Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

DSGVO Datentransfer 777193192 700

In fünf Wochen gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) verbindlich für jedes europäische Unternehmen. „Es genügt allerdings nicht, nur die Kommunikation mit Kunden oder die Website abzusichern. Auch die interne Unternehmenskommunikation muss DSGVO-konform gestaltet werden“, mahnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group.

Die unternehmensinterne Kommunikation ist bei den meisten Unternehmen tatsächlich umfangreicher, als es auf den ersten Blick scheint: Über Intranet, Social Media, Apps und Cloud-Dienste werden personenbezogene Daten erhoben, gespeichert und verarbeitet. Zahlreiche Tools und IT-Systeme stoßen auf IP-Adressen, es wird Dokumentenzugriff gewährt, Aufenthaltsorte und Nutzungszeiten der Mitarbeiter sind ersichtlich.

„Das wird mit der EU-DSGVO problematisch. Für Datensicherheit und Datenschutz sind gerade die Schnittstellen dieser Anwendungen und Geräte eine der häufigsten Schwachstellen. Deshalb muss sich jeder Mitarbeiter, der sich mit interner Kommunikation befasst, mit der Thematik Datenschutz und Datensicherheit auseinandersetzen. Es muss zumindest ein grundlegendes Verständnis geschaffen werden, um Änderungen in der internen Kommunikation für jeden Mitarbeiter nachvollziehbar und damit anwendbar zu machen“, so Christian Heutger.

EU-DSGVO-konforme Tools und mobile Geschäftsanwendungen

Die Zeiten und Arbeitsweisen haben sich geändert: Mitarbeiter sind heutzutage mobil, flexibel, agil. Einige Kollegen verfügen nicht einmal über einen festen PC-Arbeitsplatz – und müssen dennoch zwingend in die interne Kommunikation einbezogen werden. Oft und gern nutzen Abteilungen, die standortübergreifend zusammenarbeiten, Dienste wie Google Drive, Dropbox oder andere US-Anbieter, um gemeinsam vertrauliche Dokumente zu bearbeiten. Auf einige Dokumente haben auch Kunden Zugriff. Und nicht wenige Unternehmen setzen auf Mitarbeiter-Apps: Geschäftsanwendungen sind als Apps zeit- und ortsunabhängig überall erreichbar.

Dabei sind solche Apps mit etlichen Features ausgestattet, um die gesamte unternehmensinterne Kommunikation zu bündeln. „Meist ist die Kommunikation aus den verschiedenen Social Media-Kanälen einsehbar. Zudem sind häufig externe Systeme integriert und Gruppenchats sowie Privatnachrichten erlauben es, untereinander zu interagieren. Um es auf den Punkt zu bringen: Apps dieser Art sammeln persönliche und sensible Informationen in Massen. Deshalb ist es unabdingbar, mögliche interne Mitarbeiter-Apps auf ihre EU-DSGVO-Konformität zu überprüfen“, erinnert Heutger.

Problemfall Messenger Dienste

Messenger-Dienste erfreuen sich auch im Unternehmensumfeld größter Beliebtheit. Gerade der bekannteste und beliebteste Dienst, WhatsApp, zeigt sich nicht sonderlich datenschutzfreundlich: Erst kürzlich wurde bekannt, dass Facebook trotz Ende-zu-Ende-Verschlüsselung Nachrichten von WhatsApp mitlesen kann. „Das Problem bei solchen Lösungen ist die Datenübermittlung zwischen dem jeweiligen Anbieter und dem Endgerät. So gleichen einige Messenger, darunter WhatsApp, automatisch das Adressbuch mit den Daten auf dem Server ab. Telefonnummern sowie IP-Adressen sind jedoch personenbezogene Daten“, erklärt Christian Heutger und rät zur Verwendung alternativer Dienste: „Threema Work beispielsweise ist eine der wenigen kommerziellen Lösungen, die einen datenschutzkonformen Einsatz in Unternehmen möglich machen. So lassen sich mit Threema etwa einzelne Kontakte vom Datenabgleich ausschließen. Die gesamte Kommunikation verläuft Ende-zu-Ende-verschlüsselt und auf dem Smartphone gespeicherte Chats und Medien sind ebenfalls verschlüsselt.“

In diesem Zusammenhang sollten Unternehmen prüfen, welche Technologien aktuell für die interne Kommunikation überhaupt genutzt werden. Wer E-Mails bislang intern unverschlüsselt versendet, sollte das ändern, beispielsweise mit einer Gateway-Lösung. „Um einen ersten Schritt in Richtung einer ganzheitlichen Sicherheitskultur zu gehen, ist eine konsequente Ende-zu-Ende-Verschlüsselung empfehlenswert. Nur die jeweiligen Kommunikationspartner können die Nachricht dann entschlüsseln und E-Mails sowie Anhänge sind sicher vor ungebetenen Mitlesern und vor Manipulation“, rät der Experte.

Auch Mitarbeiter brauchen Compliance

Schatten-IT, leicht knackbare Passwörter oder sensible Informationen im privaten Postfach: Mitarbeitern unterlaufen immer wieder diverse Fehler bezüglich des Datenschutzes und bilden damit die Schwachstelle Nummer 1 in der internen Kommunikation. „Eine DSGVO-konforme interne Kommunikation lässt sich nicht ohne Schulungen, Seminare und dem Aufbau einer Compliance aufsetzen. Von heute auf morgen ändern Menschen allerdings ihre Gewohnheiten nicht. Es ist deshalb unabdingbar, Mitarbeiter beim Übergang in die neue Datenschutz-Ära intensiv zu unterstützen. Mein Rat ist, Mitarbeiter an die Hand zu nehmen, sie intensiv schulen zu lassen und ihnen eine Chance zu geben, sich auf die neuen Bedingungen, die mit der EU-DSGVO auf alle zukommen, einzustellen“, rät Heutger.

psw-group.de
 

GRID LIST
DSGVO

Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue…
SSL

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Compliance

Compliance: Firmen erst durch Schaden klug

Compliance ist bei kleinen und mittleren Unternehmen (KMU) nach wie vor ein…
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Smarte News aus der IT-Welt