Collaboration Datenschutz – virtuell, aber sicher

Es geht darum, Standards zu schaffen sowie Sicherheitslücken zu identifizieren und zu schließen. Dabei sollten stets sowohl innere als auch externe Sicherheitsaspekte bedacht werden. Diesbezüglich gilt es, einer Vielzahl an Compliance Anforderungen und technischen Herausforderungen gerecht zu werden.
Dabei stolpern Unternehmer immer wieder über folgende Fragen:

Wie kann die Kontrolle über Datenzugriffe und der Schutz von Firmeninterna gewährleistet werden?

Bei kollaborativen Arbeitsmodellen sollen Zugriffe zwar flexibel sein, doch darf, gerade wenn sensible Daten betroffen sind, nicht der Aspekt der Sicherheit außer Acht gelassen werden. Insgesamt gilt es, größtmögliche Transparenz und Nachvollziehbarkeit bei den Zugriffsberechtigungen von Nutzern zu schaffen. Deshalb sind einige Vorkehrungen unabdingbar. Hierzu zählen unter anderen das regelmäßige Ändern der Passwörter sowie die Verwendung von komplexen Passwörtern. Besonders wichtig ist eine integrierte Zweiwegeauthentifizierung (zum Beispiel im 1. Schritt wie gewohnt per Passwort und dann im 2. Schritt über einen einmalig zugesendeten, nicht übertragbaren Code, der nach kurzer Zeit verfällt). So wird die Identität des Users sicher durch zwei Verfahren authentifiziert und ein ungewollter Zugriff erschwert.

Wie ist die Sicherheit von virtualisierten Firmendaten zum Beispiel in der Cloud garantiert?

Ganz wichtig ist ein zentrales Sicherheitsmanagement, mit integrierter Software für Mobile Device Management (also die Verwaltung aller mobilen Endgeräte, der damit verbundenen Software, Updates sowie aller Vorkehrungen für Diebstahlsicherung). Daten, die in der Cloud gespeichert werden, sollten stets verschlüsselt sein. Wer auf Nummer sicher gehen will, nutzt beispielsweise Software zur inländischen Datenspeicherung wie Office 365 Deutschland. Hier erfolgt das Hosten der Daten ausschließlich in einem Rechenzentrum in Deutschland, das hiesigen Datenschutzstandards unterliegt.

Wie kann das Unternehmen vor Hacker-Angriffen geschützt werden?

Ein hundertprozentiger Schutz vor Hackern ist unmöglich. Dennoch können Unternehmen ihre Daten mehrschichtig absichern und den Hackern damit den Zugriff erschweren. Besonders die eigene, ins Internet führende IT ist in vielen Unternehmen unzulänglich gesichert, sodass hier schnell Schlupflöcher entstehen. An dieser Stelle können Software und Tools wie Office365 für hochwertigen Datenschutz sorgen, indem diese Verschlüsselungen, Zugriffsbeschränkungen und Authentifizierungsbarrieren integrieren. Häufig können solche Lösungen einfach zu Cloud Anwendungen hinzugebucht werden. Die Implementierung dieser Sicherheitsvorkehrungen in der lokalen Unternehmens-IT ist hingegen mit hohen Kosten und viel Aufwand bei der Planung, dem Betrieb und dem Support verbunden. Im Vergleich dazu lassen sich mit virtuellen Lösungen enorme Einsparungen, bei erhöhter Sicherheit vornehmen.

Welche Compliance Anforderungen müssen beachtet werden?

Jedes Unternehmen sollte interne Regelungen festhalten, die Verfahrensanweisungen sowie eigene Standards und Richtlinien fassen. Dadurch kann dafür Sorge getragen werden, dass die Mitarbeiter über die hauseigenen Sicherheitsstandards Bescheid wissen, und bewusster mit dem Thema IT-Security umgehen. Wichtig ist auch, die Einhaltung der Regelungen zu überwachen und das Datenschutzkonzept stets auf dem neusten Stand zu halten.

Zusätzlich müssen Unternehmen bestimmte externe Standards erfüllen. Betreffende Gesetze sind unteranderen das deutsche ‚Telekommunikationsgesetz‘ (TKG); ‚das Bundesdatenschutzgesetz‘ (BDSG); die ‚Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff‘ (GoBD); das ‚Gesetz zur Kontrolle und Transparenz im Unternehmensbereich‘ (KonTraG); sowie zukünftig die, voraussichtlich im Sommer 2018 in Kraft tretende ‚EU-Datenschutzgrundverordnung‘ (DSGVO).

Warum ist sind die Themen Datenschutz und IT-Sicherheit so wichtig?

Verstoßen Unternehmen gegen gesetzliche Regelungen und Richtlinien, zieht dies bei nachweislicher Pflichtverletzung durch mangelnde Gewissenhaftigkeit zivil- oder strafrechtliche Konsequenzen nach sich. Dadurch können wirtschaftliche Schäden, etwa durch Schadensersatzansprüche oder Bußgelder entstehen. Teuer kann ebenso ein Datenverlust durch Hacker-Angriffe oder Ausfälle werden. Auch das Image des Unternehmens kann durch eine Nichtbeachtung von Datenschutz-, Vertraulichkeits- und Informationssicherheits-Standards zu Schaden kommen. Dies ist unteranderem bei der Auftragsvergabe relevant. Einige Großunternehmen vergeben Aufträge bereits ausschließlich an Firmen, die bestimmte Standards nachweisen können.

In aller erster Linie sollte das Thema Datenschutz jedoch im eigenen Interesse der Unternehmen liegen. Die Sicherheit von Firmeninterna, persönlichen Mitarbeiterdaten, geschäftlichen Informationen und allen Archivdaten muss beim IT-Management höchste Priorität haben.