“BYOD” ist in aller Munde, zu Recht. Hinter dem Kürzel verbergen sich zahlreiche Risiken und Unannehmlichkeiten für Administratoren und Unternehmer. Doch“Bring Your Own Device” ist Alltag! Immer mehr Arbeitnehmer nutzen ihre eigentlich privaten Mobiltelefone, Smartphones und Notebooks beruflich für ihren Arbeitgeber.
IT-Administratoren kämpfen dadurch mit Wildwuchs in der IT-Landschaft und fürchten die hierdurch entstehenden Sicherheitslücken — zu Recht! Geschäftsführer und Unternehmer verschliessen vor der alltäglichen Situation oftmals die Augen und riskieren dabei so einiges.
Bei stillschweigender Duldung verliert das Unternehmen notwendige Einfluss- und Kontrollmöglichkeiten. Mögliche Folgen: Datenschutzverstösse, Sicherheitslecks und die daraus resultierenden Image-Schäden durch negative Presseberichte.
Was viele nicht wissen, die rechtlichen Aspekte dieser Thematik sind umfangreich: Urheberrechtsverletzungen, Lizenzprobleme, Haftungsfragen, Verstöße gegen handels- und steuerrechtliche Vorschriften, IT-Sicherheit und Datenschutz. Wollen Sie als Unternehmer dafür gerade stehen, wenn Ihr Mitarbeiter personenbezogene Daten Ihres Unternehmens auf seinem privaten Mobilgerät speichert und diese dann mit einem der zahlreichen Cloud-Dienste synchronisiert? Mit großer Wahrscheinlichkeit liegt hierfür keine vorgeschriebene Regelung zur Auftragsdatenverarbeitung vor -> Bußgeldrisiko.
Unser Tipp:
Sorgen Sie für klare Vereinbarungen und Richtlinien in Ihrem Unternehmen und investieren Sie in die notwendige IT-Infrastruktur.
Online-Umfrage von “Deutschland sicher im Netz e.V.” (DsiN) enthüllt Schwachstellen
600 kleine und mittelständische Unternehmen beteiligten sich an der aktuellen anonymen Online-Umfrage von DsiN. Das Ergebnis ist wenig schmeichelhaft für die Verantwortlichen in den Unternehmen: lediglich ein Drittel der Befragten gibt an, über eine Compliance-Strategie zu verfügen. Vor dem Hintergrund drohender Bußgelder bei Nichteinhaltung von Datenschutz- und Datensicherheitsregeln — gerade im Umgang mit personenbezogenen Daten — schwer nachvollziehbar.
Erfreulich zumindest die Aussage, daß fast 70% immerhin mit der Umsetzung von Einzelmaßnahmen außerhalb eines Strategiekonzepts begonnen haben. Allerdings sind lediglich in 26,7% aller befragten Unternehmen die Mitarbeiter durch regelmäßige Schulungen zum Thema Datenschutz und Datensicherheit sensibilisiert.
Gefahren lauern im (Büro-) Alltag
Spreche ich mit Verantwortlichen in Unternehmen, so höre ich beim Thema Datensicherheit oft einander ähnelnde Aussagen wie “Wir haben alles technisch mögliche gegen Hackerangriffe unternommen”, “Unsere Backup- und Recovery-Strategie wird immer wieder geprüft” oder auch “Unsere IT ist in ein Rechenzentrum outgesourct und daher vollkommen sicher”. In der Summe sicher der richtige Ansatz, als häufig isoliert umgesetzte Einzelmaßnahmen im Sinne einer Compliance-Strategie unzureichend.
Dabei wird oftmals übersehen, daß die Gefahren für die Daten im Unternehmen nicht unbedingt von außen drohen, sondern im ganz normalen Büro-Alltag auftreten:
USB-Sticks / Mobile Speichermedien: hier lauert gleich doppelte Gefahr. Einerseits durch den Verlust dieser oftmals nur noch daumennagelgroßen Geräte mit eigenen sensiblen und / oder personenbezogenen Daten. Andererseits das Risiko, unbemerkt und unbewußt Schadroutinen durch das ungeschützte Einstecken oder Einlegen in das interne Firmennetz einzuschleusen.
Mobile Geräte / Laptops / Smartphones: Probleme treten hier bei Verlust schnell zutage durch fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge, meist zugunsten eines höheren Bedienkomforts (in einer Studie von 2008 steht Komfort für knapp ein Viertel der IT-Verantwortlichen vor Datensicherheit).
Multifunktionsgeräte (MFG) / Kopierer: in einer immer mehr vernetzten Welt kommunizieren diese Geräte mittlerweile über das Internet und sind somit von außen angreifbar. Interne Zwischenspeicher können bei Reparatur oder Austausch durch externe Dienstleister ebenfalls Internas nach außen tragen.
VoIP (Voice over IP): meist komfortabler und preisgünstiger als Telefonanlagen birgt die Technik jedoch auch Gefahren. Wie jede IP-Technologie ist sie von außen angreifbar und im Zweifel aufgrund unzureichender Schutzmaßnehmen abhörbar.
Cloud Computing: der große Hype aus 2010 setzt sich in 2011 fort — alle wollen “in die Cloud”. Kostendruck und Überall-Verfügbarkeit hin oder her sollten nicht davon ablenken, daß hier Firmeninterna und personenbezogene Daten in “öffentliche” Bereiche außerhalb des Unternehmens ausgelagert und in die Verantwortung externer Anbieter übergeben werden.
Mitarbeiter: mangelnder Kenntnisstand und fehlende Sensibilisierung Ihrer Mitarbeiter stellten mit die größten Bedrohungspotentiale für Ihre Unternehmensdaten dar. Gesellen sich noch Frust oder Vorsatz hinzu, dann ist Ihr Unternehmen fast chancenlos.
Wie begegnen Sie diesen Gefahren?
Eine schlüssige Compliance-Strategie bewertet diese beispielhaft genannten Gefahrenpunkte entsprechend und sieht dafür — neben IT-gestützten Mechanismen — bewährte Verfahrensweisen vor:
Erstellen und Umsetzen geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
Regelmäßige Schulungen und Sensibilisierungen der Mitarbeiter z.B. im Rahmen der obligatorischen Verpflichtung auf das Datengeheimnis
Fortlaufende Information der Unternehmensführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen
Ihr Datenschutzbeauftragter ist gefordert
Diese fortwährende Tätigkeit in Abstimmung mit Unternehmensführung und IT-Leitung ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten. Sie haben keinen Datenschutzbeauftragten?Dann sprechen Sie mich an. Eventuell sind Sie in Ihrem Unternehmen gesetzlich zur Bestellung verpflichtet. Vermeiden Sie unnötige Bußgelder.
DsiN Sicherheitscheck online: Prüfen Sie, wie fit Ihr Unternehmen in punkto Datensicherheit ist
Ohne E‑Mail geht selbst in den kleinsten Unternehmen heute nichts mehr. Welche Regeln müssen Unternehmen beachten, um ihre E‑Mails im Unternehmen professionell managen zu können? Hilfreiche Antworten bietet ein Beitrag bei securitymanager.de - dem Portal für IT-Security