IT-Sicherheit im Mittelstand, Teil 3: Wo die größten IT-Sicherheitsrisiken lauern

Im Bundesdatenschutzgesetz. Das schlägt vor allem dann Funken, wenn es an die steuerrechtlichen Aufbewahrungspflichten knallt, so dass zwischen Archivpflichten und Löschfristen kaum mehr Luft bleibt. Neben Kundeninformationen rücken außerdem die Mitarbeiterdaten ins Blickfeld des Gesetzgebers.

Überwachung mit Hindernissen

Von Sabine Philipp

Der Mitarbeiterdatenschutz, auf den Teil 2 dieser Serie bereits zu sprechen kam, soll sogar noch verschärft werden. Aktuell arbeitet die Legislative an einem Gesetz zur Regelung des Beschäftigtendatenschutzes. Vor allem die Überwachung mit Kameras soll strenger reglementiert werden. „Die Videoüberwachung soll generell verboten werden“, erläutert Pohl. „Oder sie muss vorher angekündigt werden.“ Sie dürfen nur an Sicherheitsarbeitsplätzen dauerhaft angebracht werden, um Unfälle bei der Produktion nachvollziehen zu können. Denn wenn ein Arbeiter auf der Treppe ausrutscht und in den Fleischwolf fasst, könnte man diesen Umstand ansonsten nicht mehr ermitteln.

Ein besonderes Augenmerk wirft der Gesetzgeber auch auf den Umgang mit sozialen Netzwerken in Fragen der Mitarbeitersuche und -überwachung. Der Arbeitgeber darf keine Daten daraus erheben. Ausnahmen stellen Netzwerke zur Darstellung der beruflichen Qualifikation ihrer Mitglieder dar.

Archivieren oder löschen?

Der erhöhte Datenschutz betrifft aber nicht nur die eigenen Mitarbeiter, sondern auch die Kunden. Und das schon seit der Datenschutznovelle II vom September 2009. „Die Hamburger Sparkasse musste 200.000 Euro Strafe zahlen, weil freiberufliche Anlageberater, die ausschließlich für das Institut arbeiteten, die Kundendaten zur Verfügung gestellt bekamen“, berichtet Pohl. „Das war nach § 4 Bundesdatenschutzgesetz eine unzulässige Überlassung der Daten.“

Wichtig: Diese Übersicht dient lediglich der Orientierung und ersetzt keinesfalls die fach­männische Beratung durch Rechts­experten. Die Inhalte wurden sorg­fältig recherchiert, dennoch sind Ab­weichungen vom tat­sächlichen Sach­verhalt nicht auszuschließen.
Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Wer also seinen Vertrieb an eine andere Firma oder an Freiberufler auslagert, muss die Einwilligung der Kunden einholen, dass die Daten weitergegeben werden dürfen. Ausgenommen sind Betriebsübernahmen, weil die Geschäftsverbindung weiter besteht und Bestandskunden kontaktiert werden dürfen, wenn sie nicht widersprechen.

AndreasPohl.jpg

Andreas Pohl von der Pohl Con­sulting Team GmbH ist ge­lern­ter Kom­munikations­elektroniker für In­for­ma­tions­technik und seit über 20 Jahren in der Branche tätig. Der Spezia­list für IT-bedingte Unter­nehmens­risiken, IT-Security und Daten­schutz ist zerti­fi­zierter IT-Security Senior Con­sultant, ge­prüf­ter EDV-Sach­ver­ständiger, ge­prüf­ter Daten­schutz­beauftragter und zerti­fi­zierter IT-Com­pliance-Manager.


Pohl Consulting Team GmbH, Mengeringhäuser Str. 15, 34454 Bad Arolsen, Tel.: 05691-8900501, info@pct.eu, www.pct.eu

Ein besonders heikler Punkt sind personenbezogene E-Mails, die nicht steuerrelevant sind und daher nicht archiviert werden müssen. Nach § 3a Bundesdatenschutzgesetz müssen sie nach drei Monaten gelöscht werden. Das besagt der Grundsatz der Datenvermeidung. Pohl: „Wenn ich Ihnen maile: ,Hallo lieber Kunde, ich wollte nur fragen, ob der Urlaub schön war‘ und er antwortet ,Ja‘, dann muss ich die Post löschen.“

Kritisch kann das bei Unternehmen werden, die automatisch alle Mails ins Archiv schieben und dann gar nicht mehr löschen können, weil die Lösung das nicht erlaubt. „Eigentlich ist das Unsinn, weil Sie nur eine Änderung verweigern müssen“, so Pohl. „Problematisch wird es, wenn der Kunde ein Auskunftsersuchen nach Bundesdatenschutzgesetz fordert, bei dem ich dokumentieren muss, wo ich überall Daten von ihm gespeichert habe. Solche Mails werden gerne vergessen. Wenn dann im Nachhinein herauskommt, dass ich noch mehr gespeichert habe, bin ich schadensersatzpflichtig.“

Um dieses Problem zu lösen, hat Pohl einen pragmatischen Ansatz gewählt: Er vereinbarte schriftlich mit seinen Mitarbeitern, dass sie für ihr Postfach verantwortlich sind und Sorge dafür tragen müssen, dass diese Mails innerhalb der Frist gelöscht werden können. Wenn sie das nicht tun, willigen sie in die Archivierung ein.

Systematisch durchspielen

Die IT-Sicherheit schließt also nicht nur technische Lösungen, sondern auch die IT-Organisation mit ein. „Für den normalen mittelständischen Kunden gibt ca. 180 Gesetze und Vorschriften, wenn er IT und Telekommunikation einsetzt“, gibt Pohl zu bedenken. „Das macht die Sache kompliziert.“

Serie: IT-Sicherheit im Mittelstand
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risiko­katalog bis hin zu den Haftungs­fragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Com­pliance-Vor­schriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.

Der Datenschutzexperte setzt daher nicht auf einzelne Produkte, um die Sicherheit zu erhöhen, sondern auf Konzepte. „Es ist ja nicht so, dass Sie sich einen Virenschutz kaufen und damit automatisch sicher sind. Sie müssen sich Ihrer Schwachstellen bewusst sein, und eine Schwachstelle kann sein, dass Sie Virenschutz brauchen.“ Die IT-Sicherheit vergleicht der Experte gerne mit einer Kette, die nur so stark sein kann wie das schwächste Glied. In deutschen Unternehmen ist man sich dieser Problematik zunehmend bewusst. Pohl selbst stellt den Trend fest, dass die Sicherheit systematisch aufbereitet wird.

Fazit: Vorsprung auf der Zielgeraden

Doch nicht nur die Kunden gehen verstärkt mit System vor – auch die Ganoven sind organisierter geworden. So hat sich inzwischen eine ganze Cybercrime-Industrie entwickelt.

Besonders populär sind Botnetze für den Versand von Viren oder Spam. Bots sind gekaperte, ferngesteuerte Rechner, die für den illegalen Massenversand von Nachrichten verwendet werden. Spams kann man längst zu festen Stückpreisen buchen.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Aber auch die Auftragsarbeit blüht. „Es ist definitiv so, dass Sie sich schon für 25 Euro in Russland, im Kaukasus oder in China einen Virus schreiben lassen können,“ warnt Pohl am Ende. Zu Jahresbeginn 2011 konnte man sogar von Crackern lesen, die den Zugang zu Militär- und Regierungsseiten verkauften. Das Wettrüsten hat längst begonnen.

Nützliche Links