Als Verantwortlicher unterliegen Sie gemäß Artikel 33 Datenschutz-Grundverordnung einer Meldepflicht, sofern sich eine Verletzung des Schutzes personenbezogener Daten ereignet hat, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen führen kann.
Solche Datenschutzvorfälle müssen Sie binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Je nach Schwere des Vorfalls sind sie mit empfindlichen Bußgeldern belegt. Daher sollten Sie als verantwortliche Stelle bestrebt sein die Eintrittswahrscheinlichkeit von solchen Ereignissen durch geeignete Gegenmaßnahmen zu reduzieren. Im folgendem Beitrag werden Sie eine Reihe an Möglichkeiten kennenlernen, „klassische“ Datenschutzvorfälle durch geeignete technische und organisatorische Maßnahmen zu verhindern oder deren Eintrittswahrscheinlichkeit deutlich zu reduzieren.
Awareness, Awareness, Awareness
In vielen Fällen ist das Schlüsselwort Sensibilisierung. Die Mitarbeiter müssen in regelmäßigen Abständen geschult werden, damit das Thema Datenschutz stets präsent bleibt. Dies reduziert die Eintrittswahrscheinlichkeit und stellt zudem sicher, dass Datenschutzvorfälle erkannt, weitergeleitet und fristgerecht bearbeitet werden können. Folgende Themen sollten Sie in Form von organisatorischen Richtlinien, Arbeitsanweisungen und Hinweisen fixieren und regelmäßig in Schulungen auffrischen:
Umgang mit E-Mails
Hinweise zur Sicherheit von E-Mail-Verkehr sollten Sie an Ihre Mitarbeiter zur Information und Sensibilisierung weitergeben. Geben Sie dabei Hinweise zum Thema Transportkanalverschlüsselung sowie Ende-zu-Ende Verschlüsselung. Ebenfalls ist den Mitarbeitern mitzuteilen, für welche Art von Informationen die eine oder andere Variante oder ggf. weitere Möglichkeiten zu nutzen sind. Ein sicherer Umgang mit dem Medium E-Mail ist in der heutigen Zeit unerlässlich. Die Anweisungen und Sensibilisierungen sollten auch unbedingt das Thema Weiterleitung an private E-Mail-Adressen beinhalten.
Umgang mit mobilen Datenträgern
Mobile Datenträger wie Festplatten, USB-Sticks, CDs und teilweise weitere per USB anschließbare Geräte wie E-Zigaretten stellen mit entsprechender Schadsoftware für jede Organisation ein erhebliches Sicherheitsrisiko dar. Der einfachste Weg für Angreifer um ein IT-Systeme zu infiltrieren? Die Gutmütigkeit oder das Bedürfnis der Mitarbeiter zu helfen ausnutzen! Schnell wird der USB-Stick von der letzten Messe oder die Dokumente eines externen Dienstleisters auf die eigenen IT-Systeme überspielt und ehe man sich versieht, sind die Systeme infiltriert. Um solchen Problemen vorzubeugen sollten Sie klare Regeln definieren:
- Welche Geräte dürfen verwendet werden (nur unternehmenseigene, fremde oder gar private?)
- Unter welchen Umständen dürfen Geräte verwendet werden?
- An welchen Endgeräten dürfen mobile Datenträger eingesetzt werden?
- Welche Sicherheitsvorkehrungen sind zu treffen?
- Manueller Antiviren-Scan von fremden Datenträgern vor der Nutzung
- Verschlüsselung von firmeneigenen Datenträgern (z.B. via Bitlocker)
- Wer wird im Falle eines Verlustes informiert?
Clean Desk Policy
Häufig ist der einfachste Weg um an die Daten eines Unternehmens zu kommen der altmodische Weg. Während die IT-Systeme mit stetig zunehmendem Aufwand abgesichert werden, wird den physikalischen Akten am Arbeitsplatz in vielen Fällen nur eine geringe Bedeutung zugemessen. Dies hat zur Folge, dass zum Teil sensible Dokumente und Akten im Zugriff durch Unbefugte sind. Daher sollten grundsätzlich alle Mitarbeiter sensibel mit Dokumenten und Akten umgehen und bei Abschluss der Aufgaben für eine sichere Verwahrung sorgen. Flankierend kann eine Clean Desk Policy die Mitarbeiter dabei unterstützen. Folgende Aspekte sind zu berücksichtigen:
- Nach Abschluss einer Aufgabe oder beim Verlassen des Arbeitsplatzes sind alle sensiblen und vertraulichen Dokumente vom Schreibtisch zu entfernen und sicher zu verschließen.
- Die jeweiligen Schlüssel sollten sicher verwahrt sein.
- Jeglicher Papiermüll, der sensible oder vertrauliche Informationen enthält, ist in den dafür bereitgestellten Datenmüllbehältern oder einem geeigneten Aktenvernichter zu entsorgen.
- Ausdrucke an zentralen Druckern sind augenblicklich abzuholen.
- Grundsätzlich sollten sensible Dokumente (z.B. Personalakten) nur im Bedarfsfall und zeitlich befristet auf dem Schreibtisch liegen.
Prävention von Datenschutzvorfällen durch geeignete technische Maßnahmen
Die Mitarbeiter stellen zweifelsohne einen zentralen Baustein bei der IT-Sicherheit und auch beim Datenschutz dar. Neben der Unterstützung der Mitarbeiter durch entsprechende Richtlinien und Handlungsanweisungen können und sollten Sie als Unternehmen unbedingt technische Maßnahmen ergreifen, die Ihre Mitarbeiter vor den meisten Bedrohungen schützen. Folgende beispielhafte Maßnahmen sind je nach Bedarf und Kritikalität zu berücksichtigen:
- Firewalls zur Absicherung der internen Netzwerke unter Verwendung von Intrusion Detection oder Prevention Systemen
- Permanentes Monitoring kritischer Systeme, um auf Angriffe reagieren zu können
- Verwendung aktueller und anerkannter Antivirenanwendungen in mehreren Ebenen
- Sicherstellung von Updates und Patches der verwendeten Systeme
- Segmentierung des Unternehmensnetzwerkes in unterschiedliche Bereiche
- Konfiguration sämtlicher eingesetzter Anwendungen, so dass nach mehreren erfolglosen Login-Versuchen die Konten gesperrt werden
- Speicher-Verschlüsselung von mobilen Datenträgern / mobilen Geräten
- Angebot einer Ende-zu-Ende -Verschlüsselung für E-Mails
- Angebot weiterer Möglichkeiten für einen sicheren Datenaustausch
- Mobile Device Management Systeme zur sicheren Administration von mobilen Endgeräten
- Technisches Erzwingen sicherer Kennwörter zur Flankierung der organisatorischen Passwortrichtlinie
- Verwendung von 2-Faktor Authentifizierungen in kritischen Systemen
- Umsetzung und Kontrolle der etablierten Berechtigungskonzepte
- Bereitstellung geeigneter Aktenvernichter oder Vernichtungscontainer
Neben den genannten Maßnahmen gibt es unzählige weitere Maßnahmen, die je nach Umstand und Schutzniveau der Daten dazu beitragen können, die Sicherheit zu erhöhen. Grundsätzlich gilt: Für eine Prävention von Datenschutzvorfällen ergreifen Sie sowohl technische als auch organisatorische Maßnahmen, die nach Möglichkeit ineinandergreifen. Ein zentraler Punkt zur Akzeptanz durch die Mitarbeiter stellen regelmäßige Schulungen dar, die auch stets den Fokus auf das „Warum“ lenken. Nur Maßnahmen, die Mitarbeitern verstehen und sinnvoll finden werden auch akzeptiert und gelebt. Den Mitarbeitern müssen daher die Hintergründe bewusst sein.
Das Team von ENSECUR unterstützt Sie gerne jederzeit, wenn Sie in Ihrem Unternehmen dem Thema Prävention von Datenschutzvorfällen mehr Aufmerksamkeit schenken möchten.
Autor: Steven Bösel