Datensicherheit und Datenschutz: Die richtige Software macht’s

Mit ihrer IT-Security nehmen es viele Firmen nicht so genau. Und auch das Thema Datenschutz wird von Anwenderunternehmen oft zu nachlässig behandelt. Nicht selten sind Softwarelösungen im Einsatz, die den aktuellen gesetzlichen Anforderungen nicht entsprechen. Das wird zu einem immer heikleren Thema. Denn ab 2018 greift die neue EU-Datenschutz-Grundverordnung. In ihr wurden die Restriktionen, die bei Verstößen drohen, noch einmal verschärft. Darum ist es umso wichtiger, auf eine sichere und bewährte Software wie die von easySoft zu setzen.

Datenschutzgrundverordnung: Was ist zu beachten?

Im Mai 2018 ist es soweit: Die neue Datenschutzgrundverordnung der EU (EU-DSGVO) tritt in Kraft. Allzu viel wird sich im Vergleich zum aktuell geltenden Recht nicht ändern. Inhaltlich orientiert sich die EU-DSGVO nämlich weitgehend an dem, was der Gesetzgeber in Deutschland ohnehin schon vorschreibt. Es sind zwar ein paar Veränderungen vorgesehen, doch die sind eher marginal.

Gar nicht marginal sind dagegen die Konsequenzen, die bei Verstößen drohen. Diese fallen deutlich schmerzhafter aus als bisher. So sind bei einer Zuwiderhandlung gegen die EU-DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes fällig. Eingezogen wird der jeweils höhere Betrag. Unternehmen kann das im Zweifel die Existenz kosten.

Datenschutz: Sensibles Thema für HR

Besonders vorsichtig müssen Personalbereiche sein. Sie hantieren mit personenbezogenen Daten, die per Gesetz besonders geschützt werden müssen. Die Krux an der Sache: Wäre die Datenschutzgrundverordnung bereits in Kraft getreten, müsste eher eine größere als eine kleinere Zahl an Unternehmen mit massiven Strafen rechnen.

Das ist das Ergebnis einer aktuellen Studie, die untersucht hat, wie gut Unternehmen auf die kommenden Datenschutzregeln vorbereitet sind. Das Ergebnis kommt einem Desaster nahe. Zwar erklärte fast ein Drittel der Befragten, man würde die wichtigsten Regelungen der Verordnung kennen und auch erfüllen.

Bei tiefergehenden Fragen kam allerdings der größte Teil ins Schlingern. Gerade einmal zwei Prozent der Unternehmen sind tatsächlich angemessen auf die neue Datenschutzverordnung vorbereitet.

Welche Probleme Unternehmen mit dem Datenschutz haben

Probleme bereitet zum Beispiel der Umgang mit Datenschutzverletzungen. So muss der Verlust personenbezogener Daten künftig binnen 72 Stunden gemeldet werden. Die meisten Firmen können das so nicht gewährleisten. Auch das bald in Kraft tretende „Recht auf Vergessenwerden“, nach dem Verbraucher eine vollständige Löschung ihrer Daten einfordern können, kann zum aktuellen Zeitpunkt längst nicht jedes Unternehmen in der erforderlichen Zeit umsetzen.

Eine Verbesserung ist nicht in Sicht. Denn nur die wenigsten Firmen stellen für das Thema Datenschutz explizit Mitarbeiter ab. Hinzu kommt, dass auch technische Maßnahmen zum Schutz der unternehmenseigenen IT nur in seltenen Fällen angemessen umgesetzt werden.

Die Tendenz ist sogar sinkend! Laut dem „Cisco Annual Security Report 2016“ reduzierte sich die Zahl der Unternehmen mit einer optimalen Sicherheits-Infrastruktur von 2014 auf 2015 um zehn Prozent.

Cyber-Attacken nehmen zu

Ein alarmierendes Ergebnis! Denn in den vergangenen Jahren erhöhte sich die Anzahl unternehmenskritischer Sicherheitsvorfälle weltweit um 38 Prozent. Experten gehen davon aus, dass sich neben der Anzahl auch die Intensität der Attacken erhöhen wird.

Um das zu vermeiden, sollten Unternehmen ihre IT-Infrastruktur aus technischer Sicht auf den neuesten Sicherheits-Stand bringen und überdies von einem Datenschutzexperten überprüfen lassen, ob alle Vorgänge, bei denen Daten transferiert, bearbeitet oder vorgehalten werden, gesetzeskonform abgewickelt werden.

Auf der sicheren Seite sind Betriebe insbesondere im HR-Bereich aufgestellt, die auf eine datenschutzkonforme und sichere Software wie die von easySoft setzen. Sie verfügt über alle Vorkehrungen und Funktionen, die modernen Sicherheitsrichtlinien und Datenschutzanforderungen Rechnung tragen und steht als Inhouse- oder Cloud-Variante zur Verfügung.

Ist Cloud-Software anfälliger für Cyber-Attacken?

Im letzten Fall werden alle Daten bei dem Cloud-Anbieter gehostet und über eine sichere Verbindung von dem Anwender per W-LAN abgerufen. Allgemein werden Cloud-Lösungen immer populärer. 17 Prozent der Unternehmen nehmen bereits die Angebote externer Cloud-Services wahr. Weitere neun Prozent planen dies konkret. Wichtigstes Kriterium für die Wahl des Cloud-Anbieters ist für sie die Gewährleistung der Datensicherheit.

Das widerspricht sich keinesfalls. Oftmals sind Cloud-Anwendungen sogar sicherer als Inhouse-Lösungen, da in großen Rechenzentren viel komplexere Sicherheits- und Datenschutzkonzepte zum Standard gehören, die regelmäßig upgedatet werden. Bei den meisten Cloud-Anbietern gehören sichere Verbindungen schon lange zum guten Ton. Durchgesetzt haben sich hier zum Beispiel SSL- oder TSL-Verschlüsselungen oder VPN.

Den richtigen Anbieter finden

Aber wie heißt es so schön? „Drum prüfe, wer sich bindet.“ Worauf sollten Kunden achten? Zum Beispiel geben einschlägige Zertifizierungen eines Cloud-Dienstleisters Auskunft, wie er es in seinem Rechenzentrum mit seiner IT-Security und dem Thema Datenschutz hält.

Große Sicherheit bietet zum Beispiel eine Zertifizierung nach ISO/IEC 27001. ISO/IEC 27001 bietet Unternehmen ein Gerüst für den Aufbau eines wirksamen Informationssicherheitsmanagementsystems (ISMS) und spezifiziert Anforderungen zur Identifizierung, Analyse und Implementierung von Kontrollen, mit denen Risiken hinsichtlich Informationssicherheit gemanagt und die Integrität geschäftskritischer Daten sichergestellt werden.

Ähnlich funktionieren Zertifikate wie der ISAE 3000-Bericht. ISAE steht für „International Standard On Assurance Engagements”. Das Zertifikat setzt eine regelmäßige Überprüfung von einem unabhängigen EDP- und Buchprüfer voraus und bescheinigt dem Inhaber eine nach genau festgelegten Normen Standardisierung der internen Prozesse zur Qualitätssicherheit. Auch die Informationssicherung ist ein fester Bestandteil von ISAE 3000. Kunden können also darauf bauen, dass der sichere und vertrauliche Umgang mit ihren Daten hier Programm ist.

Anbieter sollten sich Fragen nicht verweigern

Prinzipiell sind Cloud-Betreiber für die Sicherheit ihrer Cloud selbst verantwortlich und die meisten gehen mit dieser Verantwortung auch sorgsam um. Aber es gibt auch schwarze Schafe. Daher sollten sich Anwender bei offenen Fragen in punkto Datenschutz und IT-Security unbedingt direkt an den Cloud-Lösungsanbieter wenden und sich beraten lassen. Sicher ist sicher.

Dieser sollte den eingeforderten Auskünften über alle kritischen Bereiche des Datenschutzes und der IT-Security nicht aus dem Weg gehen. Wichtig ist zum Beispiel, dass die Lösungsanbieter ihre Clouds nicht mit veralteten Software-Versionen betreiben, die eine zu schlechte Absicherung gewährleisten. Das ist fahrlässig und macht es Kriminellen zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.

Der Standort des Servers

Auch der Standort des Servers ist relevant. In Amerika darf der Staat zum Beispiel unter Berufung auf den seit 2001 gültigen „Patriot Act“ ohne jede richterliche Verfügung auf die Server von US-Unternehmen zugreifen. Dieses Recht erstreckt sich auch auf die europäischen Tochtergesellschaften von US-Firmen.

Aufgrund dieser Rechtsproblematik fragen Unternehmen zunehmend die Cloud-Angebote von nichtamerikanischen IT-Dienstleistern nach, deren Server sich auf europäischen Boden befinden. Nur diese unterstehen den strengen europäischen Datenschutzrichtlinien.

Das ist besonders für Kunden aus heiklen Branchen wie Anwaltskanzleien, Treuhandfirmen, Ingenieurbüros, Forschungseinrichtungen und Versicherungen relevant –  oder eben auch für Personaldienstleister sowie HR-Abteilungen. Wobei easySoft-Anwender sich nicht sorgen müssen: Sie haben mit ihrer Wahl definitiv die richtige Entscheidung getroffen.