Cloud Computing Software, Datenschutz, Digitalisierung und IT-Sicherheit
Um von der Baustelle und von unterwegs aus mit der Firmenzentrale zu kommunizieren, nutzen immer mehr Handwerksbetriebe Kommunikationstools wie Microsoft Teams und WhatsApp oder greifen auf Software-Lösungen zurück. Worauf Betriebe unbedingt achten müssen, damit der digitale Austausch sicher abläuft.
-
DSGVO 10 Schritte für mehr Sicherheit in Ihrem Unternehmen(PDF, 110,78 kB)
-
So schützen Sie Ihren Betrieb vor Hackerangriffen(PDF, 88,94 kB)
Bilder von der Baustelle ins Büro schicken oder schnell mal eine Information weitergeben: Kommunikationstools erleichtern auch im Handwerk die Absprachen untereinander und machen den Arbeitsalltag damit einfacher. Doch bergen die digitale Kommunikation und unter den Mitarbeitern des Betriebs sowie häufig auch mit externen Partnern auch einige Herausforderungen. "Für IT-Verantwortliche in Betrieben stehen längst nicht mehr nur funktionale Aspekte einer Software im Vordergrund", erklärt Tobias Stepan, Geschäftsführer beim Instant-Messaging-Dienst Teamwire. "Insbesondere im Bereich mobiler Kollaboration und Kommunikation gilt es für Administratoren daher umfassende Anforderungen zu berücksichtigen: von Compliance und Revisionssicherheit über Datensouveränität und Cybersicherheit bis hin zum Datenschutz."
Um eine passende Lösung – ob als primäres Tool oder als Zweitkanal – zu finden, sind für Stephan folgende To-dos unumgänglich. Mit seinen Tipps gibt er Betrieben einen Leitfaden an die Hand, über den eine sichere und ortsunabhängige Kommunikation zwischen unterschiedlichen Teammitgliedern gelingt.
1. Die Grenzen von WhatsApp und MS Teams erkennen
Schon mal vorab: Ob als Kommunikationsweg für mobile und hybride Arbeitskräfte oder lediglich als sekundärer Kommunikationskanal – auf einen privaten Messenger wie WhatsApp zu setzen, kann für Unternehmen schwerwiegende rechtliche Konsequenzen haben. Denn für den DSGVO-konformen und sicheren Informationsaustausch im geschäftlichen Umfeld sind WhatsApp & Co. nicht geeignet.
Tools wie Microsoft Teams wiederum haben den Nachteil, dass sie nicht für typische Anwendungsfälle von Frontline-Workers ausgelegt sind: Funktionen wie etwa Alarmierung, Push-to-Talk, Fotobearbeitung und Geolokalisierung fehlen gänzlich und zudem benötigen mobile Arbeitskräfte sehr einfach und intuitive zu nutzende Apps. Hinzu kommt, dass selbst bei einem punktuellen Ausfall, wie es im Januar 2023 bei Microsoft 365 weltweit der Fall war, der Informationsaustausch im Unternehmen zum Erliegen kommen kann. Die IT-Abteilung ist in derartigen Fällen meist machtlos, wenn es keinen weiteren Kanal für die Kommunikation gibt.
2. Betriebssicherheit gewährleisten
Nur wenn Informationsflüsse stets unterbrechungsfrei gewährleistet sind, bleiben Unternehmen in jeder Situation handlungsfähig, egal, was geschieht. Folglich sollte eine Kommunikations-Software, zum Beispiel als Ergänzung zu Teams, eine hohe Verfügbarkeit und Ausfallsicherheit garantieren sowie Lastspitzen durch entsprechende Verteilung auffangen können. Dazu ist es wichtig, dass die Kommunikationslösung möglichst wenig Ansprüche an die Infrastruktur und Hardware stellt. Dazu gehört aber ebenso, dass sich das Tool vollautomatisiert und sicher installieren lässt, um mit wenig Aufwand schnell einsatzfähig zu sein.
3. Datensouveränität herstellen
Datensouveränität beschreibt die größtmögliche Hoheit und Kontrolle über interne Daten des Unternehmens ohne Zugriff oder Beschränkung durch Dritte. Ansonsten besteht die Gefahr, dass einerseits unternehmenseigene Daten auch von Software-Anbietern zu eigenen Zwecken genutzt werden und andererseits eine irgendwann nötige Migration zu alternativen Anbietern nicht ohne Weiteres möglich ist. Hier müssen IT-Verantwortliche im im Handwerksunternehmen prüfen, welche Einfluss-, Zugriff- und Kontrollmöglichkeiten es betriebsintern hat. Dazu gehören Aspekte wie eine freie Hostingauswahl beim Anbieter, der Serverstandort Deutschland, der Verzicht auf Metadatenerhebung und -analyse durch den Tool-Anbieter sowie die sichere Anbindung von Drittsystemen. Ebenso sollte die Lösung sichere, steuerbare App-Container, ein Whitelisting von Anwendern, ein Nutzerpooling sowie die Möglichkeit bieten, Datenspeicherungsfristen und Fernlöschung zentral im Unternehmen selbst zu regeln.
4. Cyberattacken vorbeugen
Der BSI-Lagebericht 2022 hat bereits verdeutlicht, dass die Zahl der Hackerangriffe und Cybersicherheitsvorfälle rasant zunimmt. Cybersicherheit ist damit das Top-Thema auf der IT-Agenda. Demzufolge muss auch eine sekundäre Kommunikationslösung entsprechende Sicherheitsanforderungen erfüllen, wie etwa die Umsetzung eines Zero-Trust-Prinzips, mit der sich unberechtigte Zugriffe durch Identifizierungs- und Authentifizierungsprozesse, beispielsweise über ein Zwei-Faktor-Verfahren, abwehren lassen. Der Nachweis, dass höchste Sicherheitsstandards gelten – etwa durch eine ISO-27001-Zertifizierung des Rechenzentrums – zählt ebenso dazu wie der dortige Einsatz modernster Schutzmechanismen: Das sind zum Beispiel Firewalls, Brandschutz und Sicherheitssoftware.
Genauso relevant sind die Durchführung regelmäßiger Sicherheitsanalysen durch den Tool-Anbieter, die die dauerhafte Funktionsfähigkeit von Schutzmaßnahmen gewährleisten, die Verschlüsselung von Nachrichten, Inhalten und Metadaten sowie Datenspeicherungs- und Übertragungsverschlüsselung. Obendrein sollte eine Autorisierung von Endgeräten via Mobile Device Management (MDM) und Enterprise Mobility Management (EMM) erfolgen.
5. Datenschutz einhalten
Besondere Anforderungen bestehen im Hinblick auf den Schutz von personenbezogenen Daten, die in Deutschland durch strenge Gesetze geregelt sind. Die IT-Abteilung sollte gemeinsam mit dem Datenschutzbeauftragten überprüfen, dass sich der Tool-Anbieter daran hält und beispielsweise die Grundsätze der Datensparsamkeit und -vermeidung in der Software abbildet. Es sollte keine komplizierten Datenschutzeinstellungen geben, sodass die Anonymisierung von Personendaten und weitere Schutzmaßnahmen gewährleistet sind. Prüfen sollten die IT-Verantwortlichen auch, wie die Authentifizierung der Nutzer:innen abläuft, wie die Datenspeicherung auf Endgeräten gelöst ist und wie sich Daten auch zuverlässig sichern oder löschen lassen. Selbst der Auftragsverarbeitungsvertrag (AVV), den das Unternehmen mit einem Kommunikationstool-Anbieter zu schließen verpflichtet ist, muss DSGVO-konform sein.
6. Compliance & Co. berücksichtigen
Zuweilen können weitere rechtliche Anforderungen eine Rolle spielen – wie etwa die Verschwiegenheitspflicht, notwendige Risikobeurteilungen oder die Archivierung von Daten. So ist es beispielweise notwendig, dass das Tool Berechtigungskonzepte und Sicherheitsrichtlinien des Unternehmens optimal abbilden kann. Ebenso sind Archivierungs- und Protokollierungsfunktionen gefragt oder die Möglichkeit, Revisoren und externen Prüfern Zugang zu dokumentierten Daten zu gewähren. Wichtig dabei ist, dass sich Revisor-Zugänge entsprechend auf die dafür nötigen Rechte beschränken lassen. Dies unterstützt ein revisionssicheres Arbeiten und die Compliance, ohne dass damit unnötig Daten verteilt werden müssen.