Datensicherheit in Unternehmen: Fünf große Schwachstellen im Alltag

Wer diese Lücken schließt, schützt Menschen und Systeme

Datenschutz steht bei Unternehmen nicht gerade als Lieblingspunkt auf der Agenda. Viele Betriebe kümmern sich nur halbherzig um das Thema. Schnell schleichen sich Lücken im Sicherheitssystem ein. Daten gehen verloren oder die Aufsichtsbehörde mahnt ab. Datenschutzexperte Achim Barth kennt die größten Schwachstellen im Business.

2018 war die DSGVO (Datenschutzgrundverordnung) bei jedem Verantwortlichen dauerpräsent. Viele Unternehmer und Führungskräfte fürchteten Abmahnung oder hohes Bußgeld, Sorge und Unsicherheit motivierten Firmen zum Handeln. Doch nicht immer waren die Maßnahmen zweckmäßig. Im Eifer des Gefechts haben viele Unternehmen sich überreguliert, ungeeignete Prozesse eingeführt oder jede Menge Geld in völlig überdimensionierte IT-Infrastrukturen gesteckt. Als dann in den Folgejahren wenig passierte, ließen einige nur zu gerne ein bisschen Gras über die ganze DSGVO-Angelegenheit wachsen. Damit zeichnet sich schon die erste Schwachstelle ab, die bei vielen Unternehmen auffällt.

Schwachstelle Nr. 1:

Niemand hinterfragt oder aktualisiert eingeführte Regelungen

Datenschutz präsentiert sich als dynamischer Prozess. Gesetzliche Anforderungen, nötige Verfahren, bestehende Technologien oder handelnde Personen im Unternehmen ändern sich regelmäßig. Daher haben Unternehmen die Aufgabe, die bestehenden Regelungen immer wieder zu überprüfen und anzupassen. Wenn Führungskräfte oder Inhaber zum Start der DSGVO im Jahr 2018 nötige Maßnahmen umgesetzt haben, gilt es, diese regelmäßig einem Check zu unterziehen: Passen die Vorgaben noch innerhalb der aktuellen Arbeitsprozesse? Haben sich die Vorgaben überhaupt bewährt? Gibt es Verbesserungsmöglichkeiten und neue Verfahren?

Wer schon mal dabei ist, prüft am besten auch gleich, ob die handelnden Personen noch im Betrieb arbeiten. Wer ist intern für die Umsetzung und Überwachung der Datenschutzvorgaben zuständig? Kommt diese Person ihren Verpflichtungen nach? Ist dieser Kollege überhaupt mit den notwendigen Ressourcen ausgestattet, um sinnvoll tätig zu werden? Informiert der externe Datenschutzbeauftragte das Unternehmen regelmäßig über neue Entwicklungen und gibt Handlungsempfehlungen?

Schwachstelle Nr. 2:

Schattenprozesse und Schatten-IT bilden eine Parallelwelt

Wenn im Betrieb unzweckmäßige Richtlinien und Vorgaben zum Datenschutz umgesetzt werden, etablieren sich sehr oft sogenannte Schattenprozesse oder eine Schatten-IT. Das heißt: Mitarbeiter überlegen sich, wie sie strenge oder aus ihrer Sicht überflüssige Vorgaben der Unternehmensleitung umgehen können. Das ist zum Beispiel der Fall, wenn der Vertrieb zusätzlich zum offiziellen CRM-Programm noch eine zweite Software nutzt, in die Sales Manager personenbezogene Kundendaten flexibel eintragen können, um sie für ihre Verkaufsgespräche zu nutzen.

Schattenkommunikation etwa entsteht, wenn Mitarbeiter sich mit Kunden nicht wie vielleicht vorgegeben über E-Mail austauschen, sondern Messenger und interne Chat-Gruppen verwenden. Diese Ausweichmechanismen schleichen sich meist ohne Kenntnis des Verantwortlichen und ohne direkte Absicht ein. Und zwar immer dann, wenn Vorgaben und Richtlinien im Unternehmen nicht den praktischen Anforderungen entsprechen.

Schwachstelle Nr. 3:

Die Mitarbeiter sind nicht mit im Boot

Hand aufs Herz: Wann haben Sie als Führungskraft Ihre Mitarbeiter das letzte Mal bezüglich IT-Sicherheit und Datenschutz geschult? Sind überhaupt alle im richtigen Umgang mit personenbezogenen Daten und in IT-Sicherheit unterwiesen? Weiterbildungen wie diese sollten Unternehmer und Führungskräfte regelmäßig, am besten einmal jährlich, verpflichtend anbieten. Darüber hinaus empfehlen sich sporadische Awareness-Maßnahmen. Wer sein Team sensibilisieren will, hat zum Beispiel die Möglichkeit, eine Phishing-Simulation durchzuführen. Dabei werden simulierte Spam-E-Mails an die Mitarbeiter versendet. Wer die Mails öffnet, landet auf einer Lernseite.

Schwachstelle Nr. 4:

Kein System in der Datenschutz-Organisation

Die größte Motivation, DSGVO-Vorgaben korrekt umzusetzen, hilft nicht, wenn Unternehmen ihren Datenschutz nicht sinnvoll organisiert haben. Jeder Betrieb benötigt klar definierte Prozesse, zum Beispiel für den Umgang mit Datenpannen und Betroffenenanfragen. Dazu gehört, zu dokumentieren, mit welchen Dienstleistern die Firma zusammenarbeitet und ob Auftragsverarbeitungsverträge oder Verträge zur gemeinsamen Verantwortlichkeit abgeschlossen werden müssen. Verantwortliche müssen ein ausreichendes Verzeichnis von Verarbeitungstätigkeiten führen und ihre technischen und organisatorischen Maßnahmen korrekt und vollständig dokumentiert haben. All das sind Fleißaufgaben, die immer wieder nötig sein werden. Um sich hier nicht zu verzetteln, sollten Unternehmen sich unbedingt Gedanken machen, wie sie das gut organisiert bekommen.

Schwachstelle Nr. 5:

Homeoffice und mobile Büros bleiben Angriffsfläche

Dass Mitarbeiter zumindest zeitweise im Homeoffice arbeiten, hat sich inzwischen in fast allen Betrieben durchgesetzt. Zum ersten pandemiebedingten Lockdown kam der verordnete „Hausarrest“ fast über Nacht. Unternehmen hatten kaum Zeit, sich ausreichend um IT-Sicherheit und Datenschutz im Homeoffice zu kümmern. Diese Schonfrist ist inzwischen vorbei. Übrigens haben auch Cyberkriminelle dazugelernt und suchen gezielt nach Schwachstellen in mobilen Büros. Kluge Unternehmen nehmen sich dieses Themas also an. Sie ermöglichen, dass Mitarbeiter im Homeoffice sicher und vertraulich arbeiten können. Auch hierzu gehört neben einer sicheren IT-Infrastruktur, die Mitarbeiter für den Datenschutz speziell im Homeoffice zu unterweisen.