Struktur im Chaos von Datenschutz: 10 Schritte zu mehr Datensicherheit
Wenn Du mit europäischen Kunden oder für europäische Firmen arbeitest dann hast Du sicher schon von der großen Hürde DSGVO gehört. Die Datenschutz-Grundverordung gibt Richtlinien vor, wie Du mit den Daten von Kunden, Partnern oder Angestellten umzugehen hast. Dabei ist Europa weltweit einer der Wirtschaftsräume, wo Daten der höchste Wert und damit Schutzbedarf beigemessen wird. Vor allem für kleine und mittelständische Unternehmen / Dienstleister ergeben sich daraus oft heftige Debatten, was an Maßnahmen wirklich angemessen und wirtschaftlich sinnvoll ist.
Hinzu kommt, dass DSGVO und BSI-Vorgaben sehr breit gefächert interpretiert werden können und oft keine klaren Aussagen zur technischen Umsetzung der beschriebenen Anforderungen beinhalten.
Gerade der Datenschutz auf Reisen ist für digitale Nomaden eine Herausforderung. Klassische Anforderungen und Maßnahmen greifen oftmals nicht beziehungsweise können nur bedingt umgesetzt werden.
Damit Du besser einschätzen kannst, welche technischen Maßnahmen Du zum Schutz der bei Dir gespeicherten Personendaten in Deiner IT-Strategie bedenken musst, ist es wichtig erst mal eine Aufstellung zu machen, um welche Daten es sich überhaupt handelt.
Auf dieser Grundlage kannst Du dann mögliche Maßnahmen ermitteln und deren Sinnhaftigkeit für Deine Situation oder die Deiner Firma einschätzen.
In größeren Firmen sollte der Prozess von einem dedizierten, spezialisierten Fachbereich und externen Datenschützern begleitet werden. Für kleine Teams ist dies aber oft nicht erforderlich und auch nicht umsetzbar – daher geben wir Dir am Ende einen kleinen Leitfaden mit 10 Punkten an die Hand, um die groben Eckpunkte der DSGVO erfüllen zu können. Dennoch solltest Du die individuelle Betrachtung Deiner Umgebung natürlich einbeziehen.
Ermittlung des Schutzbedarfs Deiner Daten
Bevor Du Maßnahmen zum Schutz der Daten beschließen und umsetzen kannst, musst Du Dir erst mal über den Schutzbedarf klar werden. Erst dadurch kannst du beurteilen, ob Dir eine Basisabsicherung reicht oder ob Du erweiterte Maßnahmen ergreifen kannst.
Bei der Betrachtung solltest Du immer eine Auswirkung auf folgende Indikatoren beziehen:
- Verstöße gegen Gesetze, Vorschriften oder Verträge
- Beeinträchtigungen des informationellen Selbstbestimmungsrechts
- Beeinträchtigungen der persönlichen Unversehrtheit
- Beeinträchtigungen der Aufgabenerfüllung
- negative Innen- oder Außenwirkung
- finanzielle Schäden
Jeden dieser Punkte solltest Du in den einzelnen betrachteten Bereichen mit „Existenzkritisch“, „wichtig“ oder „überschaubar“ einstufen.
Geschäftsprozesse: Mache Dir eine Aufstellung, welche Prozesse Du im Arbeitsalltag mit welchem Datenbezug durchführst und wie wichtig diese sind. Achte besonders auf Prozesse, in denen Du mit personenbezogenen Daten zu tun hast – oder die aus anderen Gründen wirtschaftlich besonders relevant für Dich sind.
Anwendungen: Welche Software ist zur Erfüllung Deiner Aufgaben notwendig und welche personenbezogenen Daten sind dort gespeichert? Gibt es Datensätze mit erhöhtem Schutzbedarf, wie z.B. Gesundheitsdaten, religiöse Zugehörigkeit, etc.?
Netzplan: Erstelle eine logische Aufstellung der Geräte, die Du im Unternehmensbereich einsetzt und wie wichtig diese bzw. die funktionierenden Verbindungen zwischen diesen sind. Hierzu gehören Endgeräte, Server, aber auch Netzwerkgeräte und Internetanbindungen. Dies hilft für einen schnellen Überblick über kritische Schnittstellen.
IT-Systeme: Die im Netzplan grafisch dargestellten Geräte sollten ebenfalls nach Wichtigkeit betrachtet werden. Hier zählen auch Peripherie wie Drucker, Monitore, externe Festplatten oder getrennte Robotersysteme dazu, wenn diese für Dich wichtig sind.
Räume: Wo sind Deine essenziellen Systeme untergebracht und wo arbeitest Du normalerweise? Bei klassischen Firmen zählen hier natürlich Serverräume und Büros, ebenso wie HomeOffice Plätze der Mitarbeiter. Wenn Du als digitaler Nomade unterwegs bist, dann solltest Du betrachten ob Du noch irgendwo lokale Systeme stehen hast, oder alles über Cloud-Dienste nutzt. Zudem musst Du dann u.U. Co-Working Spaces in die Betrachtung einbeziehen, Hotels oder den Arbeitsplatz bei Kunden vor Ort.
Umsetzung des Schutzbedarfs Deiner Daten
Wenn Du die Aufstellung des Schutzbedarfs durchgeführt hast, dann solltest Du die Absicherung entsprechend der Einstufungen planen. Stelle dabei den ermittelten Schutzbedarf mit dem zeitlichen und finanziellen Aufwand und der praktischen Umsetzbarkeit von Maßnahmen gegenüber.
Physische Absicherung von Gebäuden & Räumlichkeiten: Zu zentraler Infrastruktur wie Netzwerkverteilern, Serversystemen usw. sollte nur qualifiziertes Personal Zugang haben. Eine Absicherung des Zutritts ist daher essentiell. Aber auch der Schutz vor Brand- und Wasserschäden ist essentiell, um den größten Wert Deines Unternehmens zu schützen – die Daten die in der zentralen IT-Infrastruktur liegen.
Zudem muss auch an Arbeitsplätzen sichergestellt sein, dass unbefugte keinen Zugriff zu Informationen, Daten oder Geräten erlangen. Achte hierauf besonders, wenn Du mobil arbeitest – lasse also niemals Deine Geräte unbeaufsichtigt irgendwo liegen.
Technische Absicherung der Netzwerkschnittstellen & Segmente: Neben passwortgeschützten Zugriffen auf Administrationsoberflächen der Netzwerkgeräte gehört auch eine zentrale Firewall zum Grundbedarf von klassischen Firmennetzwerken. Hier muss der Zugriff zwischen Netzen und ins Internet nach Bedarf eingeschränkt und überprüft werden. Weiterführende Maßnahmen wie Network Access Control können in größeren Umgebungen sinnvoll sein.
Richtlinien zum Umgang mit klassifizierten Informationen: Wer mit sensiblen Informationen arbeitet, muss klare Regeln schaffen, wer im Unternehmen auf diese zugreifen darf und wie mit diesen umzugehen ist. Gerade im Rüstungs-, medizinischen- oder öffentlichen Bereich kommt es oft vor, dass sensible Informationen verarbeitet werden. Oftmals geben entsprechende Stellen / Partner auch Vorgaben, wie Du mit den Daten umzugehen hast. Aber auch wer z.B. mit Patenten zu tun hat, ist zu besonderem Schutz verpflichtet.
ID- und Rechtemanagement: Eine zentrale Verwaltung Deiner Benutzer und Zugriffsrechte zu Software, Daten & co. ist notwendiger Standard und sollte sauber strukturiert aufgearbeitet werden. Microsoft Active Directory für lokale Netzwerke oder Azure AD für Cloud-Umgebungen helfen hier, die Verwaltung zu zentralisieren. Es muss sichergestellt sein, dass Du weißt, wer auf was zugreifen darf.
Kryptographische Maßnahmen: Der Zugriff auf Daten muss nicht nur klar bestimmt sein, sondern auch geschützt. Wer nicht die erforderlichen Anmelde-Informationen hat, darf keinen Zugriff erlangen. Hierzu zählen sichere Login-Verfahren an Geräten (Mehrfaktor-Authentifizierung, Kennwort-Richtlinien, etc.), aber auch eine Verschlüsselung von Datenträgern oder E-Mails.
Datensicherung: Irgendwann erwischt es jeden – egal ob Du den falschen Link angeklickt hast, Opfer eines gezielten Hacker-Angriffs wurdest oder ein Regenschauer Dein Gerät mich wichtigen Daten weggeschwemmt hat. Damit Deine Daten und damit die Grundlage Deiner Arbeit dennoch verfügbar bleiben, musst Du ein zuverlässiges Konzept für Deine Datensicherung ausarbeiten. Dabei gilt die Faustregel: Mindestens 3 Datenstände auf mindestens 2 verschiedenen Medien, von denen 1 Medium nicht in direktem Zugriff ist.
Erkennung & Abwehr von Schadsoftware: Schadsoftware und Hacker werden immer ausgefeilter und erfordern ein umfangreiches Schutzkonzept. Für zentrale Netzwerke kommt hier zusätzlich wieder eine Next-Generation-Firewall als bestmögliche Unterstützung zum Einsatz, für alle Anwender gilt gleichermaßen: Ein hochwertiger Endgeräteschutz ist essentiell. Wichtig ist es, sich hier nicht auf kostenlose Privatprodukte zu verlassen, da diese nur einen Bruchteil der möglichen Angriffstechnologien erkennen können.
10 Schritte zur Absicherung Deiner Daten
Wie versprochen geben wir Dir nun noch einen kleinen Leitfaden an die Hand, mit dem Du die wichtigsten Schutzmaßnahmen unabhängig von Deiner individuellen Situation erfüllen kannst. Mit diesen 10 Schritten ist auch der Datenschutz auf Reisen sichergestellt und Du bist bei Anfragen von Partnern oder Kunden zur Erfüllung der DSGVO-Maßnahmen bereits gewappnet und kannst auf Bedarf natürlich gerne mit uns zusammen noch ein vollständigeres Konzept ergänzen.
- Steuerung von Benutzern, Geräten und Datenzugriffen über eine zentrale Unternehmensplattform, z.B. mit Microsoft 365 Teams, OneDrive, Azure AD und Intune.
- Nutzung sicherer Anmeldeverfahren an Geräten und Software. Mehrfaktor-Authentifizierung ist dabei schon fast durchgängig standard und kann z.B. mit WatchGuard AuthPoint zuverlässig für Windows- und MacOS Geräte, sowie etliche Cloud-Plattformen umgesetzt werden. Auch ein Hardware-Stick als weiterer Faktor kann eine Option sein und wird z.B. von Yubikey angeboten. Wo MFA nicht möglich ist, sollten zumindest biometrische Verfahren genutzt werden, anstelle statischer Kennworte.
- Verschlüsselung von Datenträgern. Egal ob intern im Laptop, externe Festplatten oder USB-Sticks. Alle lassen sich heute einfach verschlüsseln und damit vor unbefugtem Zugriff schützen.
- Nutzung eines professionellen Endgeräte-Schutzes. Sorge dafür, dass Deine Arbeitsgeräte vor Schadsoftware und Angriffen bestmöglich geschützt sind, z.B. mit WatchGuard EndPoint Protection, Detection & Response.
- Emails als zentrales Kommunikationsmittel sollten über einen eigenen Spam-/Virenschutz verfügen. Zudem müssen relevante Mails laut DSGVO 10 Jahre lang rechtssicher archiviert werden. Hierfür empfehlen wir Dir die in Microsoft 365 enthaltenen Technologien oder Hornet Security als spezialisierten deutschen Partner.
- Richte Dir eine mehrstufige Datensicherung ein. Das kann z.B. eine Sicherung auf eine externe Festplatte sein, kombiniert mit einer Sicherung auf Cloud-Speicher.
- Schütze Deine Geräte vor unbefugtem Zugriff – behalte Dein Laptop stets bei Dir oder in abgeschlossenen Räumen und sichere Reisegepäck immer mit einem Schloss ab. Büro- und Netzwerk-/Server-Räume müssen mit Zugangskontrollen ausgestattet und beim Verlassen abgeschlossen werden.
- Sorge für eine sichere Netzwerkumgebung: Wenn Du eigene Netzwerkgeräte wie Switches, Router, etc. oder Peripherie wie Drucker benutzt, sichere die Nutzung und den Zugriff auf die Administrationsoberflächen unbedingt mit Passworten ab. Gerade wenn Du vom Ausland aus arbeitest, empfehlen wir Dir zudem die Nutzung einer professionellen VPN-Lösung, die Deine Daten verschlüsselt zu einem Knotenpunkt z.B. in Deutschland transportiert und die Netzwerkpakete damit vor Ausspähen schützt. Wir nutzen seit langem NordVPN zu diesem Zweck.
- Sorge dafür, dass keine unbefugten Personen sensible Daten einsehen können, wenn Du diese aktiv bearbeitest. Achte also besonders in öffentlichen Umgebungen darauf, dass Du dich entsprechend platzierst. Unter Umständen können Displayfolien die den möglichen Betrachtungswinkel Deiner Geräte einschränken, eine Option für mehr Sicherheit sein.
- Lasse Deine Notizen nicht offen liegen! Ja – tatsächlich klingt unser letzter Vorschlag sehr altmodisch und ist vielen gar nicht im Bewusstsein. Aber die beste Absicherung Deiner IT-Umgebung bringt nichts, wenn Du ein Notizbuch mit sensiblen Mitschrieben von Besprechungen der letzten 3 Monate im Café liegen lässt. Entweder Du digitalisierst Deine Mitschriebe direkt über die Nutzung eines Tablets, oder Dein physikalisches Notizbuch unterliegt tatsächlich den gleichen Schutzbedingungen, wie Deine digitale Arbeitsumgebung.
Individuelles Datensicherheits-Konzept
Wenn Du bemerkt hast, dass Du doch erweiterten Schutzbedarf hast oder Unterstützung bei der Umsetzung einzelnen Schutzmaßnahmen benötigst, melde Dich gerne bei uns.