DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Daten­schutz bei kleinen und mitt­leren Unternehmen

Daten­schutz ist in der Tat vor allem für kleine Unter­nehmen mit hohem Aufwand ver­bunden. Ein paar ein­fache Vor­keh­rungen bringen bereits erheblich mehr Sicherheit im Datenschutz.
 
 

 

Viele ver­teufeln den Daten­schutz, gerade in kleinen und kleinen mit­tel­stän­di­schen Unter­nehmen, da er scheinbar das Unter­nehmen daran hindert, schnell und unkom­pli­ziert neue IT-Dienste aus der Cloud zu ver­wenden. Ver­waltung von Kun­den­daten, Ver­senden von pri­vaten E‑Mails über Firmen-Mobil­­fun­k­­geräte, Einsatz von Wer­be­tech­niken auf der eigenen Web­seite — all dies scheint der Daten­schutz zu ver­hindern, wenn man den Head­lines der großen Com­­puter-Zei­t­­schriften und ‑Portale glauben mag.

Dabei ver­bietet Daten­schutz diese Mög­lich­keiten über­haupt nicht. Er zwingt einen nur dazu, sich mit den tech­ni­schen Mög­lich­keiten aus­ein­ander zu setzen, und die Kon­se­quenzen für die Mit­­ar­­beiter- und Kun­den­daten zu ver­stehen. Das ist in der Tat für einen Mit­tel­ständler mit hohem Aufwand ver­bunden, weiß man dort doch oft nicht, welche tech­ni­schen Umset­zungen hinter den beauf­tragten Lösungen für die interne IT oder das Mar­keting stecken.

Wer weiß schon, welche E‑Mail-Diens­­te­an­­bieter die euro­päi­schen Daten­schutz­richt­linien ein­halten, ob es erlaubt ist, die Kon­takt­daten von Kunden zu sammeln (und wann genau) oder ab wann ein Unter­nehmen die E‑Mails von Mit­ar­beitern nicht mehr ein­sehen darf. In der Tat gibt es dort viele Stol­per­steine. Doch die Pro­ble­matik kommt nicht von einer kom­pli­zierten Daten­schutz­ge­setz­gebung, sondern von der undurch­schau­baren Technik, die es uns immer leichter machen will, dabei aber nicht immer die erfor­der­lichen Gesetze einhält.

Es gibt aber ein paar Grund­regeln, die für jedes Unter­nehmen, das keinen Daten­schutz­be­auf­tragten hat — oder sich keinen leisten kann oder will – die mit relativ wenig Aufwand eine hohe Sicherheit in Bezug auf Daten­schutz mit sich bringen. Dabei geht es nicht um die 100-pro­­­zentige Com­pliance mit Daten­schutz­ge­setzen, sondern einer zumut­baren Behandlung der The­matik, sodass tat­sächlich Vor­teile für Unter­nehmen möglich sind. Drei ein­fache Ideen werden hier kurz vorgestellt:

  • Unter­stützung von mobilen End­ge­räten. Smart­phones sind heute nicht mehr weg­zu­denken, ent­spre­chend kann man sie auch nicht mehr ver­bieten. Statt den Mit­ar­beitern die Unter­stützung zu ver­sagen, und damit quasi sicher­zu­stellen, dass diese ver­trau­lichen Fir­men­in­for­ma­tionen über me.com (Apple) oder goog­lemail (Android-Geräte wie Samsung und HTC) ver­senden, sollten die Geräte in die Firmen-IT ein­ge­bunden werden — und die Standard-Dienste des Geräts nicht ver­wendet werden. Tipp: Statt pro­prie­tärer Lösungen sollten Sie IMAP als E‑Mail-Pro­­­tokoll und CalDav für die Kalender-Syn­­chro­­ni­­sation ver­wenden und natürlich einen deut­schen E‑Mail- / Kalender-Dienst. Ganz nebenbei stellt man damit sicher, dass keine per­so­nen­be­zo­genen Daten über mobile End­geräte nach USA über­mittelt werden.
  • Kennen Sie Ihre IT-Ver­­­fahren? Das Daten­schutz­gesetz schreibt vor, dass Sie über alle elek­tro­nische Ver­fahren, die per­so­nen­be­zogene Daten ver­ar­beiten (und das sind ja fast alle, wenn man Mit­ar­beiter und Kunden mit in Betracht zieht) eine aus­führ­liche Doku­men­tation erstellen. Diese Trans­parenz ist aber auch unab­hängig davon sehr nützlich. Sie sollten daher zumindest eine Tabelle erstellen, wo alle Ihre IT-Unter­­stü­t­­zungs­­­pro­­zesse doku­men­tiert werden, und ver­merken, ob dort auch Daten von Per­sonen ver­ar­beitet werden. Dies betrifft nicht nur Ihre “interne” IT, sondern auch — und ins­be­sondere — die Ver­wendung von Cloud-Ser­­vices (auch Dropbox, Doodle, Ein­kaufs­platt­formen). Schauen Sie nach, ob die Dienste in Europa betrieben werden, und wenn nein, suchen Sie eine deutsche / euro­päische Alternative.
  • Netz­werke statt Kun­den­mai­lings. Für per­so­nen­be­zogene Daten (das sind ins­be­sondere auch Adress­daten von Kunden) gilt: Sie dürfen Sie nur zweck­ge­bunden ein­setzen, also zum Bei­spiel keine neuen Pro­dukte per E‑Mal bewerben, wenn die Kunden nicht explizit ein­ge­willigt haben. Eine ein­fache Methode, dies sicher­zu­stellen ist, sehr sparsam mit diesen Adressen umzu­gehen. Eine Alter­native bieten Kontakt-Plat­t­­formen wie etwa XING. Dort besteht diese Ein­wil­ligung auto­ma­tisch, und Sie können an Ihre Kon­takte inter­es­sante, neue Infor­ma­tionen auch unge­fragt ver­senden. Seien Sie aber wachsam: Auf vielen Platt­formen aus den USA wie etwa Lin­kedin oder Facebook werden die Daten­schutz­ge­setze nicht eingehalten.

Dies sind ein­fache, und sehr wir­kungs­volle Maß­nahmen, um den Daten­schutz zu ver­bessern. Ganz nebenbei redu­zieren Sie damit auch das Risiko der Indus­trie­spionage erheblich…

Bild: © Gerd Altmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.