Datenschutzgrundverordnung bringt Verstöße ans Licht Schatten-IT gehört aufgedeckt
4. Oktober 2017Neun von zehn Cyber-Angriffen starten mit einer E-Mail. Das ist insbesondere im Hinblick auf gesetzliche Regelungen wie die EU-weit beschlossene und im Mai 2018 umgesetzte Datenschutzgrundverordnung relevant. Sobald sie endgültig in Kraft tritt, müssen betroffene Unternehmen Datenschutzverletzungen anzeigen.
Schattenspiele
Gerade große digitale Datenmengen, die sich nicht per E-Mail versenden lassen, können Mitarbeiter dazu verleiten, andere Hilfsmittel zu verwenden – wie USB-Sticks, File-Sharing-Lösungen oder Cloud-Dienste, die sie vor allem aus dem privaten Bereich kennen. Das Ergebnis ist der unter dem Schlagwort „Schatten-IT“ bekannte Einsatz nicht autorisierter Software im Unternehmen.
Oft sind damit Kommunikationsvorgänge verbunden, die protokolliert und archiviert werden müssten, ohne dass ein Archivsystem angebunden ist. Oder es ist nur die Archivierung der E-Mails möglich, nicht aber die großer Dateien. Damit sie von den Anwendern auch angenommen werden, sollten entsprechende Lösungen einfach zu bedienen und nicht „nur“ im Unternehmen bequem einzurichten sowie für die Administratoren komfortabel zu verwalten sein.
Bei Licht betrachtet sind es einige Herausforderungen, von denen Unternehmen stehen. Der Software-Anbieter Befine Solutions aus Freiburg im Breisgau adressiert diese mit der auf der it-sa 2017 vorgestellten Version des Cryptshare-Servers. Dessen zentrale Neuerung ist die Möglichkeit, alle ein- und ausgehenden Dateien und E-Mail-Nachrichten vollumfänglich an ein Archivierungs- oder Dokumentenmanagementsystem zu übergeben.
Apropos E-Mail – ihr kommt hierbei eine besondere Bedeutung zu. Denn einerseits hat sie sich gerade im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar. Andererseits kommen gerade hier Sicherheitsfragen ins Spiel: E-Mail-Systeme sind ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen – neun von zehn Cyber-Angriffen starten mit einer E-Mail.
Problemfeld E-Mail
Das ist insbesondere im Hinblick auf gesetzliche Regelungen wie die EU-weit beschlossene und im Mai 2018 umgesetzte Datenschutzgrundverordnung relevant. Sobald sie endgültig in Kraft tritt, müssen betroffene Unternehmen Datenschutzverletzungen anzeigen. Das können beispielsweise auch die unbeabsichtigte Veröffentlichung von persönlichen Kundeninformationen durch eine Bank, die Offenlegung von Forschungsinformationen eines Pharma-Unternehmens oder der Verlust von Konstruktionszeichnungen eines Ingenieurbüros sein.
Einige Unternehmen und Einrichtungen beispielsweise aus dem Gesundheitswesen, der Verwaltung, aber auch Banken, Versicherungen oder Betreiber kritischer Infrastrukturen stehen hierbei unter besonders strenger Beobachtung von Regulierungsbehörden. Zumal den Betroffenen nicht nur wirtschaftlicher Schaden entsteht, wenn vertrauliche Informationen – versehentlich oder absichtlich – in die falschen Hände gelangen, auch der potenzielle Reputationsschaden sollte nicht unterschätzt werden.
Ein wichtiger Compliance-Standard, den die EU-DSGVO fordert, ist das Klassifizieren von Daten. Cryptshare wurde daher um eine Funktion erweitert, mit der Unternehmen gesetzliche Vorgaben im Hinblick auf ihre elektronische Kommunikation erfüllen sowie eigene Richtlinien einfach und flexibel umsetzen können. Die E-Mail-Schutz-Klassifizierung ermöglicht es den Anwendern, Daten nach dem Grad ihrer Schutzbedürftigkeit einzustufen, um jede ausgehende Nachricht mit einem adäquaten Sicherheitsgrad versenden zu können. Konkret bedeutet dies, dass beispielsweise streng vertrauliche Patientendaten zwingend als verschlüsselter Anhang mit einem Einmal-Passwort und mit nachvollziehbarer Empfangsbestätigung versendet werden müssen.
Datenschutzverletzungen
Für die Mitarbeiter ändert sich kaum etwas. Sie sehen lediglich eine zusätzliche Schaltfläche („E-Mail-Schutz-Klassifizierung“), die alle im Unternehmen vorhandenen Schutzklassen auflistet, und finden Erklärungen zu deren Bedeutung im Transfer-Dialog. So werden sie über die Bedeutung der Schutzklassen informiert und für das Sicherheitsniveau ihrer Daten sensibilisiert, wie es in der DSGVO gefordert wird.
Die Absender sind jederzeit in der Lage, nachzuvollziehen, mit welcher Klassifizierung bestimmte Nachrichten versendet wurden. Optisch wird dies dadurch unterstützt, dass jede Schutzklasse eine eindeutige farbliche Kennzeichnung erhält. Im Ordner „gesendete Nachrichten“ ist damit sofort ersichtlich, welche Schutzklassen angewendet wurden. Wichtig aus Sicht der Administratoren wiederum ist, dass die Klassifizierung auch server-seitig mitprotokolliert wird. So können auch sie nachvollziehen, welche Klassifizierungsstufe ausgewählt war.
Der sprichwörtliche Teufel steckt oft im Detail, auch beim Versand von E-Mails. Hier ist es hilfreich, wenn auch die Empfänger sehen, mit welcher Klassifizierungsstufe eine Nachricht versehen ist: Wenn sie eine Nachricht ablegen, archivieren oder an interne oder externe Kontakte weiterleiten, können sie entsprechend reagieren. Über die Klassifizierung lässt sich zudem der Empfängerkreis steuern, was das versehentliche Versenden vertraulicher Nachrichten an falsche Adressaten unterbindet: Wenn beispielsweise die Klassifizierungsstufe „Personalabteilung intern“ ausgewählt ist, erreicht eine Nachricht erst gar nicht die falschen Adressaten.
Als deutscher Anbieter ist Befine Solutions dem weltweit strengsten Datenschutz verpflichtet: dem deutschen. Nicht zuletzt deshalb sind in Cryptshare keine Schnittstellen eingebaut, mit denen Geheimdienste unbefugt mitlesen könnten. In diesem Zusammenhang ist auch das Engagement in verschiedenen Initiativen zu sehen, die sich der IT-Sicherheit und dem Datenschutz verschrieben haben: Befine Solutions ist beispielsweise Mitglied der Initiative „IT Security made in Germany“ von TeleTrusT, dem Bundesverband IT-Sicherheit e.V., und in Nürnberg an dessen Gemeinschaftsstand vertreten.
Zu finden ist Befine/Cryptshare auf der it-sa 2017 auf dem Gemeinschaftsstand Teletrust in Halle 10, Stand 10.0-409.
Dominik Lehr
ist Gründer und Vorstand der Befine Solutions AG, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.