Cloudworker
Wie Home Office sicher wird
Die Risiken des mobilen Arbeitens
Mobile Working lässt sich auf vier unterschiedliche Weisen umsetzen, die jeweils unterschiedliche Risiken mit sich bringen:
-
Vollständig von der Firma losgelöstes Arbeiten: Der Mobile Worker nimmt seine relevanten Daten mit. Diese müssen über ein sicheres Medium transportiert werden (beispielsweise auf verschlüsselten Festplatten, USB-Sticks oder direkt auf einem mobilen Arbeitsgerät). Hier sind neben den Sicherheitsbedenken und natürlich den vielen Fehlermöglichkeiten durch unachtsamen Umgang mit den Medien und Daten auch Probleme mit asynchronen Dateien offensichtlich.
-
Anbindung nur an bestimmte firmeninterne Systeme: Der Mitarbeiter erhält nur Zugriff auf zum Beispiel E-Mail und Kalender über Mechanismen wie Microsoft Exchange Web Services. Alternativ können ihm auch Teile des Intranets als passwortgeschütztes Extranet zur Verfügung gestellt werden.Neben eventuell unverschlüsselten Kommunikationsverbindungen etwa über ungeschützte WLAN-Strecken ist hier ein weiteres Sicherheitsproblem, dass von außerhalb relativ leicht auf Daten zugegriffen werden könnte. Selbst die von außen verfügbaren Systeme in separate Sicherheitszonen wie DMZ auszulagern, hilft hier nur bedingt.
-
Arbeiten in der Public Cloud: Hier geht es beispielsweise um ein CRM-System, das in der Cloud liegt oder um Dokumente auf Cloud-Plattformen wie SharePoint (oneDrive) oder Dropbox.Die Problematik mit dem Zugriff von außen auf interne Systeme besteht hier nicht. Allerdings sollten besonders deutsche Unternehmen bei dieser Variante genau hinsehen. Sobald personenbezogene Daten involviert sind, verstößt man schnell gegen das Bundesdatenschutzgesetz. Auch der Abschluss eines Auftragsdatenverarbeitungsvertrags mit dem Cloud-Anbieter hilft nur, wenn sichergestellt ist, dass die Daten nicht ins außereuropäische Ausland gelangen können (siehe auch nachfolgende Bilderstrecke zu den wichtigsten Änderungen im Zuge der in Arbeit befindlichen EU-Datenschutzreform). Und das ist bei vielen der bekannten Cloud-Anbietern leider der Fall. Ganz zu schweigen von den Möglichkeiten amerikanischer Behörden, die aufgrund des Patriot Acts bei amerikanischen Cloud-Anbietern uneingeschränkte Einsicht in die Daten bekommen können.
-
Zugriff per VPN/Remote Desktop: Hier geht es um transparentes Arbeiten im Firmennetzwerk entweder über virtuelle Private Netzwerke (VPN) oder Remote-Desktop-Varianten (Citrix Lösungen, Microsoft Terminal Server und ähnliche Techniken). Die Arbeit erfolgt nach dem Login über ein entsprechendes Gateway. Hier bestehen wieder die Risiken, die ein direkter Zugriff auf Ressourcen des Firmennetzwerkes birgt, auch wenn dabei die Kommunikation wenigstens gesichert (weil verschlüsselt) abläuft.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Schwachstelle Endgeräte
Eine große Sicherheitslücke in allen vier Fällen stellen das Endgerät des Anwenders und die Netzwerkstrecke dar. Kann die IT noch relativ einfach bei firmeninternen Geräten bestimmte Sicherheitsmindestanforderungen auch technologisch durchsetzen und sicherstellen, so fällt das bei den vorgestellten Mobile-Working-Varianten schwer.
Dieser Schutz des Endgerätes (Device Protection) ist naturgemäß nur teilweise möglich. Zwar gibt es verschiedene Ansätze, um die Risiken in den Griff zu bekommen. Dazu zählen etwa gerätspezifische Policies, die sicherstellen, dass wenigstens die wichtigsten Sicherheitskomponenten auf den Clients installiert und aktiviert sind - beispielsweise automatische Sperre, Entsperren nur durch Passwort, Malware-Scanner und Firewalls. Zudem helfen Outer-Perimeter-Defence-Maßnahmen wie Network-Access-Control (NAC)-Mechanismen. Mit diesen haben nur zugelassene Geräte Zugriff auf das Firmennetz und es kann sichergestellt werden, dass die sicherheitsrelevanten Komponenten aktiv sind. Auch der Einsatz von Unified-Thread-Management (UTM)-Lösungen oder kompletten Next-Generation-Firewall-Strukturen in Kombination mit den anderen Techniken können die Sicherheit weiter erhöhen.
Allerdings sind diese Technologien relativ teuer und müssen intensiv betreut werden. Zudem lassen sich damit vor allem nur bekannte Geräte oder Geräte, auf denen Zertifikate eingespielt wurden, sinnvoll absichern. Andere Geräte bleiben außen vor.