Data Governance Datenschutz im Homeoffice

Von Christian Geckeis

Immer größere Datenmengen, die Verwaltung sensibler, personenbezogener Daten durch Unternehmen und Behörden sowie deren zunehmende Migration in Multi-Cloud-Umgebungen erhöhen das Risiko von Datendiebstahl. Die steigende Zahl mobiler Endgeräte und Zugriffspunkte, die sich aus dem Wechsel vieler Arbeitnehmer ins Home Office ergibt, schafft neue Einfallstore für Angriffe.

Anbieter zum Thema

Die meisten Unternehmen verfügten beim Wechsel zur Distanzarbeit nicht über geeignete Verfahren für das sichere und datenschutzkonforme Arbeiten im Homeoffice.
Die meisten Unternehmen verfügten beim Wechsel zur Distanzarbeit nicht über geeignete Verfahren für das sichere und datenschutzkonforme Arbeiten im Homeoffice.
(Bild: CROCOTHERY - stock.adobe.com)

In dieser Situation kommt es auf jeden einzelnen Nutzer an, um Sicherheitsrisiken zu minimieren. Denn ohne die Kooperation der Endnutzer ist jedes noch so ausgefeilte Sicherheitskonzept wirkungslos. Unternehmen sollten ihre Mitarbeiter deshalb mit ins Boot zu holen. Das liegt nicht nur im Unternehmens-, sondern auch in ihrem eigenen Interesse: Neben sensiblen Kunden- und Unternehmensdaten sind auch ihre eigenen Daten einem höheren Risiko ausgesetzt, weil das Arbeiten über das Heimnetzwerk sie interessanter für professionelle Hacker macht, die sich über eben diese Umgebung Zugriff auf geschäftskritische Daten verschaffen wollen. Die folgenden Best Practices zeigen, wie Unternehmen und Mitarbeiter gemeinsam das Home Office sicherer machen können.

Aktionstag für den Datenschutz: Es bleibt viel zu tun

IT- und Datenschutzverantwortliche standen im Frühjahr 2020 vor der Aufgabe, klaffende Sicherheitslücken zu schließen, die es noch wenige Wochen vorher gar nicht gegeben hatte. Dabei mussten sie sich vor allem auch klarmachen, dass durch die neue Arbeitsweise außerhalb einer abgesicherten Büroumgebung quasi jeder Mitarbeiter zu seiner eigenen IT-Sicherheitsabteilung wurde. Somit waren nicht nur technische Lösungen gefragt, sondern die Schaffung eines Bewusstseins für Risiken und deren Abwehr bei der gesamten Belegschaft.

Am 28. Januar 2022 fand der auf Initiative des Europarats ins Leben gerufene Europäische Datenschutztag bereits zum 16. Mal statt – für viele Unternehmen ein Anlass, ihre Sicherheitsstrategie einer kritischen Prüfung zu unterziehen. Dabei zeigt sich: Selbst absolute Grundlagen wie häufig wechselnde, möglichst komplexe Passwörter sind längst nicht überall Standard. „Password123“ und dergleichen sind nach wie vor in Gebrauch. Es erübrigt sich zu sagen, dass „work from anywhere“ und Gefahren wie Ransomware-Attacken wesentlich weitergehende Sicherheitsvorkehrungen erfordern. Denn bei gezielten Angriffen bestehen nicht nur hohe Risiken für die Verfügbarkeit von Services und Infrastrukturen, sondern auch für den Missbrauch von Nutzerdaten.

Gelegenheit macht (Daten-)diebe

Das Risiko-Level des Jahres 2022 hatten Unternehmen selbst einige Jahre davor noch nicht antizipiert. Als zahlreiche, in vielen Unternehmen sogar alle Mitarbeiter praktisch über Nacht ins Home Office wechselten, waren nur wenige IT-Abteilungen in der Lage, ad hoc für sichere Remote-Arbeitsplätze zu sorgen. Das galt insbesondere für KMU, die häufig gar keine eigene in-house IT unterhalten. Ungesicherte Heimnetzwerke sind das virtuelle Äquivalent zu einer offenen Haus- oder Bürotür. Diese Situation rief Cyberkriminelle auf den Plan, die sich den improvisierten und mitunter chaotischen Wechsel zur Distanzarbeit zunutze machten.

Prompt stieg die Zahl der datenschutzrelevanten Vorfälle deutlich an. 28% der Geschäftsführer und Führungskräfte aus IT-Sicherheit und Datenschutz von über 500 deutschen Unternehmen, die in der so genannten Datenklaustudie der Prüfungs- und Beratungsgesellschaft EY befragt wurden, beobachteten eine gegenüber 2019 gestiegene Anzahl von Attacken in den Pandemiejahren 2020 und 2021. Fast alle Befragten (98 Prozent) gehen davon aus, dass das Problem von Datenklau und Cyberangriffen weiter zunehmen wird. Wenn es um Datenverlust geht, ist es daher von Vorteil, auf jedes Szenario vorbereitet zu sein. Mit den folgenden Maßnahmen kann eine Absicherung von Daten sowie maximale Sicherheit für Unternehmen sowie Mitarbeit gewährleistet werden.

Best Practices: Risikomanagement für mehr Sicherheit im Unternehmen und im Home-Office

Sicherheitsrichtlinien und -verfahren lassen sich jedoch nur sinnvoll entwickeln, wenn regulierte Daten definiert und die entsprechenden Richtlinien auf Menschen, Prozesse und Systeme abgestimmt sind. Von Unternehmensseite ist es daher wichtig, zunächst Governance-Maßnahmen zu definieren und zu verwalten, um Arbeitnehmern Richtlinien und Anwendungen für das sichere Arbeiten im Home-Office zur Verfügung zu stellen.

Informaticas Data Privacy Solution kann Unternehmen helfen, Datenschutzvorgaben und branchenspezifische Vorschriften zu erfüllen. Das Tool ermöglicht es Unternehmen, Geschäfts- und Technologierichtlinien, Verantwortlichkeiten, Prozesse und Datenbedingungen zu definieren, zu dokumentieren und zu messen. Die Nutzung von Automatisierungsfunktionen zur kontinuierlichen Messung von Datenschutzrisiken und deren Aufzeichnung hilft, die wichtigsten Risikoindikatoren (Key Risk Indicators, KRI) für Datenschutz- und Compliance-Programme auf dem aktuellen Stand sind.

Daten verstehen, um sicher mit ihnen zu arbeiten

Technische Lösungen können jedoch immer nur ein Teil eines Gesamtkonzepts für Datensicherheit sein. Letzten Endes kommt es immer auch auf die Nutzer an. Zu einem umfassenden Risikomangement gehört deshalb auch eine Unternehmenskultur, in der Mitarbeiter für den Umgang mit personenbezogenen Daten sensibilisiert werden und sich bei sicherheitsrelevanten Vorfällen ohne Angst vor Sanktionen vertrauensvoll an interne Ansprechpartner wenden können.

Unternehmen befinden sich heute im Besitz großer Mengen sensibler Daten. Das bringt eine enorme Verantwortung für Geschäftsleitung und Mitarbeiter mit sich, die ihr Datenverständnis und -wissen ständig erweitern müssen. Um Risiken in verschiedenen Umgebungen zu vermeiden, ist es wichtig, Daten zu lokalisieren, zu klassifizieren und zu analysieren. Häufig sind Mitarbeitern die Folgeschäden von Informationsverlusten nicht bewusst, was dazu führt, dass sensible Daten häufig auf unsichere und ungeschützte Arten übermittelt werden. Die Anonymisierung und Pseudonymisierung sensibler Daten ist daher ein weiterer entscheidender Baustein im Sicherheitskonzept. Um zusätzlich ein höheres Maß an Sicherheit für diverse Daten zu gewährleisten, sollte jeder Mitarbeiter zudem nur auf die für ihn erforderlichen Daten zugreifen können. Beispielsweise muss die Buchhaltungsabteilung in der Lage sein, alle Konten einzusehen, muss allerdings keinen Zugriff auf die gesamte Kundenkommunikation haben. Softwarelösungen weisen Mitarbeitern klare Zugriffsrechte zu, so dass nur diejenigen Mitarbeiter Zugang zu sensiblen Daten haben, die mit diesen tatsächlich arbeiten müssen. Zusätzlich ist es angesichts der steigenden Zahl von Mitarbeitern, die außerhalb der Sicherheit des Büronetzwerks arbeiten, wichtiger denn je, sicherzustellen, dass Remote-Arbeitsplätze vor Cyberangriffen geschützt sind.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Daten schützen bedeutet Mitarbeiter weiterbilden

Die meisten Unternehmen verfügten beim Wechsel zur Distanzarbeit nicht über geeignete Verfahren für das sichere Arbeiten im Home Office. Angestellte erhielten übereilt Geräte, die oft nicht ordnungsgemäß gesichert waren, oder mussten persönliche Geräte für die Büroarbeit verwenden. Aus dieser Erfahrung hat man gelernt, dass das Home Office zur Sicherheitslücke werden kann, wenn Mitarbeiter nicht richtig ausgestattet, nicht richtig geschult oder beides sind.

Beispielsweise kann es bei der Eingabe von persönlichen und vertraulicher Daten im Home-Office, wie etwa der Anmeldung mit bestehenden Accounts wie Google, Facebook oder Apple-ID passieren, dass Passwörter gehackt oder gestohlen werden. Die Multi-Faktor-Authentifizierung fügt hier eine zusätzliche Authentifizierungsebene ein, die es Datendieben schwerer macht, an persönliche Accounts zu gelangen. Auch die Verlagerung des Home Office in öffentliche Netzwerke wie beispielsweise Cafés oder Bibliotheken – etwa, weil das heimische Netzwerk ausgefallen ist – birgt Risiken, die Angestellte kennen müssen. Öffentliche Netzwerke sind zwar oft kostenlos, doch bestehen hier erhöhte Risiken für Datendiebstahl oder für das Einschleusen von Schadsoftware. Falls öffentliche Netzwerke nicht vermieden werden können, sollten Unternehmen Mitarbeitern einen VPN zur Verfügung stellen, auf den sie in solchen Fällen zurückgreifen können.

Fazit

Unternehmen haben seit vielen Jahren verpflichtende Datenschutzauflagen zu erfüllen. Die gestiegenen Datenmengen und ihre Handhabung in ungesicherten Umgebungen macht die Erfüllung der rechtlichen Vorgaben nicht einfacher. Data Governance ist keine alleinige Aufgabe der IT mehr, sondern als geschäfts- und reputationskritisches Kriterium Führungsaufgabe und durch die Zunahme von Distanzarbeit auch Verantwortung jedes einzelnen Mitarbeiters. Unternehmen müssen deswegen geeignete technische Maßnahmen wie die Implementierung von Privacy-Software zu ergreifen, um die Sicherheit der in ihrem Besitz befindlichen personenbezogenen Daten zu gewährleisten. Solche Lösungen helfen, Risikoanalysen personenbezogener Daten vorzunehmen, Governance zu definieren und automatisierte Kontrollen etablieren, um den Schutz von kritischen Daten auch außerhalb des Büros zu gewährleisten. Zusätzlich liegt es in ihrer Verantwortung, Mitarbeitern eine gute Schulung, Ausstattung und aktuelle und relevante Informationen an die Hand zu geben.

Über den Autor: Christian Geckeis ist General Manager DACH bei Informatica.

(ID:48196258)