4 Minuten Lesezeit

Datenschutz am (digitalen) Arbeitsplatz

04.05.17 08:07

Mit den fortschrittlichen Technologien eröffnen sich Chancen für mögliche Cyberangriffe. Die Benutzung von Cloud-Diensten und die Möglichkeit der Bring-Your-Own-Device-Kultur erleichtert tagtäglich unsere Arbeit – und doch kann es schnell passieren, dass einem ein Fehler unterläuft und man firmeninterne Daten preisgibt, die dann von Dritten missbraucht werden. Dies kann beispielsweise schon durch den E-Mail Versand an einen falschen Empfänger oder beim Öffnen der Nachricht eines unbekannten Absenders sein. Man muss sich daran gewöhnen bzw. man sollte lernen, wie man mit sensiblen Daten umgehen muss, um solche Situationen zu vermeiden. Mit der XMV-Methode ("Xunde" Menschenverstand) kann man einem Übeltäter das Spiel vermiesen. Die meisten XMV-Tricks kennen wir. Oder doch nicht? Nun gut, wir schreiben wieder mal darüber.

Collaboration-Tools statt E-Mail

Um auch zu Hause an gewissen Dokumenten zu arbeiten, senden sich viele Mitarbeitendene sensible Dateien ans eigene Postfach – oder noch schlimmer, laden es auf ein privates Cloudlaufwerk. Diese Daten gehören dann dem jeweiligen Anbieter und nicht dem Verfasser der Datei. Geschieht dies mit sensiblen Geschäftsdaten so steht man als Unternehmen vor einem gewaltigen Problem. Dies muss nicht gleich zu einem Stolperer wie bei Hillary Clintons Missgeschick führen - trotzdem gefährlich und gegen die Geschäftsrichtlinien ist das ohnehin. Die Lösung dazu: Collaboration-Tools wie zum Beispiel SharePoint oder OneDrive für Dokumenten-Sharing via Cloud zur Verfügung stellen. Diese Lösungen sind beim von KMUs meistgekauften E3 Business-Plan inklusive.

Schwachstelle Mensch

Als wichtiger Punkt ist die Sensibilisierung der gesamten Belegschaft eines Unternehmens zu nennen. Um die Datensicherheit zu gewährleisten müssen die Mitarbeitenden zu dieser Thematik geschult werden. Ein Ongoing-Programm, das zusammen mit der internen Kommunikation ausgearbeitet werden kann und auf jeweilige Cyberangriffswellen ausgerichtet werden sollte (Beispiel Aushang Cryptowall Warnung).

Neuer Call-to-Action

Offline-Angriffschutz mit BitLocker

Wichtig für die Sicherheit der Endgeräte ist sicherlich die Verschlüsselung der Laufwerke von Firmengeräten, welche zum Beispiel bei Windows mit BitLocker gelöst wird. BitLocker steckt in allen Pro-Versionen von Windows. Die BitLocker-Laufwerkverschlüsselung ist ein Sicherheitsfeature des Betriebssystems, mit dem auf Daten- oder Wechsellaufwerken und dem Betriebssystemlaufwerk gespeicherte Daten geschützt werden. BitLocker schützt vor "Offline-Angriffen", bei denen entweder das installierte Betriebssystem deaktiviert oder umgangen oder die Festplatte physisch aus dem Computer entfernt wird, um die Daten separat anzugreifen. Oder aber der Computer wird ganz entwendet oder geht verloren. So oder so, das mulmige Gefühl ist deutlich geringer, wenn BitLocker aktiviert ist. Ohne Passwort resp. den BitLocker Schlüssel ist es unmöglich, an die Daten heranzukommen.

Online-Schutz

Gerade weil unsere Geräte "always on" sind, bedeutet dies, wir könnten technisch betrachtet mit jedem Computer der Welt verbunden sein. Dies nützen Cyberkriminelle aus und spähen aus, täuschen oder sabotieren damit Computersysteme von Firmen und Organisationen. Die Melde- und Analysestelle Informationssicherung MELANI empfiehlt in ihrem Halbjahresbericht vom 20. April 2017, dass alle ans Internet angeschlossenen Geräte sowohl abgesichert (individuelle Passwörter, eingeschränkter Zugang) als auch regelmässig aktualisiert werden müssen. Eine Aktualisierung sollte immer rasch erfolgen, sobald entsprechende Updates verfügbar sind.

UPGREAT hat drei wirkungsvolle Defense-Lösungen konzipiert, die sich sowohl hinsichtlich der Vorgehensweise als auch hinsichtlich des anschliessend zu erwartenden Sicherheitslevels unterscheiden. Dieser Blog-Beitrag geht darauf ein.

Das richtige Passwort

Eine der grössten Schwachstellen im gesamten Unternehmen ist nach wie vor der Mensch und vor allem dessen Passwort. Um den ungewollten Zugriff von Drittpersonen zu verhindern müssen Passwörter mindestens alle drei Monate ausgetauscht werden. Dabei ist es wichtig, Passwörter so zu wählen, dass Sie nicht nachvollziehbar sind (wie beispielsweise Vorname + Geburtsdatum) sondern aus willkürlichen Buchstaben und Zahlen bestehen. Das Passwort soll dabei natürlich nicht notiert werden oder auf einem Sticker am Device angebracht werden – Sie lachen jetzt vielleicht, das ist aber leider Realität. Blogger Johannes Weber machte sich die Mühe, Eselsbrücken für sichere und merkbare Passwörter anzulegen.

Bei kritischen Bereichen gehört eine Multi-Faktor-Authentifikation, die mittlerweile eigentlich bei jedem Unternehmen standardmässig vorhanden sein sollte, angewendet. MFA mindert dabei mithilfe von mobilen Apps, Telefonanrufen und SMS das Risiko für unerlaubte Zugriffe. Auch dieser Service gibt es aus der Cloud, beispielsweise mit Azure Multi-Factor Authentication.

Neues EU Datenschutzgesetz (GDPR)

Am 25. Mai 2018 tritt das neue EU Datenschutzgesetz (GDPR) in Kraft. Diese betrifft auch viele Firmen und Organisationen in der Schweiz. Es lohnt sich, einen Blick in diese Gesetzgebung zu werfen und allfällige Aufrüstungen bzgl. Datensicherheit und Datenschutz vorzunehmen, nicht nur konzeptioneller sondern auch technischer Natur. Dazu finden sich beispielsweise folgende Artikel:

Rolf Weber

Gepostet von Rolf Weber

Als «Digital Transformation Coach» kombiniere ich fachliches Handwerk rund um moderne Cloud-Services (Microsoft 365, Teams, SharePoint) mit strategischer Perspektive, befähige Mitarbeitende, neue Technologien praktisch anzuwenden und verlasse mich auf mein Gespür, Menschen in den unterschiedlichsten Situationen zu begeistern.