Anzeige

Anzeige

VERANSTALTUNGEN

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

DSGVO

Der Mensch als Anwender ist und bleibt der wichtigste Faktor für den Erfolg von Sicherheits-Maßnahmen. Sophos zeigt auf, wie Unternehmen ihre Mitarbeiter unterstützen können.

Für die IT-Sicherheit im Unternehmen stellt der Mitarbeiter auch heute noch eine bedeutende Sicherheitslücke dar. Die Folgen fehlerhaften Verhaltens sind weitreichend: von Serverabstürzen, technischen Defekten oder Schadware-Infektionen bis zu Wettbewerbsnachteilen durch verlorene Firmendaten oder zu erheblichem Imageverlust.

Nicht minder weitreichend können die rechtlichen Konsequenzen aus möglichen Schäden sein: Neben Lieferausfällen, Prozessverzögerungen und ähnlichem kann beispielsweise der Zugriff durch nicht autorisierte Dritte auf Kunden- oder Mitarbeiterdaten zu hohen Schadensersatzansprüchen führen. Dies betrifft insbesondere Fälle, bei denen aufgrund des Bekanntwerdens von personenbezogenen Kunden- oder Mitarbeiterdaten das allgemeine Persönlichkeitsrecht verletzt wird oder Fälle, wo Geschäftsgeheimnisse bekannt werden.

Gefahrenquelle Mensch

Das wichtigste Kommunikationsmedium in Unternehmen ist die E-Mail. Im Jahr 2017 wurden in Deutschland rund 771 Milliarden E-Mails versendet. Für das Jahr 2018 wird prognostiziert, dass sich die Zahl der versendeten E-Mails auf rund 917 Milliarden belaufen wird. (Quelle: Statista). Eine erhebliche Anzahl der Mails in Unternehmen sind Spam, diverse Anhänge bringen Ransomware mit ins Unternehmen und Phishing boomt auch bei Unternehmensmails. Und trotz einer zuletzt großen Aktions- und Aufklärungswelle rund um die neue EU-Datenschutzgrundverordnung ist längst nicht jeder ist im Bilde, was Trojaner und Phishing sind, wie ein sicheres Passwort aussieht und welche allgemeinen Sicherheitskriterien man beachten muss. Auch juristische Rahmenbedingungen sind nicht jedem hinreichend bewusst.

Darf er etwa den nicht fertig geschriebenen Text auf seinen privaten USB-Stick ziehen? Oder eine E-Mail mit sensiblen Daten an einen externen Dienstleister versenden? Zudem erfordert die hohe Arbeitsverdichtung schnelle Reaktionen. Deswegen kleben für den raschen Zugriff Passworte an Post-it's am Computer. Vertragsunterlagen landen im Papierkorb statt im Schredder, Adressen werden auf der Schreibtischunterlage notiert. Social Engineering kann hier sehr kreativ werden. Und mintunter gefährlich für Unternehmen und Mitarbeiter - dann nämlich, wenn der Mitarbeiter auf diese Weise grob fahrlässig oder sogar vorsätzlich sensible Daten preisgegeben hat.

Aufklärung ist Pflicht - aber einfach, klar und verständlich

Es ist Sache des Arbeitgebers, dafür Sorge zu tragen, dass der Mitarbeiter über die Gefahren, die mit dem Umgang sensibler (Kunden-)Daten einhergehen, aufgeklärt ist. Versäumt der Unternehmer die Aufklärung seiner Mitarbeiter, spricht man von einem sogenannten Organisationsverschulden, das dem Unternehmer zugerechnet wird. Für die Haftung aufgrund Organisationsverschuldens spielt es auch grundsätzlich keine Rolle, ob der Unternehmer die oben genannten Pflichten vorsätzlich oder fahrlässig verletzt hat. Wird der Mitarbeiter durch seinen Arbeitgeber nachweislich über den Umgang mit den Daten eingewiesen, kommt je nach den Umständen des Einzelfalles, die Haftung des Mitarbeiters gegenüber seinem Arbeitgeber im Rahmen eines sog. Regressanspruches in Betracht.

Für den Mitarbeiter wirklich verständliche Sicherheitsrichtlinien sind hier hilfreich. "Hier muss die Devise lauten: einfach, klar und wirksam", sagt Michael Veit, Security Experte bei Sophos. "Ein Mitarbeiter, der die Richtlinie nicht versteht oder sie für zu aufwändig hält, um seine Arbeit effizient erledigen zu können, wird sie nicht umsetzen. Eine komplizierte Sicherheitsrichtlinie ist dann quasi eine nicht existente Sicherheitsrichtlinie. Übersichtliche und begründete Maßnahmen, auf 2-5 Seiten als Orientierungshilfe zusammengefasst, erhöhen die Akzeptanz der Mitarbeiter, sich an diese zu halten." Diese Richtlinien sollten als Anlage im Arbeitsvertrag beigefügt werden. Dadurch werden die Maßnahmen verbindlicher Bestandteil des Arbeitsvertrages und erwachsen - je nach konkreter Ausgestaltung - zu sogenannten Haupt- oder Nebenleistungspflichten des Arbeitnehmers.

Tipps, um das Sicherheitsrisiko durch Mitarbeiter zu verringern

Zusätzlich zu technischen Instrumenten zur IT-Sicherheit können organisatorische Aspekte das Sicherheitsniveau deutlich verbessern:

1. Sicherheitsbewusstsein schaffen - im gesamten Unternehmen

Sicherheit sollte im Unternehmen zum Leitgedanken werden. Und sowohl für Mitarbeiter, Dienstleister und Führungskräfte gelten. Diese sollten die Belegschaft nicht alleine lassen mit der Sicherheitsbedrohung oder sie mit rechtlichen Schritten unter Druck setzen. Wichtige Rahmenbedingungen können Unternehmen mit regelmäßigen Schulungen schaffen. Sie bauen nicht nur Unsicherheiten und Unkenntnis ab, sondern zeigen den Mitarbeitern auch, dass sie vom Unternehmen bei der Bewältigung von Sicherheitsproblemen unterstützt werden.

2. Kenntnisse erweitern

Zusätzlich zum Sicherheitsbewusstsein benötigt der Mitarbeiter grundlegende Kenntnisse zur Gefahrenlage. Diese können natürlich keinen Security-Experten aus ihm machen. Aber sie können dafür sorgen, dass er wachsam bleibt und selbstständig kritische Situationen erkennt. Workshops können Szenarien durchspielen, konkrete Handlungsempfehlungen geben und somit eine Routine bei der Anwendung von Sicherheitsmaßnahmen aufbauen. Juristische Grundlagen sollten in einem separaten Papier verfasst werden, die der Rechtsklarheit dienen. Unternehmen sollten ­­- schon zur eigenen rechtlichen Sicherheit - darauf achten, dass die Mitarbeiter das Papier nicht nur kennen, sondern auch unterzeichnen.

3. Keine Vermischung von Betriebs- und Privatgeräten

Soll der Mitarbeiter auch von unterwegs Zugriff auf seine Emails und Daten haben, empfiehlt es sich, ihm dafür ein Betriebs-Gerät mitzugeben. So ist die Trennung von Firmen- und Privatdaten sichergestellt. Das Unternehmen kann hier eigene Verschlüsselungslösungen (bei Diebstahl oder Verlust) und Schutzsoftware (vor Viren) installieren und so den Zugriff Fremder auf vertrauliche Daten minimieren. Auch die Verpflichtung zur Nutzung von Betriebsgeräten unter gleichzeitigem Verbot der geschäftlichen Kommunikation mit privaten Endgeräten sollte bereits im Rahmen des Arbeitsvertrags geregelt werden. 

www.sophos.de
 

GRID LIST
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…
DSGVO Datentunnel

Stream Processing für einfacheren Weg zur DSGVO-Compliance

Die data Artisans GmbH weist auf die Bedeutung von Stream-Processing, also der…
DSGVO-Beauftragte

Für welche Unternehmen ist ein Datenschutzbeauftragter Pflicht?

Seit Mai letzten Jahres gilt für Unternehmen innerhalb der EU die…
Angst Horrorfilm

Google weiß, was du letzten Sommer getan hast

Googles Android ist weltweit das am weitesten verbreitete Betriebssystem für Smartphones…