In der Diskussion um Geschäftsmodelle wird Datenschutz als Hemmschuh gesehen. In China und den USA sei man weiter, weil Datenschutz dort nicht so eng gesehen werde wie in Europa. Für Produktteams ist Datenschutz ein rotes Tuch. Dokumentationspflichten, Offenlegung und Begründung der Datenverarbeitung werden als lästig empfunden. Ich werbe für einen offensiveren Umgang:
Datenschutz als Basis für erfolgreichere Geschäftsideen – in wirksamer Zusammenarbeit mit den für User Experience Verantwortlichen arbeiten Sie auf Datensparsamkeit und Einfachheit hin.
Als Führungskraft in der Softwareentwicklung dienen Sie nicht nur der Compliance, wenn Sie sicheren Umgang mit Daten auf die Agenda setzen. Datenschutz ist Selbstschutz. Mit jedem Abfluss von Geschäfts- oder Kundendaten setzen Sie Ihr Unternehmen aufs Spiel. Beispiele dafür ereignen sich in immer schnellerer Abfolge und schaffen es mittlerweile sogar in die Tagesschau.
Die meisten Systeme haben heute über das öffentliche Internet erreichbare APIs. Da ergeben sich zwei Angriffsvektoren: die Datenhaltung an sich, und die Schnittstellen. Beide Themen sind für Entwicklungsteams relevant. Die Datenhaltung zu sichern ist ebenso Teil der Aufgabe wie das Design der API und die Sicherung der Transportwege. Das gilt für Cloud-Native-Umgebungen genauso wie bei klassischen Client-Server-Architekturen. Der Umgang mit Testdaten und Backups ändert sich. Das OWASP-Projekt pflegt mit der »API Security Top 10« eine Liste der zehn am häufigsten vorkommenden Angriffsvektoren auf API. Eine gute Übersicht, um schrittweise die Sicherheit der eigenen APIs zu verbessern.
Security by Design basiert auf Datensparsamkeit und guter Nutzungserfahrung.
Datensparsam handeln Sie, in dem Sie darauf hinwirken, nur die notwendigen Daten zu verarbeiten. Dabei finden Sie in den User-Experience-Teams wirksame Verbündete. Das Thema ist ein relevanter Türöffner für vertrauensvolle Kollaboration. UX-Experten arbeiten darauf hin, die Nutzenden in klaren Schritten zum Ergebnis zu führen. Komplizierte Formulare widersprechen diesem Ziel. Je weniger sensible Daten erhoben werden, desto kleiner ist die Investition in Protokolle, Löschfunktionen und Verfahrensverzeichnisse.
Eine weitere Tagesschau-Meldung rückt die Nutzbarkeit der Sicherheit in den Vordergrund. Höhere Sicherheit erfordert immer, eine Hürde nehmen zu müssen. Die Zusammenarbeit mit Menschen mit UX- und Design-Expertise ist grundlegend, wenn diese Hürde nicht unnötig schwer zu überwinden sein soll. Software soll fehlerfrei funktionieren. Doch genauso wichtig ist, dass sie einfach zu nutzen ist. Je mehr Sicherheit ein System den Nutzenden gibt, »alles richtig zu machen«, desto sicherer fühlen sie sich. Kompliziert zu benutzende Sicherheitsfunktionen werden nicht verstanden – und letztlich ignoriert.
Wenn Sie über Datensicherheit nachdenken, denken Sie an Ihren Wettbewerb. Wie kann die Sicherheit Ihrer Produkte als Vorteil jenseits von Hygienefaktoren formuliert werden? Eröffnen sich neue Einsatzmöglichkeiten oder Kundengruppen?
Ein gemeinsames Bild der Relevanz von Sicherheit für Ihr Produkt und Kollaboration aller Stakeholder bei der Risikobewertung bilden die Grundlage für mehr Sicherheit für die Daten Ihrer Kunden.