Digital Workplace – Sicherheitsvorfälle und Rechtsverletzungen vermeiden

IT-Compliance und IT-Sicherheit sind für den Digital Workplace Grundvoraussetzungen, die eine ganzheitliche Betrachtung sowie die Mitwirkung aller Beteiligten erfordern. So lassen sich Sicherheitsvorfälle und Rechtsverletzungen reduzieren.

Klassische Bürojobs gehören mittlerweile der Vergangenheit an. Mitarbeitende arbeiten inzwischen auch mal von zu Hause oder von unterwegs – beispielsweise unter der Sonne Mexikos. Für Unternehmen bringt der digitale Arbeitsplatz allerdings auch Schattenseiten mit sich. Sie sind zum Beispiel mit Blick auf ihre Sicherheit angreifbarer als jemals zuvor – ob in der IT oder im Bereich Compliance. Nicht nur der Diebstahl von vertraulichen Informationen oder Passwörtern ist unterwegs oft einfacher als im geschützten Büroraum. Auch das Thema IT-Compliance spielt beim Digital Workplace eine Hauptrolle. Dafür müssen alle Beteiligten zusammenarbeiten.

Security und Compliance Hand in Hand. Schutzmaßnahmen fokussieren sich bei vielen Unternehmen nach wie vor auf Geräte im internen Netzwerk. Der Digital Workplace hingegen lebt von Cloud-Anwendungen. So liegen Daten nicht mehr nur gesammelt im Rechenzentrum vor Ort, sondern verteilen sich auf der ganzen Welt. Das ruft neue Vorsichtsmaßnahmen auf den Schirm. Aber auch zusätzliche Anforderungen. Gerade im Rahmen des dezentralen Arbeitens sollten Unternehmen also Gesetze, Normen und Standards neu in die Abläufe integrieren. Dafür braucht es intelligente Konzepte, moderne IT-Lösungen und vor allem die Verbindung von Security und Compliance.

Bei klassischen On-Premises-Landschaften haben Organisationen meist nur die rechtlichen und organisatorischen Aspekte berücksichtigt. Nun gilt es, die IT in diese Maßnahmen zu integrieren. Mit der Cloud-Nutzung und dem Digital Workplace sind die Themen Security und Compliance bereits einen großen Schritt aufeinander zugegangen – aus gutem Grund: Immerhin sind sie untrennbar miteinander verbunden. So kann eine falsche Security-Einstellung schnell zu einem Compliance-Vorfall führen. Und auch eine mangelnde Compliance-Betrachtung kann Security-Mechanismen zum Scheitern bringen.

Ein solches Szenario zieht in der Regel ernsthafte (und teure) Konsequenzen nach sich: Schadensersatzpflichten oder Bußgelder bei Rechtsverletzungen, Sanktionen bei Nichteinhaltung der Datenschutzgrundverordnung (DSGVO) in zweistelliger Millionenhöhe, Verluste von Qualitätsmerkmalen wie ISO-Zertifizierungen oder persönliche Haftungen des Managements. Security- und Compliance-Themen sollten Unternehmen also besser ganzheitlich betrachten. Dafür braucht es ein intelligentes Zusammenspiel aller involvierten Abteilungen: Legal, Security, Datenschutz und IT. Denn DSGVO, Cloud-Act, technische Klassifizierung von Daten und neue ISO-Standards verlangen unterschiedlichstes Know-how aus den jeweiligen Fachbereichen.

DSGVO und GoBD im Widerspruch. Die DSGVO verpflichtet jede Organisation in Europa zum Datenschutz. Dabei sind verschiedenste Unternehmensbereiche betroffen. Neben der Technik wie einer DSGVO-konformen Cloud rücken organisatorische Fragestellungen in den Fokus. Denn die Verordnung verlangt beispielsweise, dass Firmen Datenschutz-relevante Anfragen binnen weniger Tage bearbeiten müssen. Erkundigt sich eine Person etwa nach einem Auszug ihrer personenbezogenen Daten in einem maschinenlesbaren Format, muss die Organisation also schnell auskunftsfähig sein. Zudem gibt es noch eine Vielzahl von Anforderungen, welche sich in der praktischen Umsetzung widersprechen könnten.

Beispielsweise erfordert eine revisionssichere Archivierung (GoBD-konform), dass Unternehmen sämtliche geschäftsrelevante Daten für einen bestimmten Zeitraum unveränderbar und eindeutig nachvollziehbar aufbewahren. Die DSGVO hingegen verlangt von Organisationen die Löschung personenbezogener Daten, welche den Verwendungszweck überschritten haben und somit keinem Zweckbindungsprinzip unterliegen. Um hier beide Anforderungen erfüllen zu können, müsste man für die betroffenen Datenobjekte zunächst prüfen, ob diese geschäftsrelevant sind und ob eine vorzeitige Löschung ohne Bedenken vollzogen werden darf.

In der gesamten Bereitstellung des Digital Workplace sorgen solche Beispiele für Unsicherheiten darüber, wie sich die gesamte Umgebung einführen, Prozesse vorbereiten und technische Maßnahmen umsetzen lassen, sodass die unterschiedlichen Anforderungen – unter anderem aus DSGVO und GoBD – Anwendung finden. Um hier zu einem zufriedenstellenden Ergebnis zu kommen und nicht beim nächsten Audit zu scheitern, sollten sich Unternehmen der Expertise erfahrener Dienstleister bedienen. Denn in der Praxis zeigt sich, dass die geforderten Skills, sich diesem komplexen Thema ganzheitlich zu nähern, nur selten mit internen Ressourcen zu stemmen sind.

Prioritäten setzen mit der Datenklassifizierung. Um die eigenen Kapazitäten optimal einzusetzen und nicht den Überblick zu verlieren, bietet sich eine Datenklassifizierung an. Das Prinzip dahinter: Wissen Unternehmen, welche Daten besonders schutzbedürftig sind, können sie diese prioritär behandeln. Dafür eignet sich die Einteilung in vier Kategorien: privat, öffentlich, vertraulich und streng vertraulich.

Dafür braucht es eine tiefe Kenntnis über die vorhandenen Daten. Was ist der Inhalt der Daten? Wo befinden sie sich? Wer hat Zugriff auf die einzelnen Informationen? Und welche gesetzlichen Anforderungen gelten für die spezifischen Dateien? Dabei stehen die IT-Compliance und Security-Themen im Mittelpunkt.

Haben Organisationen alle relevanten Daten aufgefunden und einer Kategorie zugeteilt, können sie passgenaue Security- und Compliance-Maßnahmen festlegen. Dabei sind die Sicherheitsanforderungen für öffentliche Daten andere als für streng vertrauliche. Sind die Merkmale innerhalb der Datenklassifizierung festgelegt, kann der Prozess fortan automatisiert ablaufen. Das hilft sicherzustellen, dass Compliance-relevante Informationen in jedem Fall geschützt und rechtskonform behandelt sind.

Compliance und Security – die Umsetzung in der Praxis. Um den Anforderungen in Zeiten des Digital Workplaces gerecht zu werden, bedarf es tiefgreifender organisatorischer und technischer Veränderungen.

Das A und O sind hierbei optimal aufgestellte organisatorische Prozesse. Denn Compliance-Anforderungen verlangen oft schnelle Reaktionen. Hat das Unternehmen frühzeitig Entscheidungswege geschaffen, kann das zudem die Qualität der Maßnahmen steigern. Um den Mitarbeitenden einen sicheren Digital Workplace zur Verfügung zu stellen, ist beispielsweise eine Cloud Policy sinnvoll. Konkrete Richtlinien erleichtern es dabei allen Beteiligten, die Cloud mit sämtlichen Anforderungen im Hinterkopf zu nutzen. Ist doch einmal ein Compliance-Vorfall ersichtlich, können vorgefertigte Meldeprozesse die schnelle Abwicklung ermöglichen.

Ist den Organisationen bewusst, welche Prozesse nötig sind, kann die IT ihre Aufgabe erfüllen. Denn technische Tools erleichtern die Compliance-konforme Umsetzung im Tagesgeschäft. Sie können zum Beispiel personenbezogene Daten zügig auffinden und in ein maschinenlesbares Format exportieren (DSGVO-Pflicht). Auch können Unternehmen technische Funktionen nutzen, um personenbezogene Daten nach ihrem Verwendungszweck automatisiert zu löschen. Damit die IT am Ende die Implementierung des Digital Workplaces gemäß Compliance-Vorgaben umsetzen kann, sind alle Fachbereiche gefragt.

Mit Security und Compliance zum sicheren Digital Workplace. Security und Compliance in Einklang zu bringen, ist ein wichtiges Ziel für den sicheren Digital Workplace. Mangelnde Ressourcen und fehlende Skills bremsen Unternehmen in der Praxis oft aus, diesen Meilenstein zu schaffen. Auch die Vielzahl an Regelungen und die teilweise gegenläufigen Anforderungen erschweren entsprechende Strategien. Oft bietet es sich daher an, externe Spezialisten wie beispielsweise die Experten von q.beyond einzubeziehen. Wichtig ist eine Expertise in den Bereichen IT, Legal, Security und Compliance. So können sie gemeinsam mit den Teams relevante Prozesse identifizieren und technische Tools für die tägliche Arbeit einbeziehen. Solche Projekte tragen in der Regel schnell Früchte: Mitarbeitende gewinnen mehr Flexibilität, die Cloud schafft neue Möglichkeiten für die Kollaboration und Organisationen profitieren von einer Verbesserung der Arbeitseffizienz. Mit Security und IT-Compliance im Blick können Unternehmen aber vor allem eines: Sicherheitsvorfälle und Rechtsverletzungen minimieren.

 


Rahul Sharma, Head of Microsoft Business Productivity im Bereich
Cyber Security & Cloud Consulting, q.beyond AG
Melanie Zmajlik, Cyber Security Consultant, q.beyond AG

 

Illustration: © Syuzann/shutterstock.com