München, Starnberg, 01. Juli 2020 - Wie können Verantwortliche die IT-Infrastruktur effektiver optimieren und Sicherheit integrieren? Mit Hinweisen von Kingston Technology...
Zum Hintergrund: Datenschutz ist keine einmalige Aufgabe für Unternehmen, vielmehr müssen sicherheitsrelevante Themen ständig neu bewertet werden. Wichtige Fragen, die es dabei zu beantworten gilt, sind: Was sind konkrete Entwicklungen hinsichtlich des Datenschutzes und der IT-Sicherheit, die es für das Unternehmen zu beachten gilt? Wie kann das Unternehmen seine Mitarbeiter hinsichtlich der aktuellen Gegebenheiten und Anforderungen schulen? Wie können Verantwortliche die IT-Infrastruktur entsprechend der Anforderungen optimieren und in den Arbeitsalltag integrieren? Eine weitere Frage, die dabei aufkommt, ist die Kostenseite. Um diese Fragen hinsichtlich der DSGVO-Anforderungen zu beantworten, hat der Anbieter Kingston Technology nachfolgend einige Hinweise zusammengestellt, um DSGVO-Konformität auch bei sich wandelnden Entwicklungen beizubehalten und effizient in den Arbeitsalltag integrieren zu können:
1) Die Arbeitsumgebung auch im Remote Working absichern
"In Zeiten, in denen Remote Working an der Tagesordnung steht, müssen Unternehmen einen Weg finden, der es erlaubt, dass ihre Angestellten überall effektiv und produktiv arbeiten können und trotzdem nicht gegen die Datenschutzbestimmungen verstoßen. Eine einzige Person reicht dabei aus, um alle Datenschutzbemühungen zum Scheitern zu bringen. Mögliche Tools hierfür sind:
Zwei-Faktor-Authentifizierung: Diese Art der Authentifizierung bietet einen effizienten und einfachen Weg für das durchschnittliche Unternehmen, um die Netzwerksgrenzen zu schützen. Ein gutes Beispiel für die Zwei-Faktor-Authentifizierung ist, wenn ein Benutzer aufgefordert wird, ein Passwort auf einem Laptop sowie einen Code einzugeben, der an ein Mobiltelefon gesendet wird, sobald ein Passwort erfolgreich eingegeben wurde.
VPNs: diese genießen aktuell eine große Beliebtheit bei kleineren und mittleren Unternehmensgrößen. Sie eignen sich besonders für Mitarbeiter, die über öffentliche WIFI-Netzwerke auf Geschäftsdaten zugreifen. Wichtig ist jedoch: Sie sind nur ein Teil der Lösung und keinesfalls ein umfassendes Gesamtkonzept. Setzen Mitarbeiter den Laptop am mobilen Arbeitsplatz nur mit der VPN-Sicherung und ohne Hardwareverschlüsselung ein, gilt für die lokal gespeicherten Daten nur ein geringer Schutz. Früher oder später werden Dateien oft direkt auf dem Gerät gespeichert – wird das Device dann gehackt, vergessen oder gestohlen, hilft kein VPN mehr bei der Datensicherheit.
Verschlüsselte SSDs / USBs: Die Zeiten, in denen verschlüsselte Geräte einen entscheidenden Kostenpunkt darstellten, sind vorbei. Inzwischen sind sie nur bedingt teurer als die unverschlüsselten Versionen. Für Unternehmen können verschlüsselte SSDs und USBs aber einen entscheidenden Vorteil bieten: Wenn ein Gerät gestohlen wird, sind die verschlüsselten Daten vor ungewollten Zugriffen geschützt. Je nach Verschlüsselungslösung können Unternehmen sie sogar aus der Ferne unbrauchbar machen.
Private Server und Managed Service Provider: Der Trend, eigene Server vor Ort zu haben erlebt bei größeren Unternehmen aktuell eine Art „Revival“. Der Vorteil: Sie haben volle Kontrolle über ihren Serverbestand und nichts wird in der öffentlich zugänglichen Wolke gespeichert. Neben den gänzlich privaten Servern gibt es auch hybride Serverlösungen. Hierbei speichern Unternehmen nicht-sensible Daten in der Cloud, persönliche Daten bleiben aber vor Ort. Für KMUs können diese Lösungen jedoch zu teuer sein. Hier kommen Managed Service Provider und virtuelle Privat-Server ins Spiel. Der Fokus auf Sicherheit wird deutlich verstärkt, ohne die Betriebskosten jedoch dramatisch in die Höhe zu treiben.
2) Effektive Schulung von Mitarbeitern
Umfassender Datenschutz beruht auf zwei Faktoren in der Unternehmenskultur: Dem Verständnis, dass die DSGVO eine Frage der Unternehmenskultur ist, die alle Angestellten täglich betrifft. Und das Einbinden von smarten Trainings, die auf die individuellen Herausforderungen der Unternehmen eingehen. Grundsätzlich gilt: Gut ausgebildete Angestellte werden weniger wahrscheinlich gegen Datenschutzbestimmungen verstoßen. Außerdem ist es im Falle eines Datenverlustes von Vorteil, wenn Unternehmen nachweisen können, dass sie ihre Mitarbeiter entsprechend geschult haben.
Ein Ansatz wäre zum Beispiel, den Mitarbeitern zu verdeutlichen, dass immer eine Person hinter den Daten steht. Die Mitarbeiter sollen über jede Organisation nachdenken, an die sie Daten weitergegeben haben – dabei wird ihnen oft klar, dass es beim Datenschutz um den Schutz der eigenen Privatsphäre geht.
Wichtig dabei ist zu verstehen, dass die Schulung das Ziel hat, echte Verhaltens- und Kulturveränderungen im Unternehmen herbeizuführen. Es ist natürlich ein simpler, zeitsparender Weg, ein Online-Schulungspaket oder einen Multiple Choice-Test mit einigen einfachen Fragen zum Datenschutz zu erwerben, die jeder richtig beantworten kann. Letztendlich ist dieser Ansatz jedoch nicht zielführend und wird das Unternehmen langfristig nicht schützen.
3) Verantwortlichkeiten richtig verteilen und nutzen
Fast jeder Mitarbeiter kann zu jeder Zeit gegen die Regeln verstoßen. Besonders in Unternehmen, in denen die Angestellten stark ausgelastet sind oder in einem hohen Maß autonom arbeiten, verschärft sich das Problem. Ein wenig mehr Stress und die Vorschriften geraten aus dem Blickfeld. Die Produktivität schlägt das Datenschutzprotokoll.
Zwar gibt es seit dem Inkrafttreten der DSGVO mehr und mehr Datenschutzbeauftragte in den Unternehmen – dabei handelt es sich jedoch um einen Vollzeitjob. In der Realität ist es dann aber oftmals ein Mitarbeiter, der besonders Technik-affin ist, dem das Label einfach angeheftet wird. Sie sind damit verantwortlich für alle Datenschutzangelegenheiten ihres Unternehmens – und müssen diese Aufgabe neben ihren eigentlichen Tätigkeiten nachkommen. In der Realität benötigen Sie außerdem eine Reihe von Tools und Services, die sie dabei unterstützen. Ein Datenschutzbeauftragter – sowohl intern als auch extern – benötigt umfassenden Einblick in die Sicherheits- und Datenschutzlandschaft des Unternehmens sowie eine Reihe von professionellen Tools und Instrumenten.
Die Welt der Datensicherheit ist schnelllebig und selbst für einen Vollzeitbeauftragten eine Herausforderung. Es wird immer Themen und Probleme geben, die eine zweite Meinung erfordern. Die Zusammenarbeit mit einer externen Beratungsfirma oder einem Berater für Datensicherheit kann langfristig ein Weg sein, um diese Herausforderungen zu meistern.
4) Flaggen nicht benötigter Daten
Einen positiven Trend, den die DSGVO mit sich gebracht hat, ist die Reduktion von gesammelten Daten. Smarte Unternehmen handeln nach der Devise: „If you don‘t need it, don’t collect it.“ Einer der Grundsätze der DSGVO ist es, alte Daten zu löschen. Bestimmte, personenbezogene Daten dürfen zum Beispiel nicht länger als 7 Jahre aufgehoben werden.
Neben der Risikominimierung hat das Vorgehen der Datenreduzierung auch Vorteile hinsichtlich der Effizienz. Datenbanken, beispielsweise im Marketing, performen weitaus besser und können Kosten reduzieren, wenn keine veralteten Daten oder ähnliches gespeichert sind. Wenn die Marketingdatenbank nicht sauber geführt ist und unnötige Daten beinhaltet, also beispielsweise Zehntausende von Personen umfasst, summieren sich die Kosten der Kampagne.
Es beeinflusst auch die Leistungsstatistiken. Mit einem entsprechenden Tool können Datenbanken einen Alert an die IT senden, der das Ablaufdatum von Daten entsprechend hervorhebt. Das Bestreben, Datenbanken von veralteten und nicht benötigten Daten zu säubert, gilt auch für physische Daten. Prints und Scans können reduziert und so weitere Angriffsflächen vermieden werden.
Bildquelle: Kingston E-Book (link zu Kingston Technology) „Data protection and cyber security in a post-GDPR landscape"
Fazit: Letztendlich kommt es bei der konstanten Sicherung der Daten auf einen optimalen Mix aus den richtigen Tools und dem zielführenden Einsatz der Expertisen an. Wenn es um IT-Sicherheit geht, gibt es unzählige Hersteller und Anbieter, die Unternehmen bei der DSGVO-Konformität unterstützen können. Ein Fokus bei der Suche nach dem richtigen Partner sollte sein, ein System zu finden, das von einem vertrauenswürdigen Anbieter stammt, der über spezifisches Fachwissen in relevanten Branchen oder Sektoren verfügt.
Nur die Technologie und Tools zu besitzen reicht oft nicht aus – für eine umfassend geschützte IT-Infrastruktur ist es entscheidend, die Herausforderungen zu verstehen, die mit der Einführung von Datensicherheit verbunden sind. Kommentarauszug Christian Marhöfer, Regional Director DACH, Kingston Technology: „Es muss die Möglichkeit geben, Daten in allen Bereichen zu schützen – beim Transport, beim Austausch, bei der Nutzung genauso wie bei der Ablage. Es ist von entscheidender Bedeutung, einen umfassenden Sicherheits-, Wiederherstellungs- und Datenlöschplan zu haben.“
Querverweise: