Viele Unternehmen kennen es: In der Theorie herrscht eine klare Regelung, wie die Vorgaben der DSGVO im eigenen Betrieb umgesetzt werden sollen. Doch in der Praxis sieht es häufig ganz anders aus. Selten gehen Mitarbeiter absichtlich fahrlässig mit sensiblen Daten um.
Vielmehr fehlt ihnen vermeintlich die Zeit, sich genügend mit dem Thema auseinanderzusetzen, oder der Blick darauf, dass sie mit ihrem Verhalten gegen die DSGVO verstoßen. Aber genau diese Verstöße können dem Unternehmen im Ernstfall ein hohes Bußgeld einbringen. „Zwischen Theorie und Praxis herrscht häufig eine Diskrepanz – auch in Sachen Datenschutz. Daher müssen Führungskräfte ihre Mitarbeiter kontinuierlich damit konfrontieren und sensibilisieren“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.
Vertrauen ist nicht immer gut
Moderne Unternehmenssoftware wird immer intelligenter und ist – vermeintlich – immer besser vor Hacker-Angriffen geschützt. Deswegen setzen Betrüger nun häufiger auf den Menschen als Schwachstelle. Eine Methode stellt das sogenannte Social Engineering dar, bei dem eine zwischenmenschliche Beeinflussung stattfindet, mit dem Ziel, bestimmte Verhaltensweisen bei Personen hervorzurufen und so an vertrauliche Informationen zu gelangen. Social Engineers täuschen dafür Identitäten vor und geben sich etwa als Techniker oder Führungskraft aus, um so geheime Unternehmensinformationen oder persönliche Passwörter abzufragen. „Mitarbeiter sollten daher E-Mails und Anrufen von unbekannten Personen skeptisch gegenüberstehen und vertrauliche Daten nicht einfach weitergeben“, rät Hösel.
Gefährliche E-Mails
Im Gegensatz zum wesentlich individuelleren Social Engineering stellen aber auch Phishing-Mails eine Gefahr dar. Kriminelle bringen dabei E-Mail-Empfänger entweder durch einen Trick dazu, ihre Daten freiwillig weiterzugeben, oder nutzen Spyware, die heimlich im Hintergrund Daten ausspioniert. Das Kunstwort Phishing leitet sich aus den englischen Begriffen „password“ und „fishing“ ab. Zwar glauben viele Menschen, dafür unempfänglich zu sein, dennoch erfreut sich diese Methode nicht ohne Grund bereits seit Jahren großer Beliebtheit unter Betrügern.
Mittlerweile stellt es sich als immer schwieriger heraus, eine falsche E-Mail als solche zu erkennen, da Kriminelle immer bessere Methoden entwickelt haben, um an die Daten von Nutzern zu kommen. Sie verwenden beispielsweise E-Mailadressen, die ähnlich aussehen wie die bekannter Nutzer, sich aber doch marginal unterscheiden. Beim sogenannten Pharming setzen sich Hacker zwischen Anwender und Originalwebsite, sodass dieser selbst mit korrekt eingegebener Internetadresse eine gefälschte Webseite aufruft und dort sensible Daten preisgibt. „In diesem Fall bietet es sich vor allem an, immer spezielle Schutzprogramme auf den Endgeräten zu installieren und diese regelmäßig zu aktualisieren“, meint Hösel. Bei E-Mails, die sie verunsichern oder auch nur einen kleinen Funken des Zweifels hervorrufen, sollten Mitarbeiter zuerst innehalten und reflektieren und sich im Zweifel lieber telefonisch beim betreffenden Kunden oder Dienstleister erkundigen.
Sichere Passwörter
Auch wenn wahrscheinlich jeder davon gehört hat, dass ein sicheres Passwort aus mindestens acht Zeichen, darunter Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen, bestehen soll, stellen sie noch immer eine große Sicherheitslücke in Unternehmen dar. Mitarbeiter verwenden oftmals über Jahre hinweg stets dieselben Passwörter, die häufig aus simplen Zahlenfolgen wie 123456 oder den auf der Tastatur nebeneinanderliegenden Buchstaben QWERT bestehen. Auch Textdateien, die alle relevanten Logins des Unternehmens auflisten und auf den Rechnern der Mitarbeiter gespeichert sind oder ausgedruckt auf dem Schreibtisch liegen, stellen ein leichtes Ziel für Betrüger dar.
Da sich die meisten Menschen aber die Vielzahl unterschiedlicher und möglichst komplizierter Passwörter nicht merken können, bieten sich sogenannte Passwort-Manager an. Sie erzeugen und speichern sichere Passwörter verschlüsselt und füllen sie automatisch beim Login aus. „Wir bieten einen speziellen Passwort-Generator, der so groß wie eine Scheckkarte ist, und es den Mitarbeitern ermöglicht auf einfache Weise hoch komplexe Passwörter zu generieren, die sie sich dennoch einfach merken können.“, so Hösel
In den Alltag integrieren
Generell gilt für jedes Unternehmen, das mit personenbezogenen oder -beziehbaren Daten umgeht, die technischen und organisatorischen Maßnahmen, die es zum Schutz dieser Daten ergreift, festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Doch auch im Alltag sollten Führungskräfte ihre Mitarbeiter an datenschutzkonformes Verhalten erinnern.
So sollte es eigentlich als selbstverständlich gelten, dass sensible Daten wie Personalunterlagen nicht offen auf dem Schreibtisch liegen. Hösel rät ebenfalls: „Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden.“ Führungskräften kommt bei der Einhaltung der DSGVO eine besondere Bedeutung zu. Es genügt nicht, Mitarbeitern bloß das Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein.
www.hubit.de