Nutzen und Datenschutz im Einklang

Sicherheit und Datenschutz am digitalen Arbeitsplatz

| Autor / Redakteur: Kai Kielhorn / Peter Schmitz

Sicherheit und Datenschutz am digitalen Arbeitsplatz muss an jedem Gerät gewährleistet sein.
Sicherheit und Datenschutz am digitalen Arbeitsplatz muss an jedem Gerät gewährleistet sein. (Bild: gemeinfrei)

Cloud-basierte Kollaborationsplattformen begeistern nicht nur technikaffine Mitarbeiter, sondern treffen auch den Nerv einer breiten Nutzergemeinde. Unternehmen sollten aber darauf achten, dass ihre Lösung weit mehr Sicherheitsstandards bieten muss als etwa WhatsApp. Verschlüsselung allein reicht nicht.

Ein Projektmanager sitzt zu Hause am Frühstückstisch, genießt den Kaffee und startet sein Tablet. Er synchronisiert per sicherer Verbindung Nachrichten sowie Termine und fragt den Status seiner Projekte ab. Auf dem Weg ins Büro greift er zum Smartphone, um erste Telefonate zu führen und Dokumente mit seinem Team zu teilen. Die mobile App seiner Kollaborationslösung erinnert ihn, dass die Videokonferenz gleich startet. Im Büro angekommen, setzt der Projektmanager die Videosession nahtlos auf seinem Desktop-PC fort, auf dem sich Screen-Sharing besser betreiben lässt.

Zugegeben: Der Alltag von vielen Managern und Wissensarbeitern fängt anders an. Technisch bieten moderne, Cloud-basierte Kollaborationsplattformen aber schon heute die beschriebenen Möglichkeiten – und mehr. Sie führen Kommunikations- und Kollaborationswerkzeuge in einer App zusammen, die auf allen Geräten läuft. Messenger, Audio- und Videokanäle sowie Screen- und Filesharing lassen sich über eine zentrale Nutzeroberfläche intuitiv bedienen. Das digitale Arbeiten im Team ist so nicht mehr an einen festen Ort wie das Großraumbüro gebunden, um einfach wie schnell auf Daten, Applikationen und Dienste zuzugreifen.

Auch der zügige Austausch zwischen Kollegen oder mit Externen gehört zu den Anforderungen, die sich an den digitalen Arbeitsplatz – und damit an eine Kollaborationsplattform – stellen. Ausgereifte Lösungen warten zudem mit kontextbezogenen Suchfunktionen auf, die den Schwerpunkt entweder auf Schlagwörter oder Personen legen und die Suchergebnisse filtern. Inhalte und Verlauf von Konversationen werden gespeichert, so dass Dateien und Informationen den autorisierten Teammitgliedern zur Verfügung stehen. Daneben heben sich Plattformen ab, die sich in weitere Unternehmenslösungen wie CRM oder HR integrieren lassen. Im Endeffekt arbeiten Teams effizienter – und zumindest schon einmal in einem Punkt sicherer: Sie schreiben weniger E-Mails, was Hackern weniger Angriffsfläche bietet.

DSGVO-konform kommunizieren

Für eine Kommunikationslösung, die für den Geschäftsalltag konzipiert wurde, reicht dieser Sicherheitsaspekt bei Weitem nicht aus. Weniger E-Mails zirkulieren auch, wenn Mitarbeiter WhatsApp nutzen – ob nun mit oder ohne Segen der IT-Abteilung. Der Messenger verschlüsselt zwar die Nachrichten End-to-End. Allerdings verweisen Sicherheitsexperten auf die Metadaten der Nutzer. Auf diese kann die Facebook-Tochter zugreifen, mit denen sich Beziehungs- und Kommunikationsmuster erzeugen lassen. Aus Sicht der EU-Datenschutzgrundverordnung (EU-DSGVO) würden Unternehmen ein hohes Risiko eingehen. Sie gefährden die Datenintegrität, zu der die verschärften Datenschutzvorgaben verpflichten.

Daten dürfen während der Verarbeitung oder Übertragung nicht durch unautorisierte Personen entfernt oder verändert werden. Das gilt erst recht für personenbezogene Daten, deren Lebenszyklus nachvollziehbar sein muss. In dem Kontext erweist es sich als gravierender Sicherheitsmangel, dass WhatsApp ein professionelles Administrationsportal fehlt. Der IT-Betrieb braucht jedoch ein Identity and Access Management (IAM), um Zugriffsrechte zu vergeben und zu verwalten – am besten stark automatisiert. Eine Cloud-basierte Kommunikationslösung muss sich daran messen lassen, ob es den Zugriff auf ein IAM-System über bestehende Single Sign On-Mechanismen, Active Directory oder Lightweight Directory Access Protocol (LDAP) bietet. Alternativ kann die Plattform auch ein eigenes IAM integrieren, das den Sicherheits- und Funktionalitätsansprüchen genügt.

Daten nur verschlüsselt übertragen

Die EU-DSGVO weist explizit im Artikel 32, unter Punkt a), Verschlüsselung als geeignete Sicherheitsmaßnahme aus. Es reicht jedoch nicht, dass ein Kollaborationslösung die Daten auf dem Server verschlüsselt. Nötig ist zudem, die Daten beim Transport zu verschlüsseln. In dem Fall würden bei einem Datenleck nur Daten abfließen, die sich nicht dechiffrieren lassen. Wer für seine Online-Verbindungen das höchste Schutzniveau anstrebt, sollte das Übertragungsprotokoll TLS (Transport Layer Security) mit der Schlüsseltauschmethode PFS (Perfect Forward Secrecy) kombinieren. Dann nützt dem Provider auch der Master Key nichts, um die Daten zu entschlüsseln.

Zur prominenten Transportverschlüsselung hat sich mittelweile die HTTPS-Verbindung entwickelt, über die sich Geräte gegenseitig authentifizieren, indem sie Webzertifikate und Zugangsschlüssel tauschen. Die verschlüsselte Datenübertragung sollte noch Audio- und Videokonferenzen einschließen. Nutzt eine Kommunikationslösung WebRTC, einen offenen Standard für die Web-Echtzeitkommunikation, lassen sich Konversationen über das Verschlüsselungsprotokoll DTLS (Datagram Transport Layer Security)-SRTP (Sicheres Echtzeit-Transportprotokoll) absichern.

Woran sich die Praxistauglichkeit festmacht

Cloud-basierten Kollaborationslösungen gehört die Zukunft. Sie verlangen keine Hardware-Investitionen und lassen sich schnell ausrollen, installieren und administrieren. Ihre Fähigkeit zum Skalieren gibt vor allem Start-ups und Mittelständlern Planungssicherheit, ihren Mitarbeitern digitale Arbeitsplätze einzurichten, die das Nutzerinteresse im Fokus haben. Eine App, die alle wichtigen Kommunikationskanäle in einer intuitiven Oberfläche zusammenbringt, erfüllt diesen Anspruch. Ihre Praxistauglichkeit bemisst sich zugleich daran, wie sie sich in eine sichere, zentralisierte Desktop-Management-Lösungen einfügt. Unerlässlich ist, dass eine Kommunikationslösung Daten auf dem Server und beim Transport verschlüsselt. Der Provider muss Zertifikate zur Verschlüsselung und zur Authentifizierung von Datenkommunikation einsetzen, deren Verschlüsselungsalgorithmen und Schlüssellängen die Fachwelt als sicher einstuft.

Über den Autor: Kai Kielhorn ist Head of Digital Workplace bei Atos Deutschland.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45856692 / Networking)