:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz und Whistleblower-Gesetz Sicherheit der Hinweisgebersysteme
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Der digitale Wandel und die Erfahrungen aus über einem Jahr Pandemie verändern unsere Art, beruflich und privat miteinander zu interagieren und zu kommunizieren. Effizienz, Rentabilität und Agilität sind die Buzzwords und Business-Treiber. So entsteht in nahezu allen Unternehmen die Herausforderung innerhalb der vier Kerndisziplinen Datenschutz, Datensicherheit, Datenqualität und Datenverfügbarkeit, größtmögliche Schnelligkeit mit höchstmöglicher Sicherheit zu kombinieren.
In diese allgemeine Gemengelage drängt sich Ende dieses Jahres eine weitere Notwendigkeit: die EU-Hinweisgeberrichtlinie wird auf nationaler Ebene innerhalb der 27 Mitgliedstaaten gesetzlich verankert. Kernelement dieser neuen regulatorischen Anforderung, des sogenannten Whistleblower-Gesetzes, ist ein digitales, anonymes Hinweisgebersystem, ein Meldekanal zum Schutz von Hinweisgeber:innen. Für die kleinsten Unternehmen (von 50 bis zu 249 Mitarbeiter:innen), die von der Regelung betroffen sind, wird es eine verlängerte Umsetzungsfrist bis Ende 2023 geben. Rechnet man diese mit ein, betrifft diese Regelung allein in Deutschland rund 90.000 Unternehmen (ab 50 Mitarbeiter:innen). Hinzu kommen Kommunen ab 10.000 Einwohner:innen, Behörden ab 50 Mitarbeiter:innen sowie Schulen, Universitäten und Unternehmen der Kommunen wie Stadtwerke, Müllabfuhr etc. Viele Unternehmen sind bei der Einführung der DSGVO durch zu spätes Handeln in große Schwierigkeiten geraten, vor allem durch die Umrüstung ihrer Datenbanken und Veränderung ihrer Prozesse zur Datenverarbeitung. Um solche Fehler bei dieser neuen regulatorischen Anforderung auszuschließen, ist allen Unternehmen dringend geraten, sich bereits jetzt mit den wesentlichen rechtlichen und technischen Erfordernissen auseinanderzusetzen.
:quality(80)/p7i.vogel.de/wcms/e2/d6/e2d6d2f3686c5f24493a53ecbdd6648c/95733388.jpeg "Ab 17. Dezember 2021 müssen die ersten Unternehmen, Behörden und Gemeinden in Deutschland sichere interne Meldekanäle für Whistleblower bereitstellen. (Bild: gemeinfrei)")
Whistleblower-Richtlinie ab Ende 2021
5 Tipps zum Whistleblower-Schutz für Unternehmen
Welche Voraussetzungen müssen Unternehmen für die Umsetzung des Whistleblower-Gesetzes erfüllen?
Aus juristischer Sicht treffen bei der Umsetzung des Whistleblower-Gesetzes zwei entgegenwirkende Prinzipien aufeinander: Eine/n Beschuldigten zu informieren (Unterrichtungspflicht) und seine oder ihre Daten laut DSGVO fristgerecht zu löschen (Löschkonzept), widerspricht den Pflichten zum Hinweisgeberschutz. Die EU-Hinweisgeberrichtlinie fordert nämlich sowohl die Wahrung der Anonymität als auch die lückenlose Dokumentation. Ein Ausweg aus dieser juristischen Konfliktlage ist mit der Einrichtung eines digitalen Hinweisgebersystems möglich. Doch auch mit einem solchen System ist die Speicherung der Daten der „Knackpunkt“. Davon betroffen sind vor allem die personenbezogenen Daten, also Name, Geschlecht, Geburtsdatum etc., die laut der DSGVO als besonders schützenswert gelten. Auch dafür gibt es wieder Ausnahmeregelungen und Einschränkungen, die ein Unternehmen vorab in Betracht ziehen muss. Aufgrund dieser Komplexität sollte das Unternehmen daher vor der Einführung eines Hinweisgebersystems immer die eigene Rechts- und Compliance-Abteilung oder aber eine externe Rechts- und Compliance-Beratung miteinbeziehen.
Anforderungen an die IT
Unabhängig von der juristischen Betrachtungsweise befasst sich natürlich auch die interne oder externe IT mit dem Schutz und der Sicherheit der Unternehmensdaten. Umso wichtiger, diese Abteilung sowohl bei der Auswahl als auch bei der Implementierung eines anonymen Hinweisgebersystems an Bord zu haben. Worauf muss die IT bei einem digitalen Hinweisgebersystem achten, um richtlinienkonform zu agieren: zuallererst ist das Hosting der Daten ausschlaggebend. Gewiss haben auch server-basierte Lösungen einige Vorzüge, doch die der Cloud-Lösungen überwiegen. Diese sollte in einem Rechenzentrum der Spitzenklasse liegen, wie das beispielsweise die Open Cloud der Deutsche Telekom (OTC) garantiert. Regelmäßige interne Tests und externes periodisches Penetration Testing (Pentesting), die entsprechend dokumentiert werden, stellen das hohe Sicherheitsniveau sicher. Gerade bei einem System, das rund um die Uhr erreichbar sein soll, ist die Verfügbarkeit ein sehr wichtiger Faktor: Lösungen mit Twin Core Technology garantieren eine 99,999 prozentige Verfügbarkeit bei einem Sicherheitsniveau auf Stufe Tier 3+ gemäß Uptime Institut. Dieses wird regelmäßig zertifiziert, entsprechend den Richtlinien und Qualitätsstandards des TCDP 1.0 Zertifikats. Erweiterten Schutz und Sicherheit seitens des Hostings bieten die Dekra-Zertifikate ISO 27001 zur Einhaltung der Informationssicherheit, ISO 27017 zur Überwachung des Datensicherheitsmanagement und ISO 27018 zur Anerkennung des Datenschutzmanagements.
Im Idealfall sollten die in einem Hinweisgebersystem enthaltenen sensiblen Daten durch weitere Maßnahmen gesichert werden. Beispielsweise kann dies mittels einer erzwungenen Transportverschlüsselung durch ein SSL/HTTPS Kommunikations-Protokoll erfolgen oder durch eine Verschlüsselung der Applikationsdaten at-rest. Weiterhin sollten regelmäßige Penetration Testings von unabhängigen IT-Security Spezialisten auch auf Systemebene erfolgen, um die Sicherheitsstandards auf die Probe zu stellen. Das Testing sollte das Einhalten von OWASP (Open Web Application Security Project) und ASVS (Application Security Verification Standard) auf Level 1 bestätigen und gewährleisten können.
Welche Kernfunktionen sollte ein Hinweisgebersystem enthalten?
Die Basis für jedes Hinweisgebersystem muss die hundertprozentige Konformität mit der neuen EU- Whistleblower-Richtlinie sein. Besonders der deutsche Mittelstand ist häufig auch im europäischen Binnenmarkt und international tätig. Deswegen sollten gerade mittelständische Unternehmen bei der Auswahl eines geeigneten Systems darauf achten, dass das System sowohl in der Administration als auch für den potenziellen Hinweisgeber mehrsprachig und multinational verfügbar ist und gegebenenfalls zusätzliche Spracherweiterung anbietet. Aufgrund der Tatsache, dass die Richtlinie von jedem Mitgliedsstaat in nationales Recht übersetzt werden muss, steigt die rechtliche Komplexität durch die ausländischen Tätigkeiten eines Unternehmens. Man sollte darauf achten, dass die Anbieter eines Hinweisgebersystems sich kontinuierlich darum kümmern, das System auf Kompatibilität der nationalen rechtlichen Anforderungen zu überprüfen. Das unternehmensintern abzudecken, wäre enorm zeit- und kostenintensiv.
Dem Hinweisgeber sollte es möglich sein, vertraulich oder anonym zu melden. Eine inkludierte Chatfunktion, die die Anonymität der Hinweisgeber:innen garantiert, erleichtert die Aufklärung bei Rückfragen zum Sachverhalts enorm. Darüber hinaus ist auch klar, dass die Probleme oder Schwachstellen in Unternehmen äußerst verschieden sein können. Denken Sie an ein produzierendes Unternehmen im Maschinenbau im Vergleich zu einem Service-Dienstleister: Ein Unternehmen muss die Möglichkeit haben, eigene Risikofelder zu adressieren, indem es in einem Hinweisgebersystem beispielsweise den Fragenkatalog an die branchen- und prozessspezifischen Risiken anpassen kann. Eine gut strukturierte Benutzerverwaltung und ein intelligentes Fristenmanagement sind die Grundlage für den reibungslosen Umgang mit Hinweisen innerhalb des Unternehmens. Zwei-Faktoren-Authentifizierung per E-Mail, SMS oder Google Authenticator bieten zusätzliche Sicherheit, dass nur Berechtigte Zugriff auf die sensiblen Daten innerhalb des Hinweisgebersystems haben. Ein Dashboard für das regelmäßige Reporting im Unternehmen sowie der professionelle Kundenservice sind wichtige Auswahlkriterien für eine Lösung.
:quality(80)/images.vogel.de/vogelonline/bdb/1867400/1867451/original.jpg "Sollen Diejenigen, die Missstände öffenltich anprangern, dafür belohnt werden? (WoGi - stock.adobe.com)")
Diese Länder setzen finanzielle Anreize für Informanten
Schutz für Whistleblower ja – Belohnung eher nicht
Besondere Herausforderung: Anonymität trotz direkter Kommunikation
Ein Hinweisgebersystem wird zum zentralen Element der Compliance eines Unternehmens. Durch gewährte Anonymität schützt es die Hinweisgeber:innen vor möglichen Nachteilen. Durch derartige Meldungen frühzeitig aufgedeckte Missstände schützen das Unternehmen vor Skandalen und wirtschaftlichen Schäden. Doch wie können Hinweisgeber:in und Hinweisempfänger:in innerhalb des Meldekanals miteinander kommunizieren? Die zuvor erwähnte Chatfunktion innerhalb eines digitalen Hinweisgebersystems ist einer der wichtigsten Vorteile gegenüber klassischen, man könnte sagen „altmodischen“, Lösungen wie Briefkästen oder Hotlines: Bei Abgabe eines Hinweises erstellt der oder die Hinweisgeber:in manuell und individuell eine 4-stellige PIN. In Kombination mit einer zusätzlich vom System automatisch randomisierten und generierten 16-stellige numerischen Code (Case-ID) kann sich die Person erneut in diesen Hinweis einloggen, um den Stand der Dinge zu verfolgen oder auf Rückfragen zu antworten.
Fazit
Für welches Hinweisgebersystem sich ein Unternehmen entscheidet, ist immer auch abhängig von der Größe, der damit zusammenhängenden Infrastruktur sowie der finanziellen und personellen Kapazitäten. Es gibt eine Reihe von Fragen, die vor der Implementierung eines Hinweisgebersystems beachtet werden müssen: Diese betreffen neben den oben angesprochenen Features die Operational Procedures, das Management der Technical Vulnerability, das Capacity Management und auch SLA (Service Level Agreements) zwischen Unternehmen und externen Anbietern. Entscheidend ist, dass bei der Auswahl eines Hinweisgebersystems immer dessen eigentliche Intention beachtet wird: Hinweisgebersysteme ermöglichen eine doppelseitige Schutzschildfunktion für Unternehmen und dessen Mitarbeiter:innen. Sie dienen als eine Art Frühwarnsystem, um interne Verstöße gegen Compliance-Regeln oder externe Gesetzesverstöße gegen Auflagen frühzeitig zu erkennen und diesen gegenzusteuern, sie im besten Fall sogar zu verhindern. Ganz konkret: Unternehmen jeder Größenordnung verlieren schätzungsweise 5 Prozent ihres Jahresumsatzes durch Straftaten im Wirtschaftsbereich, darin sind Schäden wie Reputationsverlust nicht beziffert. Das Whistleblower-Gesetz ist also kein Katalysator von Denunziantentum – ganz im Gegenteil: es vereinfacht Unternehmen und deren Mitarbeiter:innen die langfristige Sicherung ihres Erfolges.
Über den Autor: Dr. Thomas Altenbach ist CEO und Gründer von. LegalTegrity. Dr. Altenbach ist ein Compliance-Experte mit einer Leidenschaft für Integrität und Innovation. Als Anwalt in internationalen Konzernen mit großer Führungs- und Etatverantwortung sowie als Berater mittelständischer Unternehmen erarbeitete er sich den Ruf als einer der gefragtesten Compliance-Spezialisten und war Mitglied einer UN Expertengruppe. Komplexe Fragen des internatio-nalen Gesellschaftsrechts, der Compliance und der Unternehmenshaftung sind ihm ebenso vertraut, wie unternehmerische Zielsetzungen, Ressourcen-planung, Innovationsfähigkeit und Finanzierbarkeit mittelständischer Unternehmen.
(ID:47905218)
:quality(80)/images.vogel.de/vogelonline/bdb/1937300/1937381/original.jpg "Krankenhäuser sind eine Goldgrube für Cyberkriminelle. Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund von Kliniken ein höheres Maß an Informationssicherheit. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937676/original.jpg "Ransomware entwickelt sich immer weiter. Der zunehmende Einsatz von Datenexfiltration in Kombination mit Ransomware erfordert von Unternehmen einen erweiterten Sicherheitsansatz. (ipopba - stock.adobe.com)")