3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten

Citrix nimmt Stellung zum Jahrestag der DSGVO

[datensicherheit.de, 31.05.2021] Bereits seit über einem Jahr arbeiten nun viele Mitarbeiter im sogenannten Home-Office. Dabei stellen die aktuellen Arbeitsbedingungen offensichtlich ein hohes Sicherheitsrisiko dar und könnten zu Datenmissbrauch sowie -verlusten führen. Zum Anlass des dritten Jahrestages der EU-Datenschutzgrundverordnung (DSGVO) zeigt Citrix in einer Stellungnahme auf, wie sich auch bei verteilten Arbeitsumgebungen und bei Cloud-Nutzung Datenschutz gewährleisten lässt.

Aktuelle Jahrestag der DSGVO ein Weckruf für Unternehmen

Drei Jahre DSGVO und über ein Jahr „Remote Work“ – da stellten sich u.a. folgende Fragen: „Wie geht das zusammen? Welche Lehren kann man daraus ziehen und wo müssen Unternehmen noch nachbessern?“ Citrix zeigt nach eigenen Angaben auf, „wie sich auch bei einer verteilten Arbeitsumgebung und bei Cloud-Nutzung der Datenschutz gewährleisten lässt“.
Gegenüber dem On-Premise-Hosting von Daten und Anwendungen biete die Nutzung von Cloud-Ressourcen einen enormen Vorteil, wenn aus dem Home-Office gearbeitet wird. Dies hätten 2020 auch immer mehr Unternehmen erkannt, die vorher noch keine Cloud-Nutzer gewesen seien. Dabei dürfe allerdings der Datenschutz nicht auf der Strecke bleiben. Der aktuelle Jahrestag der DSGVO sollte daher ein „Weckruf für Unternehmen“ sein, ihre Infrastrukturen kritisch zu prüfen.

Mögliche DSGVO-Geldbußen könnten bei Großkonzernen sogar in die Milliarden gehen

Dass bei Verstößen durchaus empfindliche Bußgelder drohten, hätten prominente Beispiele der letzten Jahre gezeigt. Die höchste in der DSGVO vorgesehene Buße liege bei vier Prozent des globalen Jahresumsatzes. „Das bedeutet, dass die möglichen Geldbußen bei internationalen Großkonzernen teilweise sogar in die Milliarden gehen können.“
Neben den großen Summen, die wiederholt Schlagzeilen machten, seien allerdings auch immer wieder kleinere Unternehmen von Strafzahlungen betroffen. Da handele es sich dann zwar nicht um spektakuläre Beträge, die Strafen könnten die Firmen trotzdem hart treffen – „und die Einhaltung der Richtlinien sollte oberstes Gebot sein“.

Unternehmen in zentraler Verantwortung, die DSGVO-Konformität sicherzustellen

Mittlerweile existierten „Software-as-a-Service“ (SaaS(, „Platform-as-a-Service“ (PaaS) und „Infrastructure-as-a-Service“ (IaaS). Dabei dürfe man aber nicht übersehen, dass die Verantwortung in Datenschutzbelangen immer noch beim Dateneigentümer bleibe: „Das heißt, Unternehmen, die ihre Daten bei Cloud-Providern speichern, müssen sicherstellen, dass diese dort DSGVO-konform gespeichert und verwaltet werden und im Zweifel die Verantwortung tragen.“
Darüber hinaus sorgten verteilte Infrastrukturen auch für größere Probleme bei der Zugriffskontrolle. Meist hätten Mitarbeiter sogar über verschiedene Geräte Zugriff auf Cloud-Ressourcen oder nutzten im Rahmen von BYOD sogar eigene Geräte für die Arbeit. „Das stellt die IT-Abteilungen vor große Herausforderungen und macht ein umfassendes ,Device Management‘ notwendig.“ Noch ein weiterer Aspekt komme hinzu: „Je mehr im Home-Office gearbeitet wird, desto mehr digitale Kommunikation findet statt, das ist eine ganz logische Entwicklung. Gerade die digitale Kommunikation, vor allem E-Mails, ist der Hauptangriffspunkt für Cyber-Kriminelle.“ Phishing sei gerade in der Ausnahmesituation des vergangenen Jahres, 2020, ein enormes Problem. Unternehmen sollten daher ihre Cloud-Ressourcen unbedingt mit Multifaktor-Authentifizierung absichern.

Unternehmen müssen Ressourcen aufbringen, um DSGVO einzuhalten

Datenschutzbestimmungen einzuhalten sei eine Aufgabe, für die Unternehmen Ressourcen aufbringen müssten – „das ist ganz klar“. Doch je nach Art der IT-Infrastruktur unterscheide sich dieser Aufwand. „Man muss sich beispielsweise ein Unternehmen vorstellen, in dem jede Abteilung selbst verschiedene Cloud-Dienste und Tools as-a-Service einkauft. In diesem Fall müssen sich die IT-Abteilung oder Datenschutzverantwortliche zunächst einmal einen Überblick darüber verschaffen, wo überall überhaupt Unternehmensdaten gespeichert werden.“ Schlimmer sei nur noch, wenn es Unternehmen versäumten, ihren Angestellten die richtigen Tools bereitzustellen und diese zu „Workarounds“ griffen, wodurch eine „Schatten-IT“ entstehe.
Im Idealfall bekämen Mitarbeiter stattdessen alle Ressourcen, die sie brauchten, über eine einzige übergreifende Workspace-Lösung geliefert. Dort könne die IT auch mit Sicherheitsmechanismen wie Multifaktorauthentifizierung, Endgerätemanagement, „User Behaviour Analytics“ und allgemein einem „Zero Trust Framework“ ansetzen. Dies seien alles allgemeine Sicherheitsmaßnahmen, doch sie zahlten alle auch auf die Verbesserung des Datenschutzes ein.

Daten bei Cloud-Providern müssen auch DSGVO-konform gespeichert werden

Zugriffskontrolle und sicherer Zugriff seien nur eine Dimension des Datenschutzes. Daneben müssten Unternehmen auch sicherstellen, dass ihre Daten bei den jeweiligen Cloud-Providern DSGVO-konform gespeichert werden. „Auch hier hilft ein zentralisierter Ansatz dabei, den Überblick zu behalten.“
In einer Welt, in der „Remote Work“ immer mehr zum Standard werde, „helfen Digital-Workspace-Lösungen nicht nur dabei, effizienter zu arbeiten, sie erleichtern auch die Einhaltung der Datenschutzvorgaben“.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2021
BSI: Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle / Ergebnis einer repräsentativen BSI-Umfrage unter 1.000 Unternehmen und Betrieben am 15. April 2021 vorgestellt

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe