Kronjuwelen schützen und Datenschutz einhalten? Das geht nur mit sensibilisierten Mitarbeitern

Schützen Sie Ihre wichtigsten Unternehmensdaten! Sensibilisierte Mitarbeitende sind dabei ein wichtiger Faktor beim Umgang mit vertraulichen Daten.
Autor Sascha Maier
Datum 16.08.2017
Lesezeit 7 Minuten

Unternehmensabläufe werden immer mehr in die digitale Welt einbezogen, um Prozesse schneller zu verarbeiten und abzuschliessen. So werden geschäftsrelevante Informationen über das Internet, soziale Netzwerke sowie Cloud- und Collaboration-Services ausgetauscht. Das ist die eine Seite der Daten und Informationen, mit der wir uns in unseren Organisationen auseinandersetzen wollen und auch müssen.

Die andere Seite ist «Big Data» – derzeit in aller Munde. Unternehmen profitieren vom Sammeln und Auswerten der Daten.

«Daten sind das neue Öl», dieser Satz fällt immer wieder, wenn es um das Thema Big Data geht.

Und in der Tat: Um den Kunden besser zu verstehen und konkurrenzfähig zu bleiben, setzen Unternehmen zunehmend auf das Sammeln, Verknüpfen und Auswerten mitunter persönlicher und sensibler Daten. Diese Informationen wollen wir als Unternehmen natürlich sehr gern, bewusst und gern auch datenschutzrechtlich sauber nutzen.

Nach Ansicht vieler Experten sind Unternehmen, die datenbasiert arbeiten, besonders erfolgreich. Dabei muss es nicht immer um sensible Informationen gehen. Eine Anfang Dezember veröffentlichte Studie der Unternehmensberatung McKinsey kam zu dem Ergebnis, «dass das wirtschaftliche Potenzial durch die Nutzung grosser Datenmengen noch lange nicht ausgeschöpft ist». Demnach werden Lösungen auf Basis von Big Data derzeit von Unternehmen aktuell nur zu rund 30 Prozent realisiert.

Fehlende Sensibilisierung macht Mitarbeiter zum potenziellen Einfallstor für Cyberangriffe

Doch der Umgang unserer eigenen Mitarbeitenden mit vertraulichen Informationen innerhalb – aber auch im privaten Bereich ausserhalb – eines Unternehmens lässt sehr oft zu wünschen übrig. Dabei ist jeder dieser Mitarbeiter ein potenzielles Einfallstor für Cyberangriffe. Einfach, weil sich viele Mitarbeitenden der Gefahren nicht bewusst sind.

Fast drei Viertel aller Beschäftigten, ergab der weltweit durchgeführte «Dell End-User Security Survey»™, würden unter bestimmten Umständen vertrauliche Daten an unautorisierte Personen weitergeben. Darüber hinaus sind unsichere Verfahren beim Umgang mit solchen Daten offenbar gang und gäbe. Auch die beste Sicherheitstechnik nützt nichts bei leichtfertigem Umgang mit vertraulichen Daten.

Die Gründe dafür sind vielschichtig, oftmals liegt die Basis der «Entsicherung» in einer fordernden Arbeitskultur im Unternehmen und in einer zu laxen und schwachen Sensibilisierung der Mitarbeitenden. Dies weil

  • ihre Vorgesetzten sie dazu auffordern
  • das Risiko für das Unternehmen sehr gering und der potenzielle Nutzen sehr hoch ist
  • sie damit ihre Aufgaben effizienter erledigen können
  • der Empfänger seine Aufgaben damit effizienter erledigen kann

Beim Umgang mit vertraulichen Daten sind ausserdem unsichere Praktiken offenbar weitverbreitet. In der Befragung räumten viele Studienteilnehmer unter anderem ein

  • über öffentliches WLAN auf sensible Unternehmensdaten zuzugreifen
  • private E-Mail-Konten für die Arbeit zu verwenden
  • am Arbeitsplatz Public-Cloud-Services wie Dropbox, Google Drive oder iCloud für Informationsaustausch oder Backups zu nutzen
  • vertrauliche Dokumente per E-Mail an Dienstleister und andere externe Partner zu verschicken
  • schon einmal ein Endgerät verloren zu haben, das auch für Arbeitszwecke genutzt wurde
  • Unternehmensinformationen mitzunehmen, wenn sie ihre Arbeitgeber verlassen

Unsicherheitsfaktor Smartphones

Und dann wäre da noch die mobile Nutzung zu nennen – der Datenaustausch im Verborgenen: Smartphone-Apps geben häufiger persönliche Daten an Dritte weiter als gedacht. Viele Anwendungen übermitteln sensible Informationen an Drittanbieter wie Google Analytics, ohne dass der Nutzer etwas davon mitbekommt.

Ja, Mitarbeiter gehen oft zu sorglos mit sensiblen Daten um. Und wir wissen in der IT- und Informationssicherheit darüber zu wenig Bescheid.

Sensibilisierung ist hier oft der einzige und ja, auch der einfachste Weg, ein Risikobewusstsein bei den Mitarbeitenden zu verankern und vor allem auch mögliche Meldewege zu adressieren.

Nur wenn wir wissen, was passiert ist, können wir im Unternehmensumfeld handeln.

«Kronjuwelen» kennen und benennen

Und, ebenfalls wichtig, wir müssen erst einmal wissen, was denn überhaupt unsere «Kronjuwelen» sind. Das ist in vielen Unternehmen und Organisationen gar nicht klar – und wäre doch der notwendige Beginn für einen sicheren Umgang mit Daten und Informationen. Übrigens wird das Wissen, was für (personenbezogenen) Daten ich im Unternehmen überhaupt besitze und wer in welcher Art und Weise darauf Zugriff hat, auch durch die General Data Protection Regulation (GDPR) gefordert.

Die GDPR ist die bisher wichtigste und einflussreichste Veränderung im Bereich Privatsphäre und Datenschutz und hat weltweite Auswirkungen auf Unternehmen. Durch die GDPR entstehen neue komplexe Anforderungen – die auch ausländische Unternehmen betreffen, die Daten von EU-Bürgern verarbeiten.

Wichtig aber ist, dass es zum ersten Mal einheitliche Datenschutzbestimmungen innerhalb der Europäischen Union gibt. Während die bisherigen Datenschutzbestimmungen noch leichter umgangen werden konnten, wird durch die Harmonisierung der Vorschriften sichergestellt, dass Unternehmen der Datenschutz erleichtert wird, aber auch, dass länderübergreifend gegen Verstösse vorgegangen werden kann.

Zusammengefasst heisst das:

Wenn ich mir im Unternehmen klar bin, was meine schützenswerten Daten und Informationen überhaupt sind, wenn ich weiss, wer darauf in welcher Form Zugriff hat und vor allem, wie Mitarbeitende mit diese Daten umgehen sollen – auch in der Speicherung, dem Transport und bei der Entsorgung, dann bin ich ein gutes Stück weiter, was den Schutz von (personenbezogenen) Daten angeht.

Das sind aber noch lange nicht alle sensiblen und vertraulichen Informationen, die ich als Unternehmen besitze.

Fazit

Nur ein sensibilisierter und trainierter Mitarbeitender weiss auch, was er zu tun hat. Awareness hilft hier auf alle Fälle ein gutes Stück weiter – die passende Unternehmenskultur schafft den notwendigen (Frei-)Raum.

Security Awareness im Unternehmen

In diesem Kurs lernen Sie, wie Sie Ihr Unternehmen mit Hilfe Ihrer Mitarbeitenden gegen Sicherheits- und Betrugsfälle von aussen schützen können.

Ihr Trainer: Sascha Maier

Zu den Kursdetails

In diesem Kurs lernen Sie, wie Sie Ihr Unternehmen mit Hilfe Ihrer Mitarbeitenden gegen Sicherheits- und Betrugsfälle von aussen schützen können.

Ihr Trainer: Sascha Maier

Zu den Kursdetails

Über den Autor

Sascha Maier

Sascha Maier ist der CISO von IWC Schaffhausen (www.iwc.com), dem bekannten Luxusuhren-Hersteller aus Schaffhausen. In seiner Funktion ist Sascha Maier verantwortlich für die komplette IT- & Informationssicherheit der IWC an allen Standorten. Durch das Setzen von Sicherheitsstandards, die Bewertung von Sicherheitsrisiken und die Umsetzung von Gegenmassnahmen sichern er und sein Team die Infrastruktur. Zudem wird bei der IWC seit Jahren aktiv das Thema User Awareness und Cyber Intelligence vorangetrieben.