Vom 15.-18. September findet die Internet Security Days statt. Judith Nink, Datenschutzbeauftraget und Head of Corporate Affairs bei eyeo, gibt im Interview einen Ausblick auf ihren Vortrag und erklärt wieso Vertrauen in die Fähigkeiten der Mitarbeiter*innen und Sensibilisierung oft mehr für Sicherheit und Datenschutz tun, als maximale technische Sicherheitsvorkehrungen. Mehr Informationen zu den Internet Security Days finden Sie hier: https://www.eco.de/events/internet-security-days-2020/
In jedem Fall sollte die Firma ein Endgerät zur Verfügung stellen, das automatisch Sicherheitsupdates einspielt. Ein Firmen-VPN ist wichtig, um (öffentliche) WLAN-Hotspots und gegebenenfalls auch das eigene WLAN zu sichern. Unerlässlich sind auch Hilfestellungen, um den eigenen Router oder das Netzwerk zu schützen und regelmäßige Backups anzulegen, falls dies nicht automatisch geschieht.
Beim Arbeiten außerhalb des Apartments oder des Hauses, dem sogenannten mobilen Arbeiten, halte ich Blickschutzfilterfolien für unerlässlich. Diese sind ein einfacherer aber sehr effektiver Schutz gegen schnelle Blicke des Nachbarn auf den eigenen Bildschirm im Zug, im Cafe oder am Flughafen. Eine Verschlüsselung für Festplatten- und USB-Sticks sollte außerdem Standard sein. Automatisches Sperren des Laptops nach einer gewissen, aber nicht zu langen Zeit der Inaktivität, sollte ebenfalls eingestellt sein. In öffentlichen Räumen ist zudem ein Kensington Schloss sinnvoll. Damit kann der Rechner bei kürzeren Pausen zumindest gegen Gelegenheitsdiebstahl geschützt werden.
Darüber hinaus sind regelmäßige Schulungen und Richtlinien, die selbstverständlich auch in regelmäßigen Abständen kommuniziert werden müssen, zum sicheren Umgang mit Daten beim mobilen Arbeiten essentiell. Awareness Trainings können hier ein gutes und spielerisches Mittel sein, um die Mitarbeiter*innen zu sensibilisieren.
Privacy by Design, also Datenschutz durch Technik, spielt hier eine sehr große Rolle. Denn verantwortlich für den Schutz personenbezogener Daten seiner Kunden, Lieferanten und Mitarbeiter*innen ist das Unternehmen. Außerhalb des Büros sind sowohl die eigenen Kontrollmöglichkeiten eingeschränkt als auch die technischen Maßnahmen limitiert. Insofern benötigt das Unternehmen Tools, die es technisch dabei unterstützen, Daten auch im Home Office ausreichend zu schützen. Anbieter, die ihre Kollaborationstools bereits mit starken technischen Maßnahmen zum Schutz vertraulicher Daten ausstatten, nehmen dem Unternehmen viel Arbeit und Risiken ab.
Unternehmen sollten, je nach nach Anwendungsszenario, vor allem darauf achten, dass folgende Maßnahmen implementiert sind:
Zusätzlich müssen Unternehmen die Dokumentation der Anbieter gründlich prüfen. Hier sollten sie insbesondere auf das Vorhandensein von ausreichenden Datenschutzverträgen (z.B. Auftragsverarbeitungsverträgen), der Sicherstellung eines angemessenen Datenschutzniveaus bei Anbietern außerhalb der EU / des EWR, bekannten Zertifizierungen, wie ISO 2700(1)er Reihe, SOC 2, sowie internen Prozessen zu Datenschutzverletzungen, Back-ups, etc. achten.
Da gibt es sicherlich sehr viele Bereiche, aber ich würde auf jeden Fall beim Thema Sensibilisierung / Awareness beginnen. Meine Erfahrung ist, dass mit ausreichender Sensibilisierung und regelmäßigen Schulungen(fast) alles andere von alleine klappt. In der Regel wollen Mitarbeiter*innen verstehen, warum Firmen beispielsweise von ihnen erwarten, ihren Rechner zu sperren, wenn sie das Gerät alleine lassen oder Unterlagen wegzuschließen, wenn Besuch kommt. Denn erst einmal sind Sicherheitsmaßnahmen vor allem lästig. Und lästige Dinge erledigt man eher, wenn man den Sinn dahinter versteht.
Verbesserungspotenzial sehe ich vor allem bei der Umsetzung vieler Sicherheitsmaßnahmen. Häufig setzen Unternehmen die Sicherheitseinstellungen auf das Maximum, um das Sicherheitsrisiko Mensch zu minimieren. Meist wird dadurch jedoch das Gegenteil erreicht, weil Mitarbeiter*innen diese Maßnahmen mangels Praktikabilität teils kreativ umgehen.
Bei einem Unternehmen für das ich gearbeitet habe, waren zum Beispiel alle externen Schnittstellen deaktiviert. USB Sticks konnten damit nicht verwendet werden. Die Lösung war, diese zur IT Abteilung zu bringen, die dann, wenn sie einmal Zeit hatten, die Daten aufgespielt haben. Gerade wenn ich externe Vorträge gehalten habe und dort meine Präsentation auf einem USB Stick mitbringen sollte, musste ich das Tage im Voraus planen.
Die Versuchung war natürlich groß, doch auf den eigenen Rechner auszuweichen, mit viel größeren Risiken für schützenswerte, vertrauliche Daten. Mit ein bisschen mehr Vertrauen in die Fähigkeiten der Mitarbeiter*innen und entsprechender Sensibilisierung hätten die Unternehmen dieses Risiko vermeiden und ein vermutlich gleich effektives Ergebnis erreichen können. Zum Beispiel wäre bei der Firma die Ausgabe von verschlüsselten Team-USB-Sticks, die von einer geschulten Mitarbeiter*in bei jeder Rückgabe durch einen Virenscan laufen, eine Möglichkeit gewesen, anstelle der Sperrung sämtlicher Schnittstellen. Gepaart mit entsprechenden Sensibilisierungsmaßnahmen und Schulungen dürfte das Risiko des Datenschutzverletzungen gering bleiben.
Dr. Judith Nink hält auf den ISD digital 2020 einen Vortrag zum Thema: „Remote Working – How to …“ Datenschutzkonformes und -sicheres Arbeiten vom Sofa, im Lieblingscafe oder Co-Working-Space“. Mehr zu den ISDdigital.