Die europäische Datenschutzgrundverordnung (DSGVO) gilt seit zwei Jahren, und sie gilt vielerorts als große Herausforderung. Der Speicherspezialist Kingston Technology gibt Tipps, wie Unternehmen den Datenschutz im Alltag einhalten.
Die Anforderungen an IT-Sicherheitssysteme und die Vorkehrungen zum Datenschutz ändern sich ständig. Folglich sind auch Richtlinien keine einmalige Aufgabe. Vielmehr müssen sicherheitsrelevante Themen ständig neu bewertet werden.
Kingston Technology, unabhängiger Anbieter von Speicherlösungen, hat vier Fragen formuliert, die Unternehmen beantworten müssen:
- Was sind konkrete Entwicklungen hinsichtlich des Datenschutzes und der IT-Sicherheit, die es zu beachten gilt?
- Wie kann das Unternehmen seine Mitarbeiter hinsichtlich der aktuellen Gegebenheiten und Anforderungen schulen?
- Wie können Verantwortliche die IT-Infrastruktur entsprechend der Anforderungen optimieren und in den Arbeitsalltag integrieren?
Die häufig gestellte Kostenfrage ist laut Kingston simpel zu beantworten: Der Invest in eine sichere Infrastruktur kostet am Ende weit weniger als mögliche Strafen bei einem Verstoß gegen die DSGVO-Vorschriften.
Die Speicherspezialisten aben einige Tipps ausgearbeitet, mit denen Unternehmen die Konformität auch bei sich wandelnden Entwicklungen beizubehalten und effizient in den Arbeitsalltag zu integrieren:
- Die Arbeitsumgebung auch im Remote Working absichern
In Zeiten von Remote Working müssen Unternehmen einen Weg finden, der es erlaubt, dass ihre Angestellten überall effektiv und produktiv zu arbeiten und trotzdem nicht gegen die Datenschutzbestimmungen zu verstoßen. Eine einzige Person reicht dabei aus, um alle Datenschutzbemühungen zum Scheitern zu bringen. Mögliche Werkzeuge zur Absicherung sind:
- Zwei-Faktor-Authentifizierung
Diese Art der Authentifizierung bietet einen effizienten und einfachen Weg für das durchschnittliche Unternehmen, um die Netzwerksgrenzen zu schützen. Ein gutes Beispiel für die Zwei-Faktor-Authentifizierung ist, wenn ein Benutzer aufgefordert wird, ein Passwort auf einem Laptop sowie einen Code einzugeben, der an ein Mobiltelefon gesendet wird, sobald ein Passwort erfolgreich eingegeben wurde.
- Virtual Private Network (VPN)
VPNs sind gerade im Mittelstand sehr beliebt. Sie eignen sich besonders für Mitarbeiter, die über öffentliche WIFI-Netzwerke auf Geschäftsdaten zugreifen. Wichtig dabei: Sie sind nur ein Teil der Lösung und keinesfalls ein umfassendes Gesamtkonzept. Setzen Mitarbeiter den Laptop am mobilen Arbeitsplatz nur mit der VPN-Sicherung und ohne Hardwareverschlüsselung ein, gilt für die lokal gespeicherten Daten nur ein geringer Schutz. Früher oder später werden Dateien direkt auf dem Gerät gespeichert. Wird das Device dann gehackt, vergessen oder gestohlen, hilft kein VPN mehr bei der Datensicherheit.
- Verschlüsselte Festplatten und USB-Sticks
Die Zeiten, in denen verschlüsselte Geräte teuer waren, sind vorbei. Inzwischen kosten sie nur wenig mehr als die unverschlüsselten Versionen. Für Unternehmen können verschlüsselte Festplatten und USB-Sticks einen entscheidenden Vorteil bieten: Wird ein Gerät gestohlen, sind die verschlüsselten Daten vor ungewollten Zugriffen geschützt. Je nach Verschlüsselungslösung können Unternehmen sie aus der Ferne zerstören.
- Private Server und Managed Service Provider
Der Trend, eigene Server vor Ort zu haben, erlebt bei größeren Unternehmen aktuell ein Revival. Der Vorteil: Die Administratoren haben volle Kontrolle über ihren Serverbestand, und nichts wird in der öffentlich zugänglichen Wolke gespeichert. Neben den gänzlich privaten Servern gibt es auch hybride Serverlösungen. Hierbei speichern Unternehmen nicht-sensible Daten in der Cloud, persönliche Daten bleiben aber vor Ort.
Für den Mittelstand können diese Lösungen zu teuer sein. Hier kommen Managed Service Provider und virtuelle Privat-Server ins Spiel. Hier wird der Fokus auf Sicherheit deutlich verstärkt, ohne dabei die Betriebskosten dramatisch in die Höhe zu treiben.
- Effektive Schulung von Mitarbeitern
Umfassender Datenschutz beruht auf mehreren Faktoren: Zum Beispiel auf dem Verständnis, dass die DSGVO eine Frage der Unternehmenskultur ist, die alle Angestellten täglich betrifft. Wichtig sind smarte Trainings, die auf die individuellen Herausforderungen der Unternehmen eingehen. Grundsätzlich gilt: Gut ausgebildete Angestellte verstoßen weniger gegen Datenschutzbestimmungen. Im Falle eines Datenverlustes ist es außerdem von Vorteil, wenn Unternehmen nachweisen können, dass sie ihre Mitarbeiter entsprechend geschult haben.
Ein Ansatz wäre zum Beispiel, den Mitarbeitern zu verdeutlichen, dass immer eine Person hinter den Daten steht. Die Mitarbeiter sollen über jede Organisation nachdenken, an die sie Daten weitergegeben haben. Dabei wird ihnen oft klar, dass es beim Datenschutz um den Schutz der eigenen Privatsphäre geht.
Wichtig dabei ist zu verstehen, dass die Schulung das Ziel hat, echte Verhaltens- und Kulturveränderungen im Unternehmen herbeizuführen. Simple und zeitsparende Wege sind Online-Schulungspakete sowie ein Multiple Choice-Test mit Fragen zum Datenschutz, die jeder Mitarbeiter richtig beantworten muss. Langfristig wird dieser Ansatz jedoch ein Unternehmen nicht schützen.
- Verantwortlichkeiten richtig verteilen
Fast jeder Mitarbeiter kann gegen die Regeln verstoßen. Besonders in Unternehmen, in denen die Angestellten stark ausgelastet sind oder in einem hohen Maß autonom arbeiten, verschärft sich das Problem. Ein wenig mehr Stress und die Vorschriften geraten aus dem Blickfeld. Die Produktivität schlägt das Datenschutzprotokoll.
Nun gibt es seit dem Inkrafttreten der DSGVO mehr und mehr Datenschutzbeauftragte in den Unternehmen. Dabei handelt es sich jedoch nicht um einen Vollzeitjob. Vielmehr ist es oft ein Technik-affiner Mitarbeiter, dem das Label angeheftet wird. Dieser ist damit verantwortlich für alle Datenschutzangelegenheiten des Unternehmens – und muss dieser Aufgabe neben seiner eigentlichen Tätigkeit nachkommen. In der Realität benötigen Datenschutzbeauftragte eine Reihe von Tools und Services, die sie dabei unterstützen. Unerlässlich ist zudem ein umfassender Einblick in die Sicherheits- und Datenschutzlandschaft des Unternehmens.
Die Welt der Datensicherheit ist schnelllebig und selbst für einen Vollzeitbeauftragten eine Herausforderung. Es wird immer Themen und Probleme geben, die eine zweite Meinung erfordern. Die Zusammenarbeit mit einem externen Berater für Datensicherheit kann langfristig ein Weg sein, um diese Herausforderungen zu meistern.
- Nicht benötigte Daten löschen
Einen positiven Trend, den die DSGVO mit sich gebracht hat, ist die Reduktion von gesammelten Daten. Smarte Unternehmen handeln nach der Devise: „If you don‘t need it, don’t collect it.“ Einer der Grundsätze der DSGVO ist es, alte Daten zu löschen. Bestimmte, personenbezogene Daten dürfen zum Beispiel nicht länger als 7 Jahre aufgehoben werden.
Neben der Risikominimierung hat das Vorgehen der Datenreduzierung auch Vorteile hinsichtlich der Effizienz. Datenbanken, beispielsweise im Marketing, performen weitaus besser und verursachen weniger Kosten, wenn sie keine veralteten Daten enthalten. Ist die Marketingdatenbank nicht sauber geführt und beinhaltet Zehntausende von unnötigen Personen, summieren sich die Kosten einer Kampagne. Mit dem passenden Werkzeug senden Datenbanken eine Warnung an den Administrator, die auf das Ablaufdatum von Daten hinweist.
Das Bestreben, Datenbanken von veralteten und nicht benötigten Daten zu säubern, gilt auch für physische Daten. Prints und Scans können reduziert und so weitere Angriffsflächen vermieden werden.
Letztendlich kommt es bei der konstanten Sicherung der Daten auf einen optimalen Mix aus den richtigen Tools und dem zielführenden Einsatz der Expertisen an. Sehr viele Anbieter unterstützen die Unternehmen bei der DSGVO-Konformität. Ein Fokus bei Auswahl des Partners sollte sein, ein System zu finden, das von einem vertrauenswürdigen Anbieter stammt, der über spezifisches Fachwissen in relevanten Branchen oder Sektoren verfügt. Technologie und Tools reichen alleine nicht aus . Für eine umfassend geschützte IT-Infrastruktur ist es entscheidend, die Herausforderungen zu verstehen, die mit der Einführung von Datensicherheit verbunden sind.
„Die unternehmenseigene IT-Infrastruktur ist nur so stark wie ihr schwächstes Element“, erläutert Christian Marhöfer, Regional Director DACH bei Kingston. „Risiken im Datenschutz und Sicherheitsbedrohungen sollten stets abgeklärt werden. Wichtig ist es, Daten beim Transport, beim Austausch, bei der Nutzung sowie bei der Ablage zu schützen. Darüber hinaus braucht jedes Unternehmen einen umfassenden Sicherheits-, Wiederherstellungs- und Datenlöschplan.“
Weitere Details finden sich im E-Book „Data protection and cyber security in a post-GDPR landscape“. Jürgen Frisch
