Lesezeit: 3 Min
Privatgeräte in die IT-Sicherheit einbinden
Die Arbeitswelt entwickelt sich durch die wachsende Flexibilität, was auch bedeutet, dass immer häufiger die Überschneidung zwischen privaten und geschäftlichen Geräten stattfinden kann. Für den Datenschutz bedeutet dies, dass auch ein besonderes Augenmerk auf diese Schwachstelle gelegt werden muss. Wenn Daten abgegriffen werden, sind in der Regel auch personenbezogene Daten betroffen.
Gleichzeitige Nutzung von privaten und geschäftlichen Geräten als Risiko für den Datenschutz
Vor allem durch die Arbeit von zu Hause aus (Remote Work) hat die Arbeit auf privaten Endgeräten zugenommen. Nicht selten ist aus Kostengründen die Nutzung von privaten Geräten im Homeoffice oder von Unterwegs nicht nur erlaubt, sondern sogar gewünscht.
Andererseits dürfen nicht selten auch geschäftliche Geräte privat genutzt werden. Vor allem bei der Werbung neuer Mitarbeiter kann das als zusätzlicher Anreiz genutzt werden.
Auch die Kopplung von privaten und geschäftlichen Geräten kommt im Alltag häufig vor. Alle Szenarien können private und geschäftliche Daten vermischen und daher vor allem für den Datenschutz eine Gefahr darstellen.
Vermischung der Daten
Wenn die Geräte vernetzt und die Nutzung vermischt werden, kann es auch zu einer Vermischung von privaten und geschäftlichen Daten kommen. Wenn die Daten vor allem durch schlecht gesicherte private Geräte nicht ausreichend geschützt werden, kann das für den Datenschutz eine empfindliche Schwachstelle darstellen.
Vielen Usern ist nicht bewusst, wann Daten ausgetauscht und übermittelt werden und welche Gefahren von der Vermischung von privaten und unternehmerischen Zugängen ausgehen können.
Veraltete Technik bei Zubehör
Dabei spielen nicht nur Geräte wie Laptop, Smartphone oder Tablet eine entscheidende Rolle. Gerade im Bereich des Zubehörs, kann es zu empfindlichen Sicherheitslücken kommen. Tastaturen und anderes Zubehör können zum Beispiel Daten sammeln, die getippt werden oder Schadsoftware enthalten.
Webcams und Headsets können Gespräche aufzeichnen oder ebenfalls Schadsoftware enthalten. Auch ein veralteter Router, ein privater Kopierer, Scanner oder sonstige Geräte können Daten sammeln, verarbeiten und unautorisiert weitergeben. Werkseitig oder auch durch Hackerangriffe können die Zubehörteile ebenfalls Technik enthalten die Daten unbefugt abgreifen kann.
Machen Sie die Mitarbeiter sensibel dafür, dass jede Nutzung privater Geräte, auch Zubehör eine Sicherheitslücke darstellen kann. Genutzt werden sollten nur die Geräte, die auch durch die IT-Sicherheit des Unternehmens abgedeckt werden.
BLOG-TIPP: ACHTUNG BEI MOBILER MALWARE IM DATENSCHUTZ FÜR NRW
Private Geräte über geschäftliche Netzwerke nutzen
Eine weitere Sicherheitslücke kann vorliegen, wenn Mitarbeiter private Geräte über das Netzwerk des Unternehmens nutzen dürfen. Die Verbindung mit sozialen Netzwerken, Apps oder anderen relevanten Techniken, kann daher auch eine Sicherheitslücke darstellen.
BLOG-TIPP: CYBERSICHERHEIT – ANGRIFFE BRINGEN AUCH DATENSCHUTZ IN GEFAHR
Geschäftliche Geräte über private Netzwerke nutzen
Ebenso kann eine Sicherheitslücke vorliegen, wenn Geräte aus dem Unternehmen über private Netzwerke genutzt werden, die nicht ausreichend gesichert sind.
Um Unternehmensdaten ausreichend zu schützen, sind unterschiedliche Schritte sinnvoll:
- Daten, die auf oder durch ein privates IT-Gerät genutzt werden, sollten durch spezielle Applikationskontrollen (Sicherheitsdienste o.ä.) geschützt werden – Zugriffe durch bestimmte private Programme können so auf bestimmte Daten beschränkt werden.
- Führen Sie IT-Richtlinien ein, die eine getrennte Verarbeitung von privaten und geschäftlichen Daten sorgen.
- Verhindern Sie die Übernahme von Firmendaten in Private Anwendungen
- Verhindern Sie, die Weiterleitung von Firmendaten mit privaten Mail- oder Messanging-Diensten
- Verhindern Sie die Speicherung von Firmendaten in anderen Speicherverzeichnissen
- Verhindern Sie die Übertragung von Firmendaten auf private Speichermedien
- Firmendaten sollten verschlüsselt versendet und aufbewahrt werden (getrennt von privaten Daten)
- Schützen Sie auch den Zugriff auf private Daten (der Zugriff darf auch nicht durch den Administrator möglich sein)
- Achten Sie darauf, dass nur autorisierte Geräte für die Datenverarbeitung genutzt werden
- Übermitteln Sie die Daten über sichere Verbindungen (zum Beispiel VPN)
- Stellen Sie sicher, dass regelmäßige Sicherheitsupdates bei allen genutzten Geräten durchgeführt werden und Spam-Filter etc. genutzt werden
Achtung bei der Nutzung von privaten Apps
Gerade private Apps, die auf den genutzten Geräten installiert sind, können ebenfalls eine Sicherheitslücke für Unternehmensdaten darstellen. Wenn dann personenbezogene Daten von Betroffenen abgegriffen werden, kann schnell eine meldepflichtige Datenpanne entstehen. Ist die Absicherung der Daten nicht ausreichend sichergestellt worden, kann dies auch eine Strafe zur Folge haben.
BLOG-TIPP: APPS ALS RISIKO FÜR DEN DATENSCHUTZ (TEIL 1)
Vereinbarungen Treffen
Um die Nutzung von privaten Endgeräten ausreichend sicher zu gestalten, aber auch auf die Gefahren von der gemischten Datenverarbeitung hinzuweisen, sollten neben ausreichenden IT-Sicherheits-Vorkehrungen auch die Mitarbeiter informiert werden.
Es macht dabei Sinn, Sicherheitsrichtlinien und Vereinbarungen zu erstellen, die alle Nutzungen abdecken und verpflichtend für alle Mitarbeiter sein sollten. So kann das Risiko im Datenschutz möglichst minimiert werden.
BLOG-TIPP: RISIKO FÜR DEN DATENSCHUTZ DURCH APPS TEIL 2
Externer Datenschutzbeauftragter für NRW
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.