aboutpixel.de / Wassertest Gerd Gropp

“BYOD” ist in aller Mun­de, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fo­ne, Smart­pho­nes und Note­books beruf­lich für ihren Arbeitgeber.

IT-Admi­nis­tra­to­ren kämp­fen dadurch mit Wild­wuchs in der IT-Land­schaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken — zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­ti­on oft­mals die Augen und ris­kie­ren dabei so einiges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­di­ge Ein­fluss- und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stös­se, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schä­den durch nega­ti­ve Presseberichte.

Was vie­le nicht wis­sen, die recht­li­chen Aspek­te die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­ble­me, Haf­tungs­fra­gen, Ver­stö­ße gegen han­dels- und steu­er­recht­li­che Vor­schrif­ten, IT-Sicher­heit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gera­de ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­ge­ne Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und die­se dann mit einem der zahl­rei­chen Cloud-Diens­te syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für kei­ne vor­ge­schrie­be­ne Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­gel­dri­si­ko.

Unser Tipp:

  • Sor­gen Sie für kla­re Ver­ein­ba­run­gen und Richt­li­ni­en in Ihrem Unter­neh­men und inves­tie­ren Sie in die not­wen­di­ge IT-Infrastruktur.
  • Oder fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten! Sie haben kei­nen, dann spre­chen Sie uns an!

 

Bild­nach­weis: about​pi​xel​.de /​Was­ser­test © Kel­ler­meis­ter

Online-Umfra­ge von “Deutsch­land sicher im Netz e.V.” (DsiN) ent­hüllt Schwachstellen

600 klei­ne und mit­tel­stän­di­sche Unter­neh­men betei­lig­ten sich an der aktu­el­len anony­men Online-Umfra­ge von DsiN. Das Ergeb­nis ist wenig schmei­chel­haft für die Ver­ant­wort­li­chen in den Unter­neh­men: ledig­lich ein Drit­tel der Befrag­ten gibt an, über eine Com­pli­an­ce-Stra­te­gie zu ver­fü­gen. Vor dem Hin­ter­grund dro­hen­der Buß­gel­der bei Nicht­ein­hal­tung von Daten­schutz- und Daten­si­cher­heits­re­geln — gera­de im Umgang mit per­so­nen­be­zo­ge­nen Daten — schwer nachvollziehbar.

Erfreu­lich zumin­dest die Aus­sa­ge, daß fast 70% immer­hin mit der Umset­zung von Ein­zel­maß­nah­men außer­halb eines Stra­te­gie­kon­zepts begon­nen haben. Aller­dings sind ledig­lich in 26,7% aller befrag­ten Unter­neh­men die Mit­ar­bei­ter durch regel­mä­ßi­ge Schu­lun­gen zum The­ma Daten­schutz und Daten­si­cher­heit sensibilisiert.

Gefah­ren lau­ern im (Büro-) Alltag

Spre­che ich mit Ver­ant­wort­li­chen in Unter­neh­men, so höre ich beim The­ma Daten­si­cher­heit oft ein­an­der ähneln­de Aus­sa­gen wie “Wir haben alles tech­nisch mög­li­che gegen Hacker­an­grif­fe unter­nom­men”, “Unse­re Back­up- und Reco­very-Stra­te­gie wird immer wie­der geprüft” oder auch “Unse­re IT ist in ein Rechen­zen­trum out­ge­sourct und daher voll­kom­men sicher”. In der Sum­me sicher der rich­ti­ge Ansatz, als häu­fig iso­liert umge­setz­te Ein­zel­maß­nah­men im Sin­ne einer Com­pli­an­ce-Stra­te­gie unzureichend.

Dabei wird oft­mals über­se­hen, daß die Gefah­ren für die Daten im Unter­neh­men nicht unbe­dingt von außen dro­hen, son­dern im ganz nor­ma­len Büro-All­tag auftreten:

  • USB-Sticks /​ Mobi­le Spei­cher­me­di­en: hier lau­ert gleich dop­pel­te Gefahr. Einer­seits durch den Ver­lust die­ser oft­mals nur noch dau­men­nagel­gro­ßen Gerä­te mit eige­nen sen­si­blen und /​ oder per­so­nen­be­zo­ge­nen Daten. Ande­rer­seits das Risi­ko, unbe­merkt und unbe­wußt Schad­rou­ti­nen durch das unge­schütz­te Ein­ste­cken oder Ein­le­gen in das inter­ne Fir­men­netz einzuschleusen.
  • Mobi­le Gerä­te /​ Lap­tops /​ Smart­pho­nes: Pro­ble­me tre­ten hier bei Ver­lust schnell zuta­ge durch feh­len­de Ver­schlüs­se­lung, lokal gespei­cher­te Infor­ma­tio­nen oder unzu­rei­chend gesi­cher­te VPN-Zugän­ge, meist zuguns­ten eines höhe­ren Bedien­kom­forts (in einer Stu­die von 2008 steht Kom­fort für knapp ein Vier­tel der IT-Ver­ant­wort­li­chen vor Datensicherheit).
  • Mul­ti­funk­ti­ons­ge­rä­te (MFG) /​ Kopie­rer: in einer immer mehr ver­netz­ten Welt kom­mu­ni­zie­ren die­se Gerä­te mitt­ler­wei­le über das Inter­net und sind somit von außen angreif­bar. Inter­ne Zwi­schen­spei­cher kön­nen bei Repa­ra­tur oder Aus­tausch durch exter­ne Dienst­leis­ter eben­falls Inter­nas nach außen tragen.
  • VoIP (Voice over IP): meist kom­for­ta­bler und preis­güns­ti­ger als Tele­fon­an­la­gen birgt die Tech­nik jedoch auch Gefah­ren. Wie jede IP-Tech­no­lo­gie ist sie von außen angreif­bar und im Zwei­fel auf­grund unzu­rei­chen­der Schutz­maß­neh­men abhörbar.
  • Cloud Com­pu­ting: der gro­ße Hype aus 2010 setzt sich in 2011 fort — alle wol­len “in die Cloud”. Kos­ten­druck und Über­all-Ver­füg­bar­keit hin oder her soll­ten nicht davon ablen­ken, daß hier Fir­men­in­ter­na und per­so­nen­be­zo­ge­ne Daten in “öffent­li­che” Berei­che außer­halb des Unter­neh­mens aus­ge­la­gert und in die Ver­ant­wor­tung exter­ner Anbie­ter über­ge­ben werden.
  • Mit­ar­bei­ter: man­geln­der Kennt­nis­stand und feh­len­de Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter stell­ten mit die größ­ten Bedro­hungs­po­ten­tia­le für Ihre Unter­neh­mens­da­ten dar. Gesel­len sich noch Frust oder Vor­satz hin­zu, dann ist Ihr Unter­neh­men fast chancenlos.

Wie begeg­nen Sie die­sen Gefahren?

Eine schlüs­si­ge Com­pli­an­ce-Stra­te­gie bewer­tet die­se bei­spiel­haft genann­ten Gefah­ren­punk­te ent­spre­chend und sieht dafür — neben IT-gestütz­ten Mecha­nis­men — bewähr­te Ver­fah­rens­wei­sen vor:

  • Erstel­len und Umset­zen geeig­ne­ter, unter­neh­mens­wei­ter Benut­zer­richt­li­ni­en für den Umgang mit Tech­no­lo­gien mit Gefährdungspotential
  • Regel­mä­ßi­ge Schu­lun­gen und Sen­si­bi­li­sie­run­gen der Mit­ar­bei­ter z.B. im Rah­men der obli­ga­to­ri­schen Ver­pflich­tung auf das Datengeheimnis
  • Fort­lau­fen­de Infor­ma­ti­on der Unter­neh­mens­füh­rung und Mit­ar­bei­ter über neue Bedro­hungs­sze­na­ri­en auf­grund tech­ni­scher Weiterentwicklungen

Ihr Daten­schutz­be­auf­trag­ter ist gefordert

Die­se fort­wäh­ren­de Tätig­keit in Abstim­mung mit Unter­neh­mens­füh­rung und IT-Lei­tung ist ein klas­si­sches Tätig­keits­feld für Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Even­tu­ell sind Sie in Ihrem Unter­neh­men gesetz­lich zur Bestel­lung ver­pflich­tet. Ver­mei­den Sie unnö­ti­ge Bußgelder.

  • DsiN Sicher­heits­check online: Prü­fen Sie, wie fit Ihr Unter­neh­men in punk­to Daten­si­cher­heit ist

Ohne E‑Mail geht selbst in den kleins­ten Unter­neh­men heu­te nichts mehr. Wel­che Regeln müs­sen Unter­neh­men beach­ten, um ihre E‑Mails im Unter­neh­men pro­fes­sio­nell mana­gen zu kön­nen? Hilf­rei­che Ant­wor­ten bie­tet ein Bei­trag bei secu​ri​ty​ma​na​ger​.de - dem Por­tal für IT-Security

Einen inter­es­san­ten Arti­kel zum The­ma SPAM und des­sen mög­li­che Abwehr fin­den Sie auf dem Blog zur IT-Sicher­heit von Gui­do Strunck.

Für Unter­neh­men nicht unbe­deu­tend ist eine kla­re Rege­lung für die Nut­zung von Email und Inter­net am Arbeits­platz.