Jede Firma verarbeitet Daten und speichert diese. Manche Daten sind weniger sensibel, andere Daten hingegen sehr. Aus Gründen des Datenschutzes oder der Vertraulichkeit dürfen diese keinesfalls in fremde Hände geraten. Die Themen Datenschutz und Sicherheit sind in Firmen ständig präsent und ohne klare Richtlinie kommt praktisch kein Unternehmen aus.

DSGVO: Der gesetzliche Rahmen

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25.Mai 2018. Jedes Unternehmen muss sich bei den Datenanwendungen an den darin enthaltenen Richtlinien orientieren. Sinngemäß sind im Gesetz unter anderem folgende Aspekte geregelt:

Personenbezogene Daten, die im beruflichen Zusammenhang aufgenommen werden, unterliegen der Geheimhaltung.
Arbeitgeber legen fest, wie die Daten zu verarbeiten sind und welche Personen Zugriff darauf haben dürfen. Eine Weitergabe personenbezogener Daten ist grundsätzlich nicht gestattet.
Arbeitgeber müssen Arbeitnehmer über die Inhalte der DSGVO und über die internen Regelungen zum Datenschutz belehren .
Wenn Mitarbeiter aus einem Betrieb ausscheiden, dürfen sie personenbezogene Daten weder nutzen noch weitergeben.

Wer gegen geltendes Datenschutzrecht verstößt, muss mit Geldstrafen rechnen und arbeitsrechtliche Konsequenzen befürchten. Außerdem können Personen, denen datenschutzrechtlich geschadet wurde, Schadenersatz einfordern.

IT-Sicherheitshandbuch als Leitfaden

Das es zur Zeit noch keine DSGVO-konforme ISO gibt wie auf https://www.pwc.de zu lesen ist, brauchen Firmen aus anderer zuverlässiger Quelle Orientierung. Ein hilfreicher Leitfaden zum Aufbau eines eigenen IT-Sicherheitshandbuchs in einer Firma ist wurde vom österreichischen Bundesministerium Digitalisierung und Wirtschaftsstandort WKÖ herausgegeben. Er und richtet sich an kleine und mittlere Unternehmen (KMU) in Österreich und in Deutschland. Einige Wichtige Aspekte zum Thema Datenschutz und Sicherheit im Internet greifen die folgenden Absätze auf.

Praktische Sicherheit im Betriebsalltag: Clean Desk Policy

Um personenbezogene Daten bestmöglich zu schützen ist die Clean Desk Policy praktisch anwendbar. Im betrieblichen Alltag bedeutet es, dass alle vertraulichen Unterlagen verschlossen werden, sobald der Arbeitsplatz verlassen wird. Dieses Verhalten soll dafür sorgen, dass keine Unbefugten Zugriff auf personenbezogene Daten haben. Insbesondere an Arbeitsplätzen mit Publikumsverkehr oder in Großraumbüros ist die Clean Desk Policy ratsam. Die folgenden Maßnahmen helfen dabei, die Clear Desk Policy umzusetzen:

Computerausdrucke, Akten und Papiere mit sensiblen Daten bei Verlassen des Arbeitsplatzes entweder verschließen oder vernichten
Computer sperren, wenn der Arbeitsplatz verlassen wird, z.B. mit der Tastenkombination Windows Taste + L
Datenträger mit vertraulichen Inhalten im Datenträgersafe oder im Schreibtisch einschließen
eigene Passworterinnerungen nicht direkt am Arbeitsplatz deponieren
Smartphone und Tablet mit PIN oder Passwort schützen

Eine VPN-Software lässt sich rasch aufspielen und sofort nutzen.

Smartphone, Tablet und Laptop: Tipps für den sicheren Umgang

Um Datenschutz und Sicherheit auch im Umgang mit mobilen Endgeräten zu gewährleisten, müssen Betriebe hierzu klare Vorgaben machen. So lässt sich der hohe Qualitätsanspruch an Datensicherheit und Datenschutz sowie Vertraulichkeit wahren. Andernfalls droht das Risiko, dass Firmendaten über portabel Endgeräte in falsche Hände geraten. Folgende Maßnahmen sorgen für einen sicheren Umgang mit sensiblen Daten:

Mobile Endgeräte nicht unbeaufsichtigt liegen lassen und keiner anderen Person geben. Auch bei kurzen Arbeitspausen dafür sorgen, dass die Geräte nur mit Passwort, PIN oder Fingerprint geöffnet werden können.
Nicht im ungesicherten WLAN-Netz surfen, sondern stets eine gesicherte Datenverbindung nutzen. Ein Virtuelles Privates Netzwerk (VPN) sorgt für den nötigen Schutz. Unter https://surfshark.com/de/learn/was-ist-vpn ist zu lesen, was ein VPN kann, welche Vorteile es bietet und wie es funktioniert.
Mobile Endgeräte sollten über Virenschutzprogramme verfügen, die von der Firmenleitung genehmigt sind. Gleiches gilt für Apps, die aus der Entfernung Daten aus mobilen Endgeräten löschen können. Diese Apps müssen korrekt konfiguriert werden. Auch hier ist die Absprache mit dem Administrator notwendig.
Verschlüsselte Daten sind der sicherste Schutz, weil ein Fernzugriff mit etwas Sachkenntnis per “Hard Reset” umgehbar ist. Die Daten auf einer SD-Karte bleiben beim Hard Reset erhalten. Daten auf dem internen Telefonspeicher sind wiederherstellbar. Lediglich eine vollständige Verschlüsselung des internen Speichers und der SD-Karte gewährleisten den Datenschutz.
Private Cloud-Speicherdienste sollten nicht zur Sicherung von Firmendaten benutzt werden. Dazu gehören z. B. Dropbox, iCloud oder Google Drive. Der IT-Verantwortliche der Firma sollte eine sichere Alternative vorschlagen.
Bei vertraulichen Besprechungen sollten Smartphones in den Flugmodus geschaltet werden oder nicht im Raum sein. Zu groß ist die Gefahr, dass jemand mithört.
Werden mobile Endgeräte gestohlen, sollte sofort der IT-Verantwortliche der Firma informiert werden. Es kann sein, dass einige Zugriffsberechtigungen und Passwörter geändert werden müssen, um unbefugte Zugriffe zu verhindern. Je schneller die Meldung beim Verantwortlichen ist, desto besser können Sicherheitslücken geschlossen werden.
Werden auf einem Firmengerät personenbezogene Daten gespeichert, müssen Mitarbeiter schnellstmöglich mit dem Arbeitgeber klären, ob dieser die Datenschutzbehörde oder betroffene Personen in Kenntnis setzen muss. Nur bei rechtzeitiger Meldung des Vorgangs kann der Arbeitgeber sich vor hohen Geldstrafen schützen.

Sichere Passwörter gehören zu den Basisanforderungen, wenn es um Datenschutz- und Sicherheit geht.

Verbindliche Passwort-Regeln einführen

Passwörter sind unverzichtbar, um IT-Geräte in Firmen vor unberechtigten Zugriffen zu schützen. Deshalb ist es zur Qualitätssicherung unverzichtbar, dass es konkrete Regelungen in der Firma gibt, wie Passwörter zu bilden und zu verwahren sind. Sie sollten komplex sein und müssen geheim gehalten werden. Folgende Regeln dienen zur Orientierung:

Ein Passwort sollte mindestens 10 Zeichen aufweisen. Eine Kombination aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen bietet größtmöglichen Schutz.
Persönliche Daten sollten nicht Bestandteil eines Passwortes sein. Namen und Vornamen, Geburtsdaten und Telefonnummern sowie Autokennzeichen werden zuerst bei Angriffen getestet.
Weder Begriffe aus Wörterbüchern noch Eigennamen oder geografische Bezeichnungen sollten als Passwort dienen. Dies gilt in jeder Sprache! Kriminelle nutzen spezielle Wortlisten mit zehntausenden gängigen Begriffen aus dem Wörterbuch, um mögliche Passwörter zu finden.
Passwörter wie 12345, abcde etc sind nicht geeignet, weil sie leicht zu erraten und beim Beobachten der Passworteingabe leicht zu merken sind.

Tipp zur Bildung eines sicheren Passwortes

Um ein sicheres Passwort zu bilden, lassen sich die ersten Buchstaben eines leicht zu merkenden Satzes nutzen. Beispiel:

“Ich stehe morgens um 7 Uhr auf und jogge durch den Wald”, lässt sich so abkürzen: “Ismu7aujddW.”

Passwörter sicher verwahren

Passwörter dürfen nicht offen herumliegen, sondern gehören in eine sichere Verwahrung. Da möglichst viele verschiedene Passwörter benutzt werden sollten, um die Sicherheit zu gewährleisten, sind Passwort-Manager hilfreich. Manche Passwortmanager sind in der Lage Passwörter nach vorgegebenen Kriterien zu bilden. Unter https://www.stickypassword.com/de/ findet sich ein Passwordmanager, der im Browser installiert werden kann. Durch die Vergabe eines Master-Passworts ist das Tool bei allen Online-Aktivitäten dabei. Neue und geänderte Passwörter werden automatisch übernommen und bei Bedarf sichere Passwörter neu generiert. Zudem gibt es online diverse Plattformen, auf denen Passwörter generiert und auf ihren Sicherheitsgrad hin überprüft werden können.

Die Datenschutzrichtlinie für den Betrieb individuell entwickeln

In Anlehnung an den Leitfaden der WKO können Firmen eine eigene Datenschutzrichtlinie entwickeln, solange noch keine DSGVO-konforme ISO vorliegt. Es bleibt abzuwarten, wann die dringend erforderliche ISO-Regelung in Ergänzung oder als Ersatz zur ISO 27701 und 27702 aufgelegt wird.

Abbildung 1: pixabay.com © Free-Photos (CC0 Creative Commons)
Abbildung 2: pixabay.com © StefanCoders (CC0 Creative Commons)
Abbildung 3: pixabay.com © geralt (CC0 Creative Commons)

Qualitätsmanagement in der IT: Datenschutz und Sicherheit