Als die Europäische Datenschutzgrundverordnung (EU-DSGVO) im Mai letzten Jahres in Kraft trat, haben viele erst realisiert, welchen Handlungsbedarf es in ihrem Unternehmen gibt. [...]
Einiges wurde umgesetzt, anderes blieb liegen. Und das gilt vor allem für den Schutz personenbezogener Daten auf mobilen Endgeräten.
Auch rund ein Jahr nach dem Inkrafttreten beschäftigt die DSGVO noch immer viele Unternehmen in Österreich. Schätzungen zufolge hatte Ende letzten Jahres ein Großteil der Unternehmen die Vorgaben noch nicht vollständig erfüllt. In anderen europäischen Ländern sieht es auch nicht viel besser aus. Auch wenn beträchtliche Fortschritte erzielt wurden, bleibt noch immer viel zu tun. Während die großen Unternehmen frühzeitig begonnen haben und in der Zwischenzeit auch alle neuen Projekte im Hinblick auf die Erfüllung der neuen Datenschutzgesetzgebung prüfen, gibt es vor allem bei kleinen Firmen noch einen erheblichen Nachholbedarf. Eine der Großbaustellen sind die mobilen Endgeräte.
Unternehmen, die Projekte erfolgreich umgesetzt haben, führten zunächst eine Bestandsaufnahme durch: Sie erfassten, wo überall personenbezogene Daten vorhanden sind – in den Rechenzentren, den einzelnen Abteilungen und nicht zu vergessen auf mobilen Geräten. Vor allem aber ermittelten sie, wer lesend und schreibend auf die Daten zugreift und dokumentierten dies. Damit ist eine wichtige Voraussetzung die Umsetzung der organisatorischen und technischen Vorgaben geschaffen, wie sie die DSGVO vorsieht.
Um das an einem konkreten Punkt zu verdeutlichen: Die DSGVO sieht ein „Recht auf Vergessenwerden“ vor. Widerrufen Kunden oder Geschäftspartner ihre Einwilligung zur Speicherung ihrer Daten oder ein Mitarbeiter verlässt das Unternehmen, müssen deren personenbezogene Daten gelöscht werden. Und das geht nur, wenn das Unternehmen den genauen Speicherort kennt. Das gilt natürlich auch für alle mobilen Endgeräte – schwierig kann es werden, wenn Mitarbeiter ihre privaten Smartphones für berufliche Zwecke nutzen oder Daten in nicht autorisierten Apps speichern.
Die DSGVO sagt hier ganz unmissverständlich: Unternehmen müssen jederzeit feststellen können, wo sich personenbezogen Daten befinden, um sie löschen zu können. Zudem müssen Sicherheitsvorkehrungen getroffen werden, um die Daten vor unbefugtem Zugriff anderer Personen oder Apps beziehungsweise. Malware schützen. Sind die Firmendaten nicht explizit geschützt, entstehen Angriffspunkte auf die IT und damit auch auf vertrauliche Daten des Unternehmens.
Sicherheitsniveau auf dem Stand der Technik
Die DSGVO erfordert den Aufbau einer sicheren Systemumgebung für alle von Mitarbeitern genutzten Smartphones und Tablets – egal, ob firmeneigen oder privat. Dazu müssen Unternehmen angemessene technische und organisatorische Maßnahmen (TOMs) implementieren, die ein hohes Sicherheitsniveau gewährleisten und auf dem „neuesten Stand der Technik“ sind. Die DSGVO verlangt dazu sowohl eine Verschlüsselung der personenbezogenen Daten auf den mobilen Geräten selbst als auch eine durchgängige Verschlüsselung während der Übertragung. Dazu kommt eine klare Trennung von betrieblichen und privaten Daten auf den mobilen Endgeräten.
Die Lösung dafür bietet die Container-Technologie. Eine Container-App, wie sie beispielsweise Virtual Solution mit SecurePIM anbietet, separiert geschäftliche und private Daten und bietet damit eine sichere mobile Systemumgebung. Die App verpackt alle geschäftlichen und personenbezogenen Daten in einen verschlüsselten Bereich auf dem Endgerät. Selbst wenn ein Smartphone verlorengeht oder gestohlen wird, sind die Daten vor Missbrauch sicher, denn sie können aus der Ferne gelöscht werden. Unternehmen haben also immer die Hoheit über die Daten. Der Schutz des verschlüsselten Containers ist durch PIN, Passwort, TouchID oder FaceID gewährleistet.
Dank der Container-Technologie kann die IT festlegen, dass Anwender keine Firmeninformationen und damit auch keine personenbezogenen Daten mit Copy-and-Paste in den Privatbereich verschieben können. Zudem ist gewährleistet, dass es per WhatsApp oder Facebook keinen Zugang zu Daten im Sicherheits-Container, zum Beispiel zu Kontakten, gibt.
Sicherer Zugriff auf das Unternehmens-Netzwerk
Die Kommunikation zwischen der Container-App und der Unternehmenszentrale oder -filiale erfolgt verschlüsselt. Darüber hinaus müssen Administratoren festlegen und überwachen, welche Mitarbeiter mit welchem Endgerät Zugang zu den Unternehmensressourcen erhalten. Sie stellen damit sicher, dass das mobile Endgerät nicht zum Einfallstor von Malware wird und nur autorisierte Mitarbeiter und Anwendungen Zugriff bekommen.
Spezielle Gateways können dabei den Weg in die IT-Infrastruktur absichern, ohne dass eine VPN-Infrastruktur benötigt wird. Die Sicherheit basiert hier auf der Authentifizierung durch Zertifikate. Das Gateway stellt einen verschlüsselten Tunnel für die Übertragung von Daten bereit. Es überprüft die Identität des Mitarbeiters und erlaubt nur berechtigten Nutzern den Zugang zu den internen IT-Ressourcen.
Sicheres und komfortables Arbeiten ermöglichen
Zusätzlich zu den technischen Vorkehrungen bei der Umsetzung und der Einhaltung der DSGVO spielen organisatorische Maßnahmen eine wichtige Rolle. Beide ergänzen einander. Dazu gehören etwa klare Sicherheitsregeln und Trainings, aber auch das Verhalten und Engagement der Benutzer. Die Sicherheits-Awareness muss fortlaufend gestärkt werden, denn Schätzungen zufolge ist bei rund der Hälfte der Sicherheitsvorfälle fahrlässiges Verhalten der Anwender im Spiel. Nicht zuletzt sollten Unternehmen darauf achten, dass sie keine einschränkenden Lösungen einführen. Gibt es Komplikationen bei der Handhabung, suchen Mitarbeiter erfahrungsgemäß nach Möglichkeiten, die einengenden Vorgaben zu umgehen. Bei Sicherheitsregeln ist das absolut kontraproduktiv. Mitarbeiter schätzen Apps, mit denen sie produktiv, sicher und komfortabel arbeiten können. Das gilt auch bei der Einführung und Nutzung von Sicherheits-Containern auf mobilen Endgeräten, denn sie bilden einen zentralen Baustein bei der Umsetzung und Einhaltung DSGVO-Vorschriften.
Be the first to comment