Reading time: 5 Minutes
Wie sicher sind Ihre Unternehmensdaten ausserhalb des Büros? Diesen Monat tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft, die weltweit alle Organisationen betrifft, die personenbezogene Daten von EU-Bürgern sammeln oder verarbeiten. Hier erhalten Sie Empfehlungen von DSGVO-Experten dazu, wie Sie Ihr Unternehmen schützen können.
Falls Ihre Firma auf mobile Mitarbeiter angewiesen ist, wissen Sie bereits, wie wichtig es ist, dass Daten nicht missbraucht, verlegt oder veruntreut werden. Doch mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) diesen Monat (Mai 2018), ist es ebenso wichtig sicherzustellen, dass Sie die strengen Anforderungen der Verordnung erfüllen – andernfalls drohen finanzieller Schaden und Rufschädigung. Wie können Sie also Daten unterwegs schützen und gleichzeitig die Vorteile einer wirklich flexiblen Belegschaft aufrechterhalten?
1. Informieren Sie Ihre Mitarbeiter
In der Sprache der DSGVO ist Ihr Unternehmen der „Informationseigentümer“ und Ihre mobilen Mitarbeiter sind „Informationsnutzer“. „Das bedeutet, dass sie eine ebenso grosse Rolle bei der Sicherung Ihrer Unternehmensdaten spielen müssen, wie Sie selbst“, so John Slaughter, MD von Data Comply.(1) „DSGVO-Konformität sollte innerhalb ihres Arbeitsalltags zur Priorität werden, besonders wenn sie im Homeoffice arbeiten“, fügt er hinzu. „Klare Richtlinien zur Verwendung sicherer Netzwerke sind entscheidend, also bestimmen und kommunizieren Sie, welche Datensätze auf eine sichere Umgebung beschränkt sind.“ Er rät Unternehmen, ihre Mitarbeiter regelmässig zu schulen, umzuschulen und zu überprüfen, um sicherzustellen, dass sie die Probleme verstehen und ihre Praktiken auf dem neusten Stand sind.
Zudem sollten Unternehmen in Betracht ziehen, ihre Mitarbeiter daran zu erinnern, dass öffentliches WLAN keinesfalls sicher ist. „Privatpersonen sollten Bankgeschäfte nicht über öffentliche Netzwerke abwickeln, also sollten sie von dort auch keinesfalls auf vertrauliche Arbeitsdokumente zugreifen“, sagt Andy Kays, CTO von Redscan, einer Spezialfirma für Bedrohungserkennung und -abwehr.(2) „Bitten Sie Ihre Mitarbeiter, nur sichere WLAN-Zugangspunkte zu benutzen oder sich über sichere (VPN-) Verbindungen mit dem Unternehmensnetzwerk zu verbinden. Es ist auch gut, sich über 4G (oder Dongle) mit dem Internet zu verbinden, sodass die Mitarbeiter über eine gute und sichere Verbindung zum Provider verfügen.“
2. Schützen Sie alles mit Passwörtern
Die DSGVO wird wahrscheinlich die Macht haben, bei erheblichen Datenverstössen Strafen von bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens zu verhängen. Ausnahmen sind nur möglich, wenn Sie aufzeigen können, dass die Daten korrekt verschlüsselt wurden.
„Es gibt keine absolute Sicherheit – selbst die NASA wurde gehackt“, so der Rumäne Andrei Hanganu, Autor des EU DSGVO Dokumentations-Toolkits.(3) „Aber starke Passwörter und angemessene Verschlüsselungslösungen helfen, Ihre persönlichen Daten vor unbefugten Benutzern zu schützen.“
Die meisten Unternehmen verfügen über Software zur Verschlüsselung von Laufwerken und allen darauf gespeicherten Daten, das gilt aber nicht automatisch für externe Geräte. Hanganu empfiehlt, die für Laptops, Handys und PCs benötigte Verschlüsselungssoftware zur Verfügung zu stellen – der Benutzer benötigt dann lediglich eine PIN oder ein Passwort, um auf die Daten zuzugreifen und sie in eine lesbare Form zu bringen. Alle Mitarbeiter sollten sich angewöhnen, alles mit einem Passwort zu schützen.
3. Bleiben Sie sauber
Viren und Malware-Angriffe können Daten sammeln und nachverfolgen und fallen somit auch unter die DSGVO. „Da sich vor Malware so schwer zu schützen ist, sind die meisten Unternehmen der Meinung, dass es nicht darum geht, ob, sondern wann man getroffen wird“, so Nigel Tozer, Director EMEA Solutions Marketing bei Commvault.(4) Er empfiehlt, sicherzustellen, dass die Geräte Ihrer Mitarbeiter durch modernste Betriebssysteme und Antivirensoftware geschützt werden.
„Menschen sind immer das schwächste Glied, wenn es um den Sicherheitsstatus eines Unternehmens geht. Es kann verheerende Folgen haben, wenn ein einzelner Mitarbeiter auf einen bösartigen Link klickt oder sein System nicht aktualisiert“, fügt Andy Kays hinzu. „Daher ist es wichtig, das Bewusstsein der Mitarbeiter für Cybersicherheitsrisiken durch regelmässige Mitarbeiterschulungen zu schärfen. Das gilt insbesondere für mobile Mitarbeiter, die möglicherweise von zahlreichen Geräten, Standorten und Netzwerken aus auf Firmendaten und -dienste zugreifen.“
Unternehmen könnten auch in Erwägung ziehen, turnusmässige Treffen mit der IT-Abteilung einzuführen, zu denen Mitarbeiter ihre mobilen Geräte für regelmässige Sicherheitsüberprüfungen, Updates und Upgrades mitbringen.
Hat Ihr Unternehmen eine Strategie, um Daten auch ausserhalb des Büros zu schützen?
4. Vergessen Sie die visuelle Sicherheit nicht
„In einer technologisch fortschrittlichen Welt vergisst man leicht, dass es immer noch Low-Tech-Methoden zum Diebstahl Ihrer Firmendaten gibt“, so Orlagh Kelly, Rechtsanwältin und CEO von Briefed, einer Spezialfirma für DSGVO-Training und -Beratung.(5)
In einem von 3M durchgeführten Experiment konnte ein Undercover-Hacker in 88 % der Fälle durch reines „Shoulder-Surfing“ (Blick auf den Bildschirm einer Person) sensible Informationen abgreifen.(6)
„Fordern Sie Ihre Mitarbeiter auf, sich bewusst zu machen, wer ihnen über die Schulter schauen kann, wenn sie ausserhalb des Büros arbeiten“, empfiehlt Kelly. Sie können auch die Ausgabe von Blickschutzfolien in Erwägung ziehen, die auf dem Bildschirm angebracht werden und vor Seitenblicken derjenigen schützen, die heimlich einen Blick riskieren.
5. Die Grenzen der Cloud verstehen
Laut einer Studie des Ponemon Institute werden 44 % der in einer Cloud-Umgebung gespeicherten Unternehmensdaten nicht durch die IT-Abteilung verwaltet oder kontrolliert. Die Folge ist demnach, dass die Benutzung von Cloud-Diensten die Wahrscheinlichkeit einer Datenschutzverletzung mit Schaden in Höhe von 20 Mio. US-Dollar um das Dreifache erhöhen kann.(7)
„Die Wahl des richtigen Cloud-Providers ist sehr wichtig“, so Nigel Tozer. „Sie müssen genau wissen, wie der Anbieter mit Datenverstössen umgeht, da auf beiden Seiten Haftbarkeiten bestehen. Wenn alle Daten in der EU verbleiben, sollte Ihr Cloud-Provider sicherstellen, dass diese auf eine Art und Weise gepflegt werden, die den geltenden gesetzlichen Anforderungen entspricht. Sie sollten auch überprüfen, ob alle Daten, die die EU verlassen, in Bezug auf die DSGVO angemessen geschützt sind.“
Tozer weist darauf hin, dass der Cloud-Provider im Hinblick auf die DSGVO der Datenverarbeiter ist, während Sie der Controller sind. „[Das heisst], es ist Ihre Verantwortung, die Qualifikationen Ihres Providers zu überprüfen und sicherzustellen, dass dieser hinsichtlich der Umsetzung angemessener technischer und organisatorischer Sicherheitsvorkehrungen, die der neuen EU-Verordnung entsprechen, ausreichende Garantien bietet.“
6. Respektieren Sie die Privatsphäre Ihrer Mitarbeiter
Falls Sie momentan Tools oder Technologien zur Überwachung der Produktivität Ihrer mobilen Mitarbeiter nutzen, so müssen Sie überlegen, wie Sie Ihre guten Absichten mit der Notwendigkeit, deren Privatsphäre zu schützen, in Einklang bringen können, so George Harris, DSGVO-Consultant von DMPC Ltd.(8) „[Die Überwachung Ihrer Mitarbeiter] ist innerhalb eines normalen Geschäftsszenarios nur schwer zu rechtfertigen“, sagt er.
Nach den Standards der DSGVO ist es schwierig, die Geräte eines Angestellten (per Keylogger oder Maus-Tracking) zu überwachen, ohne dessen Recht auf Privatsphäre zu verletzen. Die Artikel-29-Datenschutzgruppe schreibt: „Technologien, die die Kommunikation überwachen, können […] die Grundrechte der Arbeitnehmer auf Organisation, das Abhalten von Arbeitnehmerversammlungen sowie auf vertrauliche Kommunikation (einschliesslich des Rechts auf das Einholen von Informationen) beeinträchtigen.“(9)
7. Legen Sie sich einen Aktionsplan für Datenschutzverletzungen zu
„Eine Datenschutzverletzung kann alles umfassen, von einem Malware-Angriff auf den Laptop einer Person bis zu einem Mitarbeiter, der sein Arbeitstelefon im Zug vergisst oder versehentlich Datensätze unter Verwendung von ,cc’ anstatt von ,bcc’ an eine Gruppe versendet“, so James Walker, MD von Jaw Consulting UK, die auf Cybersicherheit, Datenschutz und Schutz der Privatsphäre spezialisiert sind.(10)
Während Ihr erster Instinkt natürlicherweise darin besteht, Schadenbegrenzungsverfahren einzuleiten, so ist dies nun gemäss der DSGVO noch dringlicher. „Eine Organisation hat 72 Stunden Zeit, um sowohl die betroffenen Personen, als auch die zuständige Aufsichtsbehörde über eine Datenschutzverletzung zu informieren, einschliesslich einer Analyse der wahrscheinlichen Folgen des Verstosses sowie der eingeleiteten oder beabsichtigten Massnahmen zur Abmilderung einer solchen Panne“, erklärt Walker.
Erinnern Sie sich an die Vier-Prozent-Strafe von weiter oben? Genau die könnte bei Nichteinhaltung auf dem Spiel stehen. „Ausnahmen zu diesem detaillierten Meldeverfahren sind möglich, wenn Sie nachweisen können, dass der Verstoss wahrscheinlich nicht zu einer Gefährdung der Rechte und Freiheiten natürlicher Personen führen wird“, so Walker. „Wenn Sie zeigen können, dass Sie die Daten korrekt verschlüsselt haben, wird das eine grosse Hilfe sein und Sie möglicherweise sogar von der Pflicht entbinden, einen solchen Vorfall als Datenverstoss zu melden.“
Quellen:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
