeinen organisatorischen Angaben zum Teilnehmenden, aber auch die Pr\u00fcfung des Sicherheitskonzepts der Partner. Dabei ist darauf zu achten, dass deren Sicherheitsstandard nicht schlechter ist als der der Plattform. Grundlegende IT-Sicherheitsprozesse (wie z. B. proaktive Schwachstellenverfolgung, Vorfallbehandlung und Patchmanagement) sowie vom Gesetz geforderte Prozesse im Bereich Datenschutz m\u00fcssen etabliert sein, sodass diese in die Prozesse der Plattform integriert werden k\u00f6nnen.<\/p>\n Neben den genannten manuell durchzuf\u00fchrenden Schritten lassen sich verschiedene Schritte auch (semi-)automatisiert durchf\u00fchren. Im Detail ist dies abh\u00e4ngig von der Art und Weise der Service-Bereitstellung. Zu einer automatischen \u00dcberpr\u00fcfung z\u00e4hlen beispielsweise die \u00dcberpr\u00fcfung der verwendeten Softwarebibliotheken oder der Service-\/Maschinenkonfiguration, oder Schwachstellenscans. Langfristig sollte das Ziel sein, den Onboarding-Prozess weitestgehend zu automatisieren.<\/p>\n Umgekehrt m\u00fcssen auch beim Verlassen von Teilnehmenden gewisse Aspekte, gerade hinsichtlich des Datenschutzes, beachtet werden. Teilnehmenden sollte die Einstellung eines Dienstes angek\u00fcndigt werden, sodass sie ggf. ihre Daten sichern k\u00f6nnen. Sollte der Partner Plattformdaten zwischengespeichert haben, m\u00fcssen diese nachweislich gel\u00f6scht werden. Gleiches gilt auch f\u00fcr Daten der Teilnehmenden, die in der Plattform gespeichert sind. Dar\u00fcber hinaus muss die Plattform alle teilnehmerspezifischen Zugangsdaten widerrufen.<\/p>\n Bei der Erstellung aller Sicherheitskonzepte \u2013 sei es auf der Plattform oder bei den Teilnehmenden \u2013 muss stets klar sein, dass es eine inh\u00e4rente Eigenschaft eines Digitalen \u00d6kosystems ist, dass sich Dinge \u00e4ndern. Teilnehmende kommen hinzu oder verlassen das \u00d6kosystem, Dienste werden optimiert und ver\u00e4ndert, neue Gesch\u00e4ftsmodelle entwickeln sich und Technologien werden verbessert oder ausgetauscht. Dadurch entsteht ein Spannungsfeld zwischen Datensicherheit, der Benutzerfreundlichkeit der Plattform f\u00fcr Teilnehmende und dem Gesch\u00e4ftsmodell. Um dieses Spannungsfeld m\u00f6glichst aufzul\u00f6sen, m\u00fcssen die Prozesse und das Gesch\u00e4ftsmodell der Plattform diesen Aspekt gezielt ber\u00fccksichtigen und Ver\u00e4nderungen begr\u00fc\u00dfen.<\/p>\n All diese \u00c4nderungen erfordern zudem, dass Sicherheits\u00fcberpr\u00fcfungen regelm\u00e4\u00dfig wiederholt werden m\u00fcssen, um ein Abfallen des Sicherheitsniveaus zu verhindern. Die H\u00e4ufigkeit der Sicherheits\u00fcberpr\u00fcfungen h\u00e4ngt dabei von der konkret durchgef\u00fchrten Ma\u00dfnahme ab: Eine Auditierung der Prozesse und der Umsetzung des Sicherheitskonzepts muss beispielsweise nicht so h\u00e4ufig durchgef\u00fchrt werden wie die \u00dcberpr\u00fcfung auf Schwachstellen. Dar\u00fcber hinaus sollte der Betreiber eines \u00d6kosystems ber\u00fccksichtigen, dass sich Themenfelder wie beispielsweise IT-Sicherheit, Datenschutz und Gesetze fortlaufend weiterentwickeln. Die sich daraus ergebenden Neuerungen m\u00fcssen fortlaufendend gepr\u00fcft und bei Anwendbarkeit im \u00d6kosystem und f\u00fcr seine Teilnehmenden umgesetzt werden.<\/p>\n Ganzheitliche Konzepte f\u00fcr Datensouver\u00e4nit\u00e4t in Digitalen \u00d6kosystemen zu entwerfen ist alles andere als trivial. Die inh\u00e4rente Volatilit\u00e4t eines jeden Digitalen \u00d6kosystems l\u00e4sst vermutlich jedem Datensicherheitsverantwortlichen graue Haare wachsen. Verbindliche Regeln, Auditierungen, Compliance-Checks und zentrale Sicherheitsl\u00f6sungen wie Daten-Cockpits helfen, dieser Lage gerecht zu werden und jederzeit angemessen auf \u00c4nderungen zu reagieren.<\/p>\n <\/p>\n Wollen Sie mehr \u00fcber das Thema erfahren oder ben\u00f6tigen Sie Unterst\u00fctzung bei der Absicherung Ihrer eigenen Plattform?\u00a0<\/span><\/strong> <\/p>\n Wir, das Fraunhofer IESE, verf\u00fcgen hierzu \u00fcber jahrelange Expertise und unterst\u00fctzen Sie gerne. Treten Sie gerne mit uns in Kontakt<\/a>.<\/span><\/p>\n![\"Digitales](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2021\/05\/abbildung02-698x360.png\")
Absicherung des Kerns: IT-Sicherheit f\u00fcr die Plattform<\/h2>\n
Alle f\u00fcr einen, einer f\u00fcr alle: Spielregeln f\u00fcr die Datensicherheit im Digitalen \u00d6kosystem<\/h2>\n
Die Rechte des Einzelnen: Datenschutz einheitlich und benutzerfreundlich umsetzen<\/h2>\n
On- und Offboarding: Partner sicher ins \u00d6kosystem aufnehmen \u2013 und wieder entlassen<\/h2>\n
Stillstand ist der Tod: Auf \u00c4nderungen vorbereitet sein<\/h2>\n
Fazit<\/h2>\n
\n<\/span><\/p>\n