In vielen mittelständischen Unternehmen gehört das Arbeiten von unterwegs oder aus dem Home-Office spätestens seit der Corona-Pandemie zum Alltag. Die schnelle Umstellung auf die Arbeit in den eigenen vier Wänden hat zur Folge, dass sich Compliance-, Security- und Datenschutzanforderungen nicht überall in Windeseile rechtskonform umsetzen ließen.
Durch diese Entwicklung bringt der Digital Workplace verschiedene Gefahren mit sich – unter anderem auch für die Geschäftsführung, die im Falle von Versäumnissen im Bereich Risikoprävention persönlich haftet. Umso wichtiger ist es, dass Unternehmen ganzheitliche Strategien für ihre Digital Workplaces entwickeln, die die bestehenden Risiken eindämmen.
Auf dem Weg, die Gefahren des dezentralen Arbeitens auf ein Minimum zu reduzieren, stoßen viele Unternehmen schnell an ihre Grenzen. Von fehlenden Digital-Workplace-Konzepten über knappe (IT-) Ressourcen bis hin zur fehlenden Awareness für das Thema Datenschutz im Home-Office lauern eine ganze Reihe von Herausforderungen auf jene, die sich der Sache ganzheitlich nähern wollen.
Hinzukommt: Cloud-Saas-Dienste sind einem ständigen Wandel ausgesetzt. Um Funktionen regelmäßig zu aktualisieren oder neue Möglichkeiten freizuschalten, braucht es Fachwissen und freie Kapazitäten. Auch im Bereich Compliance sind besondere Kompetenzen gefragt, beispielsweise von der Rechtsabteilung, dem Betriebsrat und den Datenschutzverantwortlichen.
Naturgemäß kann ein IT-Leiter und sein Team allein nicht die notwendige Expertise bei Compliance- und Datenschutzfragen aufbringen. Eine Einschätzung, welche ganzheitlichen Maßnahmen nötig sind und wie sich diese in das Tagesgeschäft integrieren lassen, ist nur gemeinsam und in Zusammenarbeit mit den entsprechenden, internen Fachverantwortlichen möglich.
Versäumnisse mit teuren Konsequenzen
Im Bereich Datensicherheit spricht das Bundesministerium für Wirtschaft und Klimaschutz davon, dass etwa ein Viertel der KMUs ihre Unternehmensdaten nicht ausreichend sichern. Hier haben externe Angreifer leichtes Spiel. Leider erweist sich in diesem Zusammenhang der Digital Workplace noch viel zu oft als Schwachstelle.
Die Folgen sind in der Regel schwerwiegend: Ein vermeintlicher Security-Vorfall wandelt sich schnell in einen Compliance-Verstoß oder in eine Datenschutzverletzung. Dabei wird oft unterschätzt, welcher Schaden aus einem solchen Vorfall resultieren kann. Ein DSGVO-Verstoß kann 20 Millionen Euro oder 4 Prozent des Jahresumsatzes kosten – je nachdem, welcher Betrag höher ist. Die Strafgelder sind dabei nur eine Seite der Medaille. Reputationsverlust, hohe Kosten für die Datenwiederherstellung bilden die andere.
Dokumentation ist alles: Prozesse nachvollziehbar machen
Um die offenen Compliance- und Datenschutz-Baustellen frühzeitig zu erkennen, hilft es, ein internes Datenschutzprojekt aufzusetzen. Wichtig ist auch hier wieder ein gemischtes Projektteam – mindestens aber das Zusammenspiel von IT-Abteilung, Datenschutzmitarbeitern und Juristen. Da die Cloud einen kollaborativen Dreh- und Angelpunkt für den Digital Workplace bildet, lohnt es sich, hier anzusetzen.
Für deren Nutzung bietet sich ein Verarbeitungsverzeichnis an. Dieses beschreibt DSGVO-konform den Anwendungs-Umfang mit personenbezogenen Daten und Informationen. Eine Datenschutzfolgeabschätzung (kurz: DSFA) befasst sich zusätzlich mit der Cloud-Bereitstellung: Welche Gefahren liegen vor? Und welche Konsequenzen ergeben sich aus Fehlverhalten oder Compliance-Verstößen?
Abschließend sollte das Unternehmen eine Cloud Policy erstellen – als ganzheitliches Dokument. Sie beschreibt den gesamten Umfang und Inhalt der Datenwolke. Eingehen sollte sie zudem auf die unterschiedlichen Ebenen: Prozesse, Technik sowie Organisation.
Die Theorie allein reicht jedoch nicht aus. Aus dem Verfahrensverzeichnis, der Datenschutzfolgeabschätzung und der Cloud Policy müssen Betriebe konkrete Maßnahmen ableiten. Auch hier gilt: Eine enge Abstimmung mit allen relevanten Stakeholdern bringt erst den gewünschten Mehrwert.
IT-Security im Cloud-Zeitalter
Durch die weltweit bereitgestellten Cloud-Dienste verlagert sich das Risiko auch im Digital Workplace hin zu den sogenannten Cloud-Identitäten. Sie gelten gemeinhin als gefährdet. Gibt ein Mitarbeiter seinen Benutzernamen plus Kennwort einer Cloud-Identität mutwillig oder versehentlich preis, erhält ein Angreifer schnell Zugriff auf kritische Unternehmensinformationen. Zudem können sich Cyber-Kriminelle so weitere Identitäten beschaffen.
Es ist deshalb wichtig, dass sich Unternehmen mit einem Zero-Trust-Sicherheitskonzept beschäftigen – das den Anforderungen im Cloud-Zeitalter optimal entspricht. Es setzt voraus, dass sich jede Identität regelmäßig neu beweisen muss. Dabei unterstützen Prüfmechanismen wie Multi-Faktor-Sicherheitscodes: Zusätzlich zu dem User-Namen und dem Kennwort ist ein weiterer Faktor nötig, der den Eigentümer der Identität bestätigt.
Ganzheitlich zum sicheren Digital Workplace
Das solide Fundament des digitalen Arbeitsplatzes besteht naturgemäß aus weit mehr als den hier erwähnten Maßnahmen. Angereichert wird es zum Beispiel auch durch Schulungen und Trainings für Mitarbeitende. Denn es ist notwendig, dass die Digital-Workplace-Nutzer verstehen, worin die Gefahren bestehen und wie sie diese aktiv vermeiden.
Auf dem Weg hin zu ganzheitlichen Konzepten, die Compliance, Datenschutz, IT-Security und Cloud-Potenzialen gerecht werden, sind oft externe Spezialisten hilfreich. Sie helfen bei bekannten Fallstricken und begleiten auch über die erfolgreiche Implementierung dezentraler Arbeitsplatzstrategien hinaus.
Rahul Sharma ist Head of Microsoft Business Productivity im Bereich Cyber Security & Cloud Consulting bei der q.beyond AG.
