Es ist eine Horrorvorstellung für jeden IT-Verantwortlichen, wenn es zu unerlaubten Datenleaks im Unternehmen kommt. Der Datenschutz und die IT-Sicherheit sind auch vor dem Hintergrund des NSA-Skandals im Rahmen der IT-Compliance und den gesetzlichen Bestimmungen einzuhalten und das strenger als je zuvor.
Der Inhalt im Überblick
Datenleaks im Unternehmen
Selbst große Unternehmen mit hochprofessionellen Netzwerken und einer sicheren IT-Infrastruktur haben mit dem Problem zu kämpfen. Der häufigste Grund für Datenabflüsse sind nicht etwa Viren, Trojaner o.ä., sondern der eigene Mitarbeiter. Dieser handelt dabei zumeist sogar in guter Absicht, etwa um von überall auf Projektdaten zugreifen zu können, oder auch schlicht um von zu Hause aus arbeiten zu können.
Die Gefahren von unkontrollierten Datenströmen
Findige Mitarbeiter finden Wege und Möglichkeiten, um entweder Daten rein oder raus zu transferieren. Dies bringt nicht nur die Gefahr des Einschleusens von Schadsoftware mit sich, sondern auch die Gefahr, dass sensible Daten, etwa Betriebs- und Geschäftsgeheimnisse aus dem internen Netzwerk entfernt werden, oder aus diesem abgezogen werden. Damit sind im Falle des Entfernens die Daten auch den handels- und steuerrechtlichen Aufbewahrungspflichten entzogen, oder möglichweise für Mitbewerber einsehbar.
Die Top 5 der Datenabflüsse
- Das Löschen von lokalen, nicht servergespeicherten Daten
Dieses Verhalten ist nach der Rechtsprechung nicht strafbar (OLG Nürnberg, Beschluss v. 23.01.2013, Az.: 1 Ws 445/12) und ein zivilrechtlicher Schadensersatzanspruch dürfte aufgrund der Beweislast für den Arbeitgeber schwierig durchzusetzen sein. - Das Verwenden von Dropbox, iCloud und Co. (Cloud-Dienste)
Gerade der Einsatz von eben diesen Cloud Diensten soll dem Arbeitnehmer oft die Arbeit schlicht erleichtern, etwa weil er ein Projekt von unterwegs aus bearbeiten möchte. - Die Einbindung eigener Hardware (BYOD – Bring Your Own Device)
Auch diesen Vorgang finden wir in der Praxis relativ häufig. In einer eigentlich als sicher zu bezeichnenden IT-Infrastruktur bringt der Mitarbeiter einen W-Lan Router mit und eröffnet einen Hotspot. - Die Übersetzung von streng vertraulichen Dokumenten mittels Google Translate
Dieser Vorgang stellt eine oft übersehene Möglichkeit des Datenleaks dar. Ein Mitarbeiter möchte ein wichtiges Dokument in eine andere Sprache übersetzen und läd diese vollständig zu einem Übersetzungsdienst hoch oder verwendet ganz einfach Copy- und Paste. - Das Versenden von E-Mail Anhängen an Privatadressen oder die Nutzung von Webmail-Diensten
Hier ist der Arbeitgeber in einem echten Dilemma, denn verbietet er die private Nutzung des dienstlichen E-Mail Account und gestattet dem Arbeitnehmer jedoch die Nutzung von Webmail Diensten, können Dokumente einfach als Anhang weiterversendet oder heruntergeladen werden.
Den Gefahren entgegenwirken
Selbstredend ist die Überwachung des Mitarbeiter PC-Arbeitsplatzes aus Datenschutzsicht keine Lösung zur Vermeidung von Datenabflüssen. Diese kann neben der gut gepflegten IT-Infrastruktur nur in einer Sensibilisierung der Mitarbeiter liegen und auch in dem Eingehen auf deren Bedürfnisse hinsichtlich der Arbeitsmöglichkeiten. Nochmal, in der Regel ist der Mitarbeiter nicht böswillig, sondern lediglich auf der Suche nach Möglichkeiten der Arbeitserleichterung oder Hilfsmitteln diese auch über die normalen Dienstzeiten hinaus erledigen zu können.
Für den Mitatbeiter gilt: vor der Eigeninitive den IT-Sicherheitsbeauftragten fragen.