[datensicherheit.de, 17.08.2021] Im Sommer sehnen sich wohl viele Angestellte in Büros danach, einmal am Strand oder in den Bergen zu arbeiten. Das sogenannte Home-Office hat es prinzipiell möglich gemacht und es ist in Zeiten der „Pandemie“ sogar ein fester Bestandteil im Alltag vieler Mitarbeiter geworden. Es steht zu vermuten, dass die dadurch gewonnene Flexibilität viele auch in Zukunft nicht mehr missen möchten. Jedoch birgt diese offensichtlich Risiken – so etwa für den Datenschutz. In einer aktuellen Stellungnahme erklärt Sasa Petrovic, „Solution Strategist“ bei Citrix, drei Aspekte, auf welche Unternehmen achten sollten, wenn sie ihren Mitarbeitern mehr Freiraum bei der Wahl ihres Arbeitsortes gewähren.

Manche Regeln gelten unabhängig davon, wo die Mitarbeiter arbeiten – dies gilt insbesondere für den Datenschutz

Petrovic führt aus: „Ein paar Tage mit hohen Temperaturen und strahlendem Sonnenschein gibt es in Deutschland auch in diesem Sommer. Wer aber richtig Sonne tanken will, sollte sich jedoch lieber in südlichere Gefilde begeben. Vielleicht mag der eine oder andere im Anschluss gar nicht mehr in die oft graue Heimat zurückkehren und muss das möglicherweise auch gar nicht, der neuen Flexibilität in der Arbeitswelt sei Dank.“ Aber Achtung, manche Regeln gälten unabhängig davon, wo die Mitarbeiter arbeiten. Dies gelte insbesondere für den Datenschutz.
„Wer träumt nicht davon, mal am Strand oder in der Berghütte zu arbeiten, statt im Büro oder dem eigenen Zuhause? Spätestens seit der ,COVID-19-Pandemie‘ brauchen Mitarbeiter dafür häufig nur noch einen Laptop und eine stabile Internetverbindung und schon kann der Aufenthalt am Urlaubsort um ein paar Arbeitstage verlängert werden.“ Für Unternehmen bedeute diese neue Flexibilität allerdings, dass sie Kriminellen neue Angriffsflächen böten, „wenn sie ihrer Cyber-Sicherheit nicht gleichzeitig höchste Priorität einräumen“. Ein umfassendes Sicherheitskonzept für „Work from Anywhere“ sollte laut Petrovic nachfolgend vorgestellte drei Faktoren berücksichtigen.

1. Datenschutz-Aspekt: Mitarbeiter außerhalb des Büros anfälliger für Betrugsversuche

Ähnlich wie Unternehmen hätten sich auch Kriminelle schnellstmöglich an die neuen Begebenheiten angepasst. „Da digitale Kommunikationswege in verteilten Belegschaften noch stärker an Bedeutung gewinnen, sind Phishing-Mails weiterhin ein beliebtes Mittel, um an Informationen zu gelangen oder Computer und Netzwerke mit Malware zu infizieren“, so Petrovic. Zuhause, aber insbesondere auch an fremden Orten seien Mitarbeiter weniger wachsam als im Büro und würden von ihrer Umgebung abgelenkt, so dass sie auf täuschend echt aussehenden E-Mails reinfielen und schnell auf gefälschte Links klickten.
Gleichzeitig fehle ihnen der persönliche Kontakt im Büro, in dem potenzielle Gefahren zur Sprache kommen könnten. Entsprechende Warn-E-Mails könnten leicht übersehen oder nur schnell überflogen werden. Deshalb müssten Unternehmen regelmäßig Schulungen durchführen, in denen sie ihre Mitarbeiter auf alte und neue Gefahren aufmerksam machten. „So lässt sich insgesamt die Wachsamkeit der Belegschaft für Cyber-Gefahren erhöhen, unabhängig von ihrem Standort.“

2. Datenschutz-Aspekt: Hohes Sicherheitsniveau nur durch einheitliche Standards erreichbar

„Unternehmen, die Cloud-Lösungen einsetzen, um ihren Mitarbeitern an jedem Ort das Arbeiten zu ermöglichen, müssen sich bewusstwerden, dass sie für alle dort gespeicherten Daten und den Umgang mit ihnen verantwortlich sind und nicht der Betreiber der Lösung“, betont Petrovic. Je mehr Anwendungen allerdings im Einsatz sind, desto schwieriger werde es für die IT-Abteilungen und Datenschutzbeauftragte die Übersicht zu behalten und eine regelkonforme Verarbeitung sicherzustellen.
Gleichzeitig nutzten viele Arbeitnehmer inzwischen mehrere Geräte, mit denen sie auf Unternehmensressourcen zugriffen; in manchen Fällen sogar private Geräte, wenn ihre Arbeitgeber keine Laptops oder Smartphones bereitstellten. Petrovic unterstreicht: „Unternehmen brauchen daher klare und einheitliche Standards, welche Anwendungen und Dienste erlaubt sind und vor allem wie Mitarbeiter diese und die Unternehmensdaten dort nutzen dürfen.“

3. Datenschutz-Aspekt: Zentrale Lösung hilft, Sicherheit und Compliance zu gewährleisten

Eine auf „Secure Access Service Edge“ (SASE) basierende „Workspace“-Lösung ermögliche einen nahtlosen und sicheren Zugriff auf alle Anwendungstypen („Windows“, Web und SaaS), Desktops und Daten. Hiermit könnten IT-Abteilungen leicht verschiedenste Sicherheitsmaßnahmen wie ein „Zero Trust“-Netzwerkzugriff, ein „Secure Web Gateway“ oder ein „Cloud Access Security Broker“ einrichten. Mithilfe von letzterem könnten Sicherheitsrichtlinien über die eigene Infrastruktur hinaus durchgesetzt werden und sei daher besonders für Unternehmen geeignet, in denen einzelne Abteilungen eigene „Cloud“-Anwendungen anschafften und verwalteten.
Durch eine solche „Workspace“-Lösung seien Arbeitgeber in der Lage, ein hohes Maß an Sicherheit für ihre internen Ressourcen erreichen, „das angepasst auf ihre jeweiligen Bedürfnisse ist und dabei berücksichtigt, dass möglicherweise der ein oder andere Mitarbeiter weder im Büro arbeitet noch über das einigermaßen gesicherte Heimnetzwerk auf das Unternehmensnetzwerk zugreift, sondern vielleicht über den WLAN-Hotspot im Urlaubshotel“, sagt Petrovic abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 12.08.2021
eco gibt 6 Tipps: Mit Sicherheit durch den Sommer / KMU sollten auch in der Urlaubszeit Cyber-Sicherheit nicht vernachlässigen

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

[datensicherheit.de, 31.05.2021] Bereits seit über einem Jahr arbeiten nun viele Mitarbeiter im sogenannten Home-Office. Dabei stellen die aktuellen Arbeitsbedingungen offensichtlich ein hohes Sicherheitsrisiko dar und könnten zu Datenmissbrauch sowie -verlusten führen. Zum Anlass des dritten Jahrestages der EU-Datenschutzgrundverordnung (DSGVO) zeigt Citrix in einer Stellungnahme auf, wie sich auch bei verteilten Arbeitsumgebungen und bei Cloud-Nutzung Datenschutz gewährleisten lässt.

Aktuelle Jahrestag der DSGVO ein Weckruf für Unternehmen

Drei Jahre DSGVO und über ein Jahr „Remote Work“ – da stellten sich u.a. folgende Fragen: „Wie geht das zusammen? Welche Lehren kann man daraus ziehen und wo müssen Unternehmen noch nachbessern?“ Citrix zeigt nach eigenen Angaben auf, „wie sich auch bei einer verteilten Arbeitsumgebung und bei Cloud-Nutzung der Datenschutz gewährleisten lässt“.
Gegenüber dem On-Premise-Hosting von Daten und Anwendungen biete die Nutzung von Cloud-Ressourcen einen enormen Vorteil, wenn aus dem Home-Office gearbeitet wird. Dies hätten 2020 auch immer mehr Unternehmen erkannt, die vorher noch keine Cloud-Nutzer gewesen seien. Dabei dürfe allerdings der Datenschutz nicht auf der Strecke bleiben. Der aktuelle Jahrestag der DSGVO sollte daher ein „Weckruf für Unternehmen“ sein, ihre Infrastrukturen kritisch zu prüfen.

Mögliche DSGVO-Geldbußen könnten bei Großkonzernen sogar in die Milliarden gehen

Dass bei Verstößen durchaus empfindliche Bußgelder drohten, hätten prominente Beispiele der letzten Jahre gezeigt. Die höchste in der DSGVO vorgesehene Buße liege bei vier Prozent des globalen Jahresumsatzes. „Das bedeutet, dass die möglichen Geldbußen bei internationalen Großkonzernen teilweise sogar in die Milliarden gehen können.“
Neben den großen Summen, die wiederholt Schlagzeilen machten, seien allerdings auch immer wieder kleinere Unternehmen von Strafzahlungen betroffen. Da handele es sich dann zwar nicht um spektakuläre Beträge, die Strafen könnten die Firmen trotzdem hart treffen – „und die Einhaltung der Richtlinien sollte oberstes Gebot sein“.

Unternehmen in zentraler Verantwortung, die DSGVO-Konformität sicherzustellen

Mittlerweile existierten „Software-as-a-Service“ (SaaS(, „Platform-as-a-Service“ (PaaS) und „Infrastructure-as-a-Service“ (IaaS). Dabei dürfe man aber nicht übersehen, dass die Verantwortung in Datenschutzbelangen immer noch beim Dateneigentümer bleibe: „Das heißt, Unternehmen, die ihre Daten bei Cloud-Providern speichern, müssen sicherstellen, dass diese dort DSGVO-konform gespeichert und verwaltet werden und im Zweifel die Verantwortung tragen.“
Darüber hinaus sorgten verteilte Infrastrukturen auch für größere Probleme bei der Zugriffskontrolle. Meist hätten Mitarbeiter sogar über verschiedene Geräte Zugriff auf Cloud-Ressourcen oder nutzten im Rahmen von BYOD sogar eigene Geräte für die Arbeit. „Das stellt die IT-Abteilungen vor große Herausforderungen und macht ein umfassendes ,Device Management‘ notwendig.“ Noch ein weiterer Aspekt komme hinzu: „Je mehr im Home-Office gearbeitet wird, desto mehr digitale Kommunikation findet statt, das ist eine ganz logische Entwicklung. Gerade die digitale Kommunikation, vor allem E-Mails, ist der Hauptangriffspunkt für Cyber-Kriminelle.“ Phishing sei gerade in der Ausnahmesituation des vergangenen Jahres, 2020, ein enormes Problem. Unternehmen sollten daher ihre Cloud-Ressourcen unbedingt mit Multifaktor-Authentifizierung absichern.

Unternehmen müssen Ressourcen aufbringen, um DSGVO einzuhalten

Datenschutzbestimmungen einzuhalten sei eine Aufgabe, für die Unternehmen Ressourcen aufbringen müssten – „das ist ganz klar“. Doch je nach Art der IT-Infrastruktur unterscheide sich dieser Aufwand. „Man muss sich beispielsweise ein Unternehmen vorstellen, in dem jede Abteilung selbst verschiedene Cloud-Dienste und Tools as-a-Service einkauft. In diesem Fall müssen sich die IT-Abteilung oder Datenschutzverantwortliche zunächst einmal einen Überblick darüber verschaffen, wo überall überhaupt Unternehmensdaten gespeichert werden.“ Schlimmer sei nur noch, wenn es Unternehmen versäumten, ihren Angestellten die richtigen Tools bereitzustellen und diese zu „Workarounds“ griffen, wodurch eine „Schatten-IT“ entstehe.
Im Idealfall bekämen Mitarbeiter stattdessen alle Ressourcen, die sie brauchten, über eine einzige übergreifende Workspace-Lösung geliefert. Dort könne die IT auch mit Sicherheitsmechanismen wie Multifaktorauthentifizierung, Endgerätemanagement, „User Behaviour Analytics“ und allgemein einem „Zero Trust Framework“ ansetzen. Dies seien alles allgemeine Sicherheitsmaßnahmen, doch sie zahlten alle auch auf die Verbesserung des Datenschutzes ein.

Daten bei Cloud-Providern müssen auch DSGVO-konform gespeichert werden

Zugriffskontrolle und sicherer Zugriff seien nur eine Dimension des Datenschutzes. Daneben müssten Unternehmen auch sicherstellen, dass ihre Daten bei den jeweiligen Cloud-Providern DSGVO-konform gespeichert werden. „Auch hier hilft ein zentralisierter Ansatz dabei, den Überblick zu behalten.“
In einer Welt, in der „Remote Work“ immer mehr zum Standard werde, „helfen Digital-Workspace-Lösungen nicht nur dabei, effizienter zu arbeiten, sie erleichtern auch die Einhaltung der Datenschutzvorgaben“.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2021
BSI: Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle / Ergebnis einer repräsentativen BSI-Umfrage unter 1.000 Unternehmen und Betrieben am 15. April 2021 vorgestellt

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe

[datensicherheit.de, 06.09.2017] Laut Citrix Systems soll eine repräsentative Umfrage unter 500 IT-Entscheidern in Unternehmen ab 250 Mitarbeitern aufzeigen, dass sich deutsche Unternehmen im größeren Mittelstand und darüber hinaus auf die im Mai 2018 in Kraft tretende europäische Datenschutz-Grundverordnung (DSVGO) hervorragend vorbereitet fühlen.

Selbstwahrnehmung und Realität noch längst nicht deckungsgleich

87 Prozent der befragten Unternehmen würden sich in Bezug auf den Umgang mit personenbezogenen Daten laut eigener Angaben schon jetzt regelkonform verhalten.
Weitere Antworten ließen jedoch darauf schließen, dass die IT-Verantwortlichen noch nicht ganz am Ziel sind: 86 Prozent der Befragten gäben beispielsweise an, Kundendaten auf Anfrage schnell löschen zu können – aber lediglich etwas weniger als ein Drittel (32%) habe eine „sehr gute“ Übersicht darüber, wo welche Daten überhaupt gespeichert werden.
Auch in Bezug auf die technischen Voraussetzungen sei nur etwas mehr als die Hälfte bereit für das Gesetzeswerk zum Schutz von personenbezogenen Daten.

Kontrolle über datengestützte Prozesse zentralisieren!

Citrix unterstützt nach eigenen Angaben Unternehmen dabei, die Kontrolle über datengestützte Prozesse zu zentralisieren – eine Grundvoraussetzung dafür, DSGVO-Compliance einhalten und nachweisen zu können:
„Je besser der Überblick über die Unternehmensanwendungen und die Prozesse zur Datenspeicherung und -verarbeitung, desto leichter können die Verantwortlichen die neuen EU-Vorgaben erfüllen“, sagt Dirk Pfefferle, „Area Vice President Central Europe“ und Geschäftsführer von Citrix Systems.
Viele seien auf einem guten Weg. Pfefferle: „Mit unserer Studie wollen wir Schwachstellen aufzeigen, die aus unserer Sicht bis Mai 2018 noch geschlossen werden sollten.“

IT-Entscheider sehen sich bereits gut aufgestellt

Genau 90 Prozent der Befragten gaben laut Citrix an, dass ihre Unternehmen persönliche Daten speichern. Mehr als 80 Prozent der Befragten erfassten mehr als 100 Datensätze pro Tag, meist für Marketing-Zwecke und speicherten diese auch für mindestens sechs Monate. Bei der Mehrzahl der befragten Unternehmen (51%) seien zehn oder mehr Systeme und Anwendungen an der Speicherung, Verarbeitung oder Nutzung der personenbezogenen Daten beteiligt.
Hinsichtlich der Konformität mit der neuen EU-Richtlinie gäben sich die IT-Entscheider selbstbewusst: 87 Prozent der Befragten seien sich sicher, dass ihr Umgang mit personenbezogenen Daten schon heute den neuen Vorgaben entspreche. Mehr als 70 Prozent der Befragten bestätigten, dass vor allem die Zugriffskontrolle bereits regelkonform sei. Je ein Drittel gebe an, im Hinblick auf die Richtlinie unter „besten IT-Bedingungen zu arbeiten“ (36%) oder halte Infrastruktur und Datenschutz für „gut“ (39%).

Es gibt noch Nachbesserungsbedarf

Citrix hat nach eigenen Angaben nachgehakt, um herauszufinden, wie gut die Teilnehmer ihre Unternehmen in Bezug auf „State of the Art“-Technologien zum Schutz personenbezogener Daten einschätzen. Das Ergebnis: Längst nicht alle Unternehmen seien am Ziel.
So schätzten sich bei der zentralen Übersicht, wo welche Daten gespeichert werden, 36 Prozent der Unternehmen als „sehr schlecht“, „schlecht“ oder „befriedigend“ ein – lediglich 32 Prozent gäben sich die Bestnote „sehr gut“.
Beim Aspekt der „Single Sign On“-Zugriffskontrolle über alle On-Premise- und Cloud-Systeme hinweg schätze knapp mehr als die Hälfte die eigenen Fähigkeiten hierbei als „gut“ oder „sehr gut“ ein (52%). Interne und externe Zugriffe sollten Unternehmen im Griff haben, um EU-konform zu arbeiten.
Auch in Bezug auf das Rollen- und Rechtemanagement beim internen Filesharing sei mehr als ein Drittel (38%) nicht zufrieden mit dem Status Quo im eigenen Unternehmen. Auch bei der zentralen Verwaltung von virtuellen digitalen Arbeitsplätzen und beim übergreifenden Monitoring und der Sicherheit von Mobilgeräten und Anwendungen gäben sich nur etwas mehr als die Hälfte die Bewertung „gut“ oder „sehr gut“ (je 53%).
„Aus unserer Sicht sind die genannten Aspekte sehr wichtig, wenn es darum geht, die Kontrolle über personenbezogene Daten zu behalten“, betont Pfefferle. In den allermeisten Unternehmen liege die Verantwortung für die DSGVO-Compliance bei den Datenschutzbeauftragten (38%) oder den CISO/IT-Sicherheitsverantwortlichen (30%). Einen dedizierten „Chief Privacy Officer“ hätten nur fünf Prozent der Unternehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor

datensicherheit.de, 13.06.2017
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe