Enterprise-konformes Filesharing

Herausforderung Datenschutz in der Cloud

| Autor / Redakteur: Marc Schieder* / Florian Karlstetter

Anforderungen an sicheren Datenaustausch.
Anforderungen an sicheren Datenaustausch. (Bild: gemeinfrei (sumanley 7 pixabay) / CC0)

Filesharing gehört inzwischen zum festen Arbeitsalltag vieler Unternehmen. Auch wenn der Datenaustausch mithilfe der Cloud viele Vorteile bringt und Prozesse beschleunigt, läuft der Einsatz nicht immer reibungslos. Gerade beim Thema Datenschutz gilt es aufmerksam zu sein, um den Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) zu entsprechen.

In vielen Unternehmen stehen Mitarbeiter unter Druck. Projekte müssen in kurzer Zeit abgewickelt werden, Informationen sollen möglichst schnell bearbeitet und weitergegeben werden, damit Aufgaben zügig erledigt werden. Gibt das Unternehmen keine zwingende Filesharing-Lösung vor, greifen Mitarbeiter auf die verschiedensten Mittel zurück. Nicht selten kommen dann private Cloud-Zugänge oder eigene Speichermedien zum Einsatz, um Firmendaten abzuspeichern und weiterzugeben.

Sicherheitsrisiko Schatten-IT

Nutzen Mitarbeiter oder ganze Abteilungen verschiedenste IT-Produkte und -Services auf eigene Faust, entsteht innerhalb kurzer Zeit eine Schatten-IT. Dies bedeutet, dass neben der offiziellen IT-Infrastruktur zahlreiche Anwendungen im Umlauf sind, die nicht kontrolliert werden können. Sie werden eigenständig genutzt und sind weder technisch noch strategisch in das IT-Servicemanagement eingebunden.

Die Folge ist, das Unternehmen mit der Zeit die Hoheit über die Daten verlieren – es besteht kein Überblick mehr, welche Dienste und Medien zum Einsatz kommen und vor allem ist unklar, wo sensible Geschäftsdaten überall kursieren. Das Ergebnis ist ein nicht nachvollziehbarer Datenabfluss, der innerhalb kurzer Zeit außer Kontrolle gerät. Scheidet etwa ein Mitarbeiter aus dem Unternehmen aus, nimmt er – manchmal auch völlig unbedacht – Daten mit, z. B wenn er diese in seiner privaten Cloud gespeichert hat. Ein fataler Vorgang, gerade auch im Hinblick auf die strengen Regeln, die die neue EU-DSGVO vorgibt.

Letzten Endes haftet immer das Unternehmen, wenn es zu einem Missbrauch von Daten kommt und das kann teuer werden. Deshalb ist es schon aus Selbstschutz für Unternehmer zwingend erforderlich, dass Mitarbeiter in punkto Sicherheit sensibilisiert werden und ihnen eine einfach zu bedienende und umfassende Lösung für den Datenaustausch an die Hand gegeben wird.

Die Verwendung von privater Freeware sollte von Firmenseite in jedem Fall unterbunden werden. Denn neben allen Datenschutzverstößen bekommen Betriebe ein Problem, wenn sie die Nutzung von Freeware tolerieren, die eigentlich für den Privatgebrauch vorbestimmt ist. Häufig sind diese kostenfreien Programme bei einer gewerblichen Nutzung nämlich mit Lizenzkosten verbunden. Die dadurch entstehende Unterlizenzierung verstößt gegen das Urheberrecht, was nicht nur Schadensersatzansprüche, sondern auch eine strafrechtliche Verfolgung nach sich ziehen kann.

Die EU-DSGVO verzeiht keine Anwendungsfehler

Wenn auch nicht aus böser Absicht, gehen Mitarbeiter oft den Weg des geringsten Widerstands. Frei nach dem Motto: „Ich wollte doch nur schnell …“ werden Informationen auf dem kürzesten Weg bereitgestellt. Nicht selten handelt es sich dabei um sensible Daten, die einem besonderen Schutz unterliegen. Auch heute noch werden diese Daten unverschlüsselt als Anhang übermittelt oder an vielerlei Orten gespeichert. Durch diese Mehrfachspeicherung ist es selbst für das Unternehmen, das die Daten verwaltet, kaum mehr erkennbar, wo diese Daten im Einzelnen liegen.

Seit Inkrafttreten der neuen EU-DSGVO hat jede Person jedoch verstärkte Rechte und Möglichkeiten, um über ihre eigenen Daten zu bestimmten. U. a. muss ein Unternehmen jederzeit darüber Auskunft geben können, welche Daten für welchen Zweck an welchem Ort gespeichert werden. Darüber hinaus kann man auf sein Recht auf Löschung – und zwar an allen gespeicherten Orten – bestehen. Und spätestens hier beginnt ein massives Problem, wenn der Weg für den Datenaustausch und die damit verbundene Speicherung nicht klar definiert ist.

Datensilos abbauen, Zugriffsrechte erteilen

Datensilos müssen also dringend abgebaut werden und es muss einen einheitlichen und sicheren Speicherort für die verwendeten Daten geben. Um sicherzugehen, dass Daten vor fremdem Zugriff geschützt sind, sollten sie jederzeit verschlüsselt werden. Mit einer clientseitigen Verschlüsselung, bei der die Daten bereits am Endgerät codiert werden, ist gewährleistet, dass nur autorisierte Personen Zugriff erhalten.

Besonders wichtig ist es in jedem Unternehmen, dass Zugriffsrechte individuell vergeben werden, sodass Mitarbeiter je nach Zuständigkeit Leserechte erhalten, anderen auch das Bearbeiten und Löschen von Daten gestattet wird. Somit behält z. B. die IT-Abteilung die organisatorische Hoheit, hat aber keinen Zugriff auf Finanz- oder Personaldaten. Ein modernes Berechtigungsmanagement mit zentraler Administration erleichtert auch die Zusammenarbeit mit externen Dienstleistern, Zugriffsrechte lassen sich in ihrer Verfügbarkeit zudem zeitlich befristen.

Unternehmen sind gut beraten, wenn sie auf Filesharing-Lösungen zurückgreifen, die nach dem Grundsatz Privacy by Design (Datenschutz durch Technikgestaltung) entwickelt worden sind. Dies bedeutet, dass der Datenschutz bereits in der Grundeinstellung integriert ist, sodass sich der Anwender keine Gedanken mehr machen muss, welche Schritte er beim Abspeichern von Daten beachten muss, sondern sichergehen kann, dass die Datenschutzrichtlinien beachtet werden.

Filesharing-Lösungen, die aus Deutschland kommen, unterliegen dem hier geltenden Datenschutzgesetz. Daten, die etwa bei einem amerikanischen Cloud-Anbieter gespeichert sind, können hingegen dank des kürzlich verabschiedeten Cloud Acts jederzeit von den US-Behörden eingesehen werden. Auch wenn eine Regierungsvereinbarung zwischen den europäischen Staaten und den USA erwartet wird, können Anwender erst einmal nicht sicher sein, dass ihre Daten unangetastet bleiben. Daher ist es ratsam, auf einen deutschen Anbieter zurückzugreifen.

Besseres Zusammenspiel von der IT und anderen Fachabteilungen

Auch beim Thema Datenschutz sollten Unternehmen ihre Ressourcen sinnvoll einsetzen, d. h. Dinge, die nicht zwingend intern erledigt werden müssen, können von Dienstleistern übernommen werden. Das sind in vielen Fällen IT-Basis-Systeme, die zwar von strategischem Interesse sind, deren Betrieb aber auch gut durch Dienstleister möglich ist.

Marc Schieder, CIO & Managing Director bei Dracoon.
Marc Schieder, CIO & Managing Director bei Dracoon. (Bild: Petra Homeier (http://www.petra-homeier.de/) / Dracoon)

Personalressourcen müssen an neue Strukturen herangeführt und ggf. geschult werden – Business-Architekten sind ein seltenes Gut, das die meisten Unternehmen intern ausbilden (lassen) müssen.

Die Zusammenarbeit zwischen IT und den Fachabteilungen muss verbessert werden. Viele IT-Verantwortliche gelten unternehmensintern als Bedenkenträger und Verhinderer, viele IT-Abteilungen als langsam und unflexibel. Wenige Fachabteilungen haben Verständnis für die Ressourcenlage in der IT. Dieses Bild kann sich nur langsam verbessern, indem die ersten beiden Punkte konsequent umgesetzt werden, um für Projekte und die IT-seitige Begleitung von Business-Initiativen die notwendigen Ressourcen verfügbar zu haben.

Der Autor: Marc Schieder, CIO & Managing Director bei Dracoon.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45494627 / Recht und Datenschutz)