Schlagwortarchiv für: DSGVO

Lesedauer ‚Alles Wissenswerte für den Einsatz von Microsoft Planner‘ 6 Minuten

Microsoft Planner ist ein cloudbasiertes Management-Werkzeug das Firmen dabei hilft, Aufgaben und Projekte besser zu organisieren und zu verfolgen. Durch seine einfache Bedienung ermöglicht Planner es, die tägliche Arbeit effizienter zu organisieren. Für wen die Anwendung attraktiv ist, was Microsoft Planner alles kann und ob das Werkzeug DSGVO-konform ist, erfahren Sie im nachfolgenden Blogbeitrag.

Kollaboration leicht gemacht: Das ist das Motto von Microsoft Planner. Das Programm gibt Anwendern ein Werkzeug an die Hand, mit welchem sie anstehende Arbeiten im Aufgaben- oder Projektrahmen bequem organisieren und verwalten können. Mit Microsoft Planner erzeugen Teams mühelos neue To-dos, sortieren Aufgaben und weisen diese zu, geben Dokumente frei, diskutieren aktuelle Tätigkeiten im Chat und behalten den Projektfortschritt jederzeit im Auge. Des Weiteren können Kommentare und Anhänge hinzugefügt werden, um die Aufgabenerledigung optimal zu unterstützen. Kurzum: Mit Microsoft Planner kann man Arbeiten planen, koordinieren und deren Erledigung nachhalten.

Microsoft Planner zu benutzen ist eine gute Gelegenheit, um die Produktivität im Unternehmen nachhaltig zu steigern. Das Programm ist intuitiv und sehr einfach zu bedienen – so wird die Strukturierung sämtlicher To-Dos zum Kinderspiel. Durch die Aufteilung in verschiedene Listen (sogenannte ‚Buckets‘) sowie die Vergabe von Fälligkeiten und indivdualisierbare Benachrichtigungseinstellungen werden Nutzer kontinuierlich bei der Einhaltung und Erledigung ihrer Termine unterstützt.

Planner ist für sämtliche Business-Abonnenten von Microsoft 365 kostenfrei erhältlich. Die Anwendung ist für Windows und Mac sowie als Web-Anwendung via Browser und ebenso für mobile Endgeräte (Android + iOS) verfügbar.

Microsoft Planner, To-Do und Project Online – ist das nicht das gleiche?

Bietet Planner nicht die gleiche Funktionalität wie Microsoft To-Do oder Project Online? Ganz klar: Nein. Zwar ist To-Do auch eine Software-Lösung aus dem Hause Microsoft mit dem Ziel der Aufgaben- und Terminorganisation. Allerdings bewegt man sich mit Microsoft To-Do im ‚Mikrokosmos‘ einer Einzelperson. Zwar verschafft es jedem Mitarbeiter bzw. jeder Mitarbeiterin eine individuelle Übersicht über eigene oder zugewiesene Aufgaben – hier endet die Kapazität der Anwendung dann aber auch schon. Für Kollaboration und die eigentliche Gruppenarbeit ist wiederum Microsoft Planner ideal geeignet – für Projekte in kleinen bis mittelgroßen Gruppen. Hochkomplexe Projekte mit interdisziplinären, großen Projektteams verwalten Unternehmen am besten mit Microsoft Project Online.

Welche Vorteile der Einsatz von Microsoft Planner mit sich bringt

Microsoft Planner unterstützt agile Arbeitstechniken wie Kanban oder Scrum. Es liefert zum Beispiel ein sog. Kanban-Board, auf welchem sich Aufgaben ganz mühelos verwalten und per Drag & Drop je nach Aufgabenstatus zuordnen lassen. Sein volles Potenzial entfaltet die Lösung, wenn es im Team gebraucht wird. Speziell für kleine und mittelständische Unternehmen bietet das Werkzeug vielfältige Möglichkeiten zur Produktivitätssteigerung und Optimierung der Team-Kommunikation.

Vergleichen lässt sich das das Werkzeug am ehesten mit Lösungen anderer Anbieter wie Trello, Asana oder Jira. Im Gegensatz zu diesen verfügt Microsoft Planner allerdings über einen entscheidenden Vorteil: Die nahtlose Integration in das Microsoft-Ökosystem. Mit Schnittstellen zu Outlook, SharePoint und Microsoft Teams ist die Verfügbarkeit aller relevanten Informationen lückenlos. Für Unternehmen, die daher bereits eines oder mehrere dieser Programme einsetzen, ist Microsoft Planner eine sinnvolle Ergänzung ihrer Software-Landschaft. Zumal der Gebrauch – wie zuvor erwähnt – für Inhaber eines Business-Abonnements (aber auch für Enterprise-Kunden sowie im Rahmen von Education Office 365-Abonnements) kostenlos ist. So vermeiden Sie zusätzliche Lizenzkosten – in Zeiten wie diesen ein schlagkräftiges Argument für den Einsatz von Microsoft Planner als Projekt- und Aufgabenmanagement-Tool.

Ist Microsoft Planner DSGVO-konform?

Unternehmen, die über den Einsatz von Microsoft Planner nachdenken, haben mit hoher Wahrscheinlichkeit schon Microsoft 365 im Unternehmen etabliert. Aufgrund dieser Tatsache ist davon auszugehen, dass das Thema Datenschutz (und DSGVO) bereits durchleuchtet wurde. Für alle 365-User, die sich damit noch nicht beschäftigt haben oder im – eher unwahrscheinlichen – Fall, dass die Einführung von Planner als Einstieg in den Microsoft-Kosmos dient, sei hier deutlich angemerkt, dass dies schleunigst geschehen sollte. Denn tatsächlich kann es – bei mangelnder Vorbereitung – zu Konflikten zwischen dem in den USA ansässigen Microsoft und dem europäischen Recht kommen.

In diesem Zusammenhang raten wir allen Microsoft 365-Usern, unbedingt eine Risikobewertung durchzuführen sowie – im Hinblick auf den Datenschutz – außerdem eine strenge Konfiguration aller genutzen Services vorzunehmen. Konkret bedeutet das: Deaktivieren Sie in jedem Fall alle Services, die Sie nicht zwingend benötigen. Und – weitaus komplexer, jedoch umso wichtiger – deaktivieren Sie alle Dienste, die nicht auf EU-Servern gehostet werden.

Wer seine Hausaufgaben bereits erledigt hat, kann beim Einsatz von Microsoft Planner ganz entspannt durchatmen: Die Daten von werden in Irland oder den Niederlanden – ergo innerhalb der EU – gelagert. Wir möchten erwähnen, dass ein minimales Restrisiko für die (tatsächlich gesetzeswidrige) Übertragung personenbezogener Daten an amerikanische Strafverfolgungsbehörden besteht. Diese Vorgehensweise ist bei sämtlichen oben gelisteten alternativen Lösungen allerdings ebenso üblich.

Die Features von Microsoft Planner im Überblick

  • Visuelle Organisation von Arbeit, Aufgaben und Terminen
  • Administration sämtlicher Aufgaben zentral an einem Ort
  • Organisation von Teamarbeit
  • Zuteilung von Aufgaben
  • Entwurf von Kanban-Boards mit detailgenauen Aufgabenkarten
  • Kommunikation und Dialog mit anderen Benutzern
  • Einfügen sowie Freigeben von Dateien
  • Erstellung und Erfüllung von Checklisten
  • Statusverfolgung über visuelle Diagramme
  • Geschützte Datenspeicherung auf der Microsoft Cloud
  • Gebührenfrei verfügbar für Business-Abonnenten von Microsoft 365

 

Zu sämtlichen Fragen rund um Planner sowie alle anderen Lösungen aus dem Microsoft 365-Kosmos sind wir Ihr kompetenter Ansprechpartner. Sie erreichen uns unter der Nummer 0800 4883 338 (kostenfrei innerdeutsch) oder zur Vereinbarung eines unverbindlichen Besprechungstermines über unseren Terminplaner.

Foto © Startup Stock Photos @ Pexels

Weiterführende Links

Hier erhalten Sie weiterführende Informationen zu Office 365 sowie zu Microsoft Teams. Detaillierte Informationen zur Cloud-Lösung Azure finden Sie hier.

Lesedauer ‚Geotargeting und Geoblocking … schon einmal davon gehört?‘: 3 Minuten

Kennen Sie die Begriffe ‚Geotargeting‘ bzw. ‚Geoblocking‘? Kann man die Technik als Unternehmen sinnvoll nutzen? In diesem Beitrag rund um das Thema liefern wir Antworten auf diese Fragen – und viele wertvolle Empfehlungen aus der Praxis.

Geotargeting und Geoblocking – was sich dahinter verbirgt

Jeder hinterlässt beim Surfen im World Wide Web Spuren. Mit Hilfe der IP-Adresse kann (zunächst einmal) eindeutig nachverfolgt werden, von wo aus auf der Welt z.B. eine Website aufgerufen wird. Die IP-Adresse ist im Grunde eine Kombination aus Fingerabdruck und Postleitzahl. Auf Grundlage dieser Technik werden Internetseiten automatisch in der korrekten Sprache angezeigt oder man wird beim Zugriff aus Deutschland unaufgefordert auf eine .de-Domain geleitet. Dieser Vorgang nennt sich ‚Geotargeting‘.

Umgekehrt kann diese Information über die Herkunft eines Websitebesuchers aber ebenso genutzt werden, um ihn oder sie (je nach zuvor definiertem Herkunftsgebiet oder Land) von bestimmten Angeboten auszuschließen – dies nennt man ‚Geoblocking‘. Konkret bedeutet das: Will man aus einem entsprechenden Land heraus eine Website aufrufen, kann einem der Zugang wegen der geographischen Herkunft (festgestellt anhand des IP-Adressbereichs) verweigert werden.

Die Technik kommt in der Praxis hauptsächlich zum Einsatz, um lizenzrechtliche Probleme auf Grundlage des Urheberschutzes zu vermeiden. So kann es passieren, dass ein bestimmter Clip auf YouTube beim Zugriff aus Deutschland nicht angezeigt wird – mit dem Hinweis ‚Dieser Inhalt ist in Ihrem Land nicht verfügbar‘. Ebenso kann man während des Auslandsurlaubes womöglich nicht auf ein Video in der Tagesschau-Mediathek zurückgreifen – denn die Beiträge der öffentlich-rechtlichen Sender sollen auch nur für Benutzer in Deutschland abrufbar sein.

Wie ist das mit der rechtlichen Lage?

Es kann vorkommen, dass man bei der Internet-Suche nach einer Waschmaschine einen erhöhten Preis aufgelistet bekommt, wenn man aus Deutschland auf den Onlineshop zugreift, als wenn man dieselbe Website zum Beispiel aus Malta aufruft. Das war der EU ein Dorn im Auge, da es sich um so etwas wie Ungerechtigkeit handelt. Aus diesem Grund wurde vor einigen Jahren eine so bezeichnete ‚Geoblocking-Verordnung‘ in allen EU-Mitgliedstaaten ins Leben gerufen – eine Regelung, welche die Benachteiligung von Käufern aus der EU angesichts ihrer Staatsbürgerschaft oder des Wohnsitzes verhindern soll (Link zur Verordnung (EU) 2018/302 des Europäischen Parlaments und des Rates vom 28. Februar 2018 über Maßnahmen gegen ungerechtfertigtes Geoblocking).

Die Datenschutzgrundverordnung (DSGVO) der EU hat diese Regulierungen nochmals konkretisiert. Sie beschreibt: Innerhalb aller Mitgliedsstaaten der Europäischen Union ist Geoblocking unzulässig. Die Begründung: Geoblocking hindert die EU-Bewohner daran, Produkte außerhalb des eigenen Landes zu fairen Konditionen zu kaufen. Es gibt jedoch Ausnahmen, wie bereits erwähnte Film- oder Fernsehangebote.

‚Dieser Service ist in Ihrem Land nicht verfügbar‘ – oder doch?!

Gibt man den Begriff Geoblocking in einer Suchseite ein, trifft man vornehmlich auf Erklärungen sowie Werkzeuge, wie man Geoblocking gezielt umgehen kann. Geschrieben für Menschen, die ungehindert von überall aus der Welt auf sämtliche Angebote im Internet zurückgreifen wollen, ohne staatlichen bzw. lizenzrechtlichen Regeln unterworfen zu sein. Technisch möglich ist das über einen sog. Proxy-Server, welcher im nicht von der Sperrung betroffenen Staat steht, oder einen VPN-Tunnel (Virtual Private Network), der die eigene IP-Adresse verdeckt und so vorgibt, an einem anderen Standort zu sein, als man in Wirklichkeit ist.

Derartige Verschleierungstaktiken sind ganz bestimmt nicht im Interesse der Websitebetreiber, aber auch nicht gesetzwidrig. Während es zum Geoblocking in der EU bereits Regulierungen gibt, fehlen selbige bisher, was die technischen Optionen zur Vermeidung von Geoblocking betrifft. Sofern es kein anderweitig lautendes Urteil gibt, gilt: Geoblocking durch Einsatz eines Proxy-Servers oder auch VPN zu umgehen, ist legal. Daher gehen ein paar Websitebetreiber mittlerweile dazu über, eine Vermeidung von Geoblocking in ihren allgemeinen Geschäftsbedingungen zu untersagen.

Sollte man Geoblocking im Unternehmen nutzen?

Neben den unzählbaren Anleitungen zur Vermeidung von Geoblocking stößt man bei diesem Thema gelegentlich auf Schlagzeilen wie: ‚Russische Hacker mit Geoblocking stoppen!‘. Klingt nach einer guten Idee, oder? Problemlos Zugriffe aus sämtlichen Ländern, in welchen keine Beschäftigten stationiert sind, sperren und so die persönliche IT-Infrastruktur schützen. Das private Unternehmensnetzwerk durch Zugriffe von fremden IP-Adressen zu sperren, ist eine gängige und unkomplizierte Maßnahme – sie kann und darf dennoch nur ein kleiner Baustein im Rahmen eines umfassenden IT-Sicherheitsplanes sein. Denn: Wie schon erwähnt, kann man Geoblocking mühelos umgehen. Hacker, woher auch immer jene stammen mögen, verwenden für die Angriffe in den wenigsten Situationen ihre echte IP, sondern verhüllen ihre Herkunft in der Regel; unter anderem, indem sie von kompromittierten Webservern aus attackieren.

Geoblocking ist zwar sinnvoll, allein aber auf keinen Fall ein effizientes Instrument zum Schutz Ihrer IT.

Um die unternehmerische IT abzusichern, ist vielmehr eine ausführliche Prüfung des Netzwerkzugriffs über die Firewall nötig. So sollte beispielsweise zum Schutz vor sog. DDos-Angriffen in der Firewall konfiguriert sein, dass die Menge der Verbindungen pro IP-Adresse beschränkt ist. Außerdem sollte die Firewall turnusmäßig gewartet werden. Firmware-Updates und eine Aktualisierung der geogeblockten IP-Adressen sollte regelmäßig durchgeführt werden, um einen sicheren Schutz dauerhaft zu gewährleisten.

Nehmen Sie unter 0800 4883 338 kostenfrei Kontakt mit uns auf, falls Sie Fragen zum Thema haben oder wenn Sie sich nicht sicher sind, ob ‚Geoblocking‘ in Ihrem Unternehmen überhaupt schon konfiguriert ist. Wir beraten Sie gerne!

Foto © Elina Sazonova @ Pexels

Lesedauer: 6 Minuten

Dropbox, Google Drive, iCloud … Cloud-Dienste gibt es mittlerweile viele. Die Lösung aus dem Hause Microsoft auf dem Cloud-Storage-Markt nennt sich OneDrive. Was kann OneDrive? Beeindruckt die Cloud-Lösung in Sachen Datenschutz? Bewährt sich der Service tendenziell für private oder für geschäftliche Anlässe? Wir haben OneDrive genau unter die Lupe genommen.

Mit Unterstützung des von Microsoft bereitgestellten Cloud-Dienstes OneDrive kann man beliebige Daten in der Cloud speichern, damit diese ortsunabhängig auf Abruf verfügbar sind – per Browser, Client-Anwendung oder OneDrive-App (erhältlich für WindowsPhone, iOS und Android).

Cloud-Storage dient aber nicht nur dem reinen Datenzugriff von überall. Vor allem im Falle eines Endgeräteverlusts oder -defekts ist es enorm wertvoll, wenn wichtige Daten an einem anderen Ort, beispielsweise eben in OneDrive, gespeichert sind. Eine Funktion, welche privat, vor allem aber geschäftlich extrem nützlich ist (Vorsicht: Ein Backup wird damit dennoch nicht ersetzt!).

Damit sämtliche Daten immer und überall synchron sind, kann man ganz einfach einen als ‚OneDrive-Ordner‘ bezeichneten Ordner auf dem Computer anlegen. Alle Dateien, die in diesen Ordner bewegt werden, landen dann automatisch in der OneDrive-Cloud. In dem Moment, wo Daten auf irgendeinem Endgerät hinzugefügt, verändert oder beseitigt werden, erfolgt eine automatische Synchronisierung auf allen anderen Geräten bzw. Speicherorten. Einzige Anforderung dafür: Eine Verbindung mit dem Internet.

Für den Dateiaustausch mit Anderen lassen sich Dokumente oder Fotos aus OneDrive problemlos teilen – sei es das Geburtstagsfoto des Enkels für die Oma oder der Geschäftsbericht, den man dem Chef zur Durchsicht zukommen lassen möchte. Statt eine Datei via E-Mail zu verschicken oder sie auf einen USB-Stick zu ziehen (und so für eine Kopie der Datei zu sorgen), verschickt man einen personalisierten Direktlink zur Datei in OneDrive.

Tipp: Wenn Sie Windows 10 als Betriebssystem nutzen, ist OneDrive bereits auf Ihrem PC installiert. Bei einer anderen Windows-Version müssen Sie erst die OneDrive-App installieren.

OneDrive for Business – die Microsoft-Cloud für Unternehmen

Wie erwähnt lässt sich die OneDrive Standard-Lösung auch geschäftlich nutzen – mit ‚OneDrive for Business‘ bietet Microsoft jedoch ein Produkt an, welches dediziert für den Einsatz in Unternehmen konzipiert und somit optimal auf die Zusammenarbeit in Teams individualisiert wurde. Hier beruht die Cloud-Option im Schwerpunkt auf der Technologie von Microsoft SharePoint und kann deshalb weit mehr als ein ’normaler‘ Cloud-Speicherdienst: Per OneDrive for Business können mehrere Personen zeitgleich gemeinsam an einem Dokument arbeiten. ‚Co-Authoring‘ nennt man diese leistungsfähige Arbeitsweise, die effizientes Teamwork möglich macht.

OneDrive ist ein echter Teamplayer und arbeitet Hand in Hand mit anderen Microsoft-Applikationen – insbesondere mit Microsoft 365. Beispielsweise kann eine PowerPoint-Präsentation, die Person A in OneDrive abgelegt hat, von Nutzer B via Browser angesehen und überarbeitet werden, ohne dass Nutzer B PowerPoint auf seinem Endgerät installiert haben muss. Und Person C kann von einem anderen Teil der Welt hierbei zusehen und die Veränderungen beurteilen. Diese Möglichkeiten erleichtern die kollaborative Arbeit enorm, vor allem in den Teams, die mit Betriebssystemen von Microsoft und Apple arbeiten. Dank der automatischen Daten-Synchronisation von OneDrive können zudem alle Mitarbeiter immerzu die aktuelle Version abrufen – ganz ohne ‚Handarbeit‘.

In diesem Zusammenhang steht ein weiterer Vorteil von OneDrive for Business: Die Dokumentenversionierung. So können Benutzer ältere Versionen der in OneDrive gespeicherten Dokumente rekonstruieren (üblicherweise werden die letzten 500 (!) Versionen eines Dokuments gespeichert).

Erfüllt OneDrive auch strenge Sicherheitsstandards?

Eines ist klar: Für eine Lösung wie OneDrive, in der sensible Daten gespeichert sind, spielt das Thema Datenschutz eine zentrale Rolle. Zudem muss nachvollziehbar sein, wer (zumindest theoretisch) Einblick in die dort abgelegten Daten hat.

Wie ist hier der Status Quo? Nun, OneDrive verfügt über eine Standard-SSL-Verschlüsselung bei der Übertragung von Dokumenten – einmal auf dem Server gespeichert, kommt eine 256bit-AES Verschlüsselung zum Einsatz, um die Daten zu schützen. Wer seine Daten innerhalb von OneDrive extra verschlüsseln will, dem können Tools wie Boxcryptor oder Microsoft BitLocker als Erweiterung für den geschützten Einsatz von OneDrive im Unternehmen behilflich sein. OneDrive for Business offeriert ebenso eine Zwei-Faktor-Authentifizierung, die dafür sorgt, dass bloß autorisierte Nutzer Zugriff auf die Dateien erlangen können (eine weitere simple, aber effektive Maßnahme zur Absicherung vor Hackern: Nutzen Sie gut funktionierende Passwörter und ändern Sie diese periodisch).

Wo werden die Daten gelagert?

Dies ist eine zentrale Frage. Denn wenn die Datenspeicherung in OneDrive auf amerikanischen Servern stattfindet, ist das – besonders im Hinblick auf die strikten Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) – als bedenklich zu betrachten. Tatsächlich wäre der Einsatz für europäische Firmen damit gar nicht möglich, ohne geltende Datenschutzverordnungen zu verletzen. Microsoft weiß natürlich um diesen Zustand. Daher werden die Daten sämtlicher Unternehmen, welche OneDrive for Business verwenden, und den Firmensitz innerhalb Europas haben, auf Servern in Rechenzentren in der Europäischen Union gespeichert. Wer genaue Auskünfte sucht, an welchem Ort Microsoft die Daten speichert, wird auf dieser Seite fündig. Dort sind alle Standorte der von Microsoft verwendeten Rechenzentren pro genutztem Microsoft-Dienst nachvollziehbar aufgeführt.

Cloud-Speicherdienste im Allgemeinen werden oft wegen angeblicher Datenschutzbedenken angeprangert. Mangelnde Undurchsichtigkeit oder eine nicht saubere Ausführung des Themas IT-Sicherheit kann man Microsoft bei ihrem Dienst OneDrive for Business allerdings nicht vorwerfen – selbst wenn das Unternehmen seinen Firmensitz in den USA hat. Nichtsdestotrotz sei an selbiger Stelle erwähnt, dass Microsoft sich durch Bestätigung der OneDrive-Nutzungsbedingungen das Recht einholt, die Daten der Kunden automatisiert zu durchforsten. Diese Handlung eignet sich dazu, Dateien zu finden, welche unangemessene Inhalte zeigen. Sieht der Microsoft-Crawler Daten, die gegen die Richtlinien verstoßen, droht eine Kontosperrung.

Legt man in der persönlichen OneDrive-Cloud als frisch gebackene Eltern beispielsweise das allererste Foto des neugeborenen Babys ab, auf welchem das Kind möglicherweise unbekleidet ist, könnte das unter Umständen tatsächlich zu einer Kontosperrung führen – über einen automatischen Datenscan per PhotoDNA-Technik könnte das jeweilige Foto entdeckt und als unangemessen eingestuft werden. Die Diskussion darüber, inwiefern jene verdachtsunabhängigen Scans sinnvoll und laut Gesetz überhaupt zulässig sind, wird bereits seit längerer Zeit geführt – bis jetzt mit variierenden Ergebnissen. Doch Fakt ist: Wer OneDrive nutzt, der stimmt dem Einsatz dieser Technik und dem automatischen Scan seiner Daten zu. Das muss man wissen, wenn man das Programm nutzt oder plant, es einzusetzen.

Wenn Sie Interesse haben, OneDrive in Ihrem Betrieb zu nutzen, sprechen Sie uns unter der kostenfreien Rufnummer 0800 4883 338 gerne an. Wir können Sie im Umgang mit OneDrive schulen, helfen bei der Konfiguration des Zugriffsmanagements und sorgen dafür, dass Sie OneDrive for Business zuverlässig einsetzen. Außerdem unterstützen wir auf Wunsch beim Datenumzug und dem Anlegen einer Ablagestruktur – um was es auch geht: Wir sind Ihr Experte rund um Microsoft OneDrive!

Foto © Ruvim @ Pexels

Lesedauer: ca. 10 Min

In Zeiten zunehmender digitaler Vernetzung sowie konstant wachsender Online-Kriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für den Staat, die Volkswirtschaft ebenso wie die Gesellschaft avanciert. Jedoch wird dieser Entwicklung in der Arbeitsrealität noch lange nicht die notwendige Achtsamkeit eingeräumt, was beachtliche juristische Konsequenzen haben kann.

Welche gesetzlichen Vorschriften und Verordnungen Geschäftsbetriebe im Hinblick auf die IT-Security beachten und realisieren müssen, lernen Sie in unserem nachfolgenden Blog.

Mittlerweile sind die Wettbewerbsfähigkeit sowie der Erfolg eines Unternehmens ohne den Einsatz einer leistungsfähigen sowie hochverfügbaren IT-Umgebung nicht denkbar.

Laut aktueller Analysen sind mittlerweile ca. 81 Prozent der befragten Manager davon überzeugt, dass eine aktuelle IT-Umgebung Innovationskraft, Einfallsreichtum und Ertragsfähigkeit begünstigt.

Obgleich der Einsatz moderner Systeme elementare sowie zukunftsweisende Vorzüge für Firmen bereithält, resultieren diese häufig ebenso in einer steigenden IT-Abhängigkeit und erhöhen so die Möglichkeiten für Fehlkonfigurationen, was zu steigender Anfälligkeit für Cyberangriffe führt und darüber hinaus geltendes Datenschutzrecht verletzen kann.

Aus diesem Grund ist inzwischen in sämtlichen Wirtschaftssektoren eine zunehmende juristische Reglementierung der IT-Security festzustellen.

Bedrohungen aus dem Internet mit Rechtsnormen abwenden

Das Schlüsselthema IT-Security beschäftigt im Zuge der zunehmenden Vernetzung der Geschäftsprozesse immer mehr Firmen. Allerdings sind die einschlägigen staatlichen Vorgaben an Unternehmungen zunächst alles andere als leicht überblickbar.

Denn bis jetzt existiert kein Sammelgesetz, das sämtliche Regelungen mit Wechselbeziehung zur IT-Sicherheit bündelt. Vielmehr fungieren mehrere verschiedenartige Normen zusammen, um Unternehmen zu verpflichten, ein IT-Risikomanagement zu realisieren und in die Implementierung risikoangepasster IT-Sicherheitsvorkehrungen und IT-Sicherheitslösungen zu investieren.

Wird dies jedoch verpasst, können im Kontext eines IT-Sicherheitsvorfalls zusätzlich zu schweren Reputationsschäden mitunter Geldbußen in enormer Höhe fällig werden.

Alleinig im Kalenderjahr 2020 wurden in der Europäischen Union zusammen 160 Mio Euro Geldbußen wegen Übertretungen gegen die Europäische Datenschutzgrundverordnung fällig. In der Bundesrepublik erging die größte Geldbuße mit 35,3 Millionen € an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebenssituationen 100ter Angestellter ausgeforscht haben soll.

Relevante Rechtsvorschriften zur IT-Sicherheit im Überblick

Im Zuge der immer schwerer werdenden Bedrohungssituation sehen sich die Legislative ebenso wie Unternehmen selbst vermehrt in der Pflicht, zu agieren. Einerseits entstehen neue und innovative IT-Sicherheitslösungen und Dienste, die das IT-Sicherheitsniveau erhöhen. Auf der anderen Seite werden striktere Erfordernisse an eine firmeninterne IT-Sicherheit formuliert, um so IT-Risiken über technologische, organisatorische, infrastrukturelle sowie personelle IT-Securitymaßnahmen zu vermindern.

Normen, die vor allem die IT-Security betreffen, haben im Zuge dessen in erster Linie die Zielsetzung, die IT-Umgebung eines Unternehmens vor Internetangriffen, unberechtigtem Zugriff und Manipulation zu schützen. Regelungen, welche den Datenschutz anbelangen, haben die Zielsetzung, einen zuverlässigen Schutz für Betriebsdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität und Authentizität zu erreichen.

Damit Unternehmen vorschriftsmäßige IT-Securitymaßnahmen implementieren können, sind etwa die nachstehenden Gesetze und Verordnungen für sie von Belang:

Das IT-Sicherheitsgesetz

Beimm IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, welches die Absicht verfolgt, die Integrität von Datensammlungen und IT-Systemen zu sichern sowie zu garantieren. Bei dem Gesetz stehen vor allen Dingen die Provider systemkritischer Infrastrukturen aus den Bereichen Strom- und Wasserversorgung, Finanzen oder Ernährung im Mittelpunkt. Die Anbieter sind gesetzlich in der Verpflichtung, ihre Geschäfts-IT angemessen zu schützen ebenso wie minimum alle zwei Kalenderjahre kontrollieren zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach eingetretenen IT-Sicherheitsvorfällen.

Die EU-Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Absicht, europaweit für deckungsgleiche Bestimmungen zu sorgen, die den Datenschutz anbelangen. Hierdurch erhöhen sich die Erfordernisse an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Verwaltungs-System. Die Regelungen des inländischen Datenschutzgesetzes, kurz BDSG, erweitern die EU-DSGVO, indem unterschiedliche Parameter weiter verdeutlicht werden.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Unternehmensführung ab. Weiter sollen Firmen motiviert werden, sich stärker mit dem Thema IT-Risikomanagement auseinanderzusetzen sowie in ein unternehmensweites Früherkennungssystem zu investieren.

Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die Dokumentationsprozesse in Firmen. Die GoBD sollen sicherstellen, dass Betriebe, in welchen unternehmerische Prozesse und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Bereitstellung der Daten zu beachten. Jedoch müssen sämtliche Anforderungen über ein firmeninternes Kontrollsystem verwirklicht werden. Auch ist eine Prozessdokumentation als Nachweis eines rechtskonformen Betriebes verlangt.

Neben diesen vier bedeutsamen rechtlichen Grundlagen sollten Betriebe bei der Implementierung einer risikoadäquaten IT-Sicherheitsstrategie noch die nachfolgenden Richtlinien berücksichtigen:

Gesetze zur IT-Sicherheit schützen Ihren unternehmerischen Erfolg

Mittelständische Unternehmen müssen heutzutage eine Fülle gesetzlicher Vorgaben im Hinblick auf ihre IT-Sicherheit einhalten – andernfalls können hohe Geldbußen drohen.

Daher ist es wesentlich, dass sich Geschäftsbetriebe früh genug mit den wichtigsten Gesetzesnormen und Verordnungen zum Thema IT-Sicherheit befassen. Nur so können sie ein konstant hohes IT-Sicherheitsniveau und die erforderliche IT-Compliance gewährleisten.

Möchten Sie mehr über die gesetzlichen Komponenten der IT-Sicherheit lernen oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite!

Foto © Sora Shimazaki von Pexels

Lesedauer: ca. 6 Min

Im Zugeder Nutzung des Kommunikationsmediums E-Mail werden nicht selten personenbezogene und unternehmenskritische Daten versendet. Diese können bei unzulänglichem Schutz abgefangen, ausspioniert und böswillig verändert werden. Aus diesem Grund ist es wichtig, dass Betriebe ihre Kommunikationsdaten mit einer Verschlüsselung absichern. Nachfolgend erfahren Sie, wie Mail-Verschlüsselung gegenwärtig funktioniert, welche Protokolle genutzt werden und wie Sie Mail-Verschlüsselung erfolgreich im Unternehmen implementieren.

Die E-Mail-Kommunikation ist aus unserer massiv vernetzten Businesswelt nicht mehr wegzudenken. Für das Kalenderjahr 2021 hat die Radicati Group ein internationales Email-Volumen im betrieblichen und privaten Umfeld von 319,6 Mrd (Quelle) pro Tag prognostiziert.

Gemäß einer aktuellen Branchenverband-Befragung erhalten Arbeitnehmer hierzulande im Schnitt ca. 26 berufliche Mails pro Tag (Quelle) – angefangen bei Abstimmungen und Terminvereinbarungen über Bestellungen, Vertragsabschlüsse sowie automatisierte Rechnungen bis hin zu vertraulichen Produktinformationen, Gehaltsinformationen oder empfindlichen Unternehmensdaten.

Doch kaum einer denkt darüber nach, dass E-Mails normalerweise im Klartext versendet werden und somit eine eventuelle sowie nicht zu unterschätzende Angriffsfläche für Cyberkriminelle darstellen.

E-Mails als Einfallstor

Nach wie vor wird ein Großteil aller Cyberattacken durch Mails umgesetzt. Dies ist kein Wunder, denn ungesicherte Mails sind wie Postkarten aus Papier – für jeden, der sie in die Finger bekommt, mitlesbar, änderbar und verfälschbar.

Somit ist es vorteilhaft, auf schlagkräftige E-Mail-Verschlüsselungsmethoden zu setzen.  Zum einen können Betriebe mit der Mail-Chiffrierung das Ausspionieren fremder Dritter unterbinden sowie die Integrität einer Email gewährleisten; zum anderen fördert es Betriebe darin, die juristischen Anforderungen zur Sicherung von personenbezogenen Informationen aus der EU DSGVO, deren Verfehlungen mit Geldbußen bis hin zu 20 Millionen Euro geahndet werden, einzuhalten.

Optimale Kommunikation auf Basis von Verschlüsselung

Um E-Mail-Kommunikation wirkungsvoll sichern zu können, müssen prinzipiell drei Bereiche verschlüsselt werden:

1. Chiffrierung des Mail-Transfers

Das nötige Werkzeug für einen zuverlässigen Mail-Transfer ist das allgemein verwendbare Netzprotokoll Transport Layer Security, kurz TLS. Eine E-Mail mit TLS-Chiffrierung – ebenso bekannt als Transportverschlüsselung – besteht darin, dass die Verknüpfung zwischen zwei Webservern im Moment der Übertragung verschlüsselt wird. Der Nachteil: Sowohl beim E-Mail-Provider als ebenso an den Knotenpunkten des Email-Austasches liegen die Emails unverschlüsselt vor, weswegen technisch passend ausgerüstete Internetangreifer einen ‚Man-in-the-Middle-Angriff‘ einleiten könnten, welcher auf diese Angriffspunkte abgestimmt ist.

2. Verschlüsselung der Mail-Nachricht

Um die Unversehrtheit des eigentlichen Textes von E-Mail-Nachrichtensendungen zu garantieren, sollte eine Inhaltschiffrierung stattfinden. Zu den beliebtesten Methoden zählen hier die Verschlüsselung mittels Pretty Good Privacy, kurz PGP, wie auch die Chiffrierung vermittels Secure / Multipurpose Internet Mail Extensions, abgekürzt S/MIME. Bei der Verschlüsselung mithilfe PGP oder S/MIME kann die Mail inbegriffen Attachments nur vom entsprechenden Absender und Adressaten gelesen werden, sofern sie über den notwendigen Key verfügen. Weder die beteiligten Email-Anbieter noch potenzielle Angreifer haben die Option, die E-Mails mitzulesen bzw. zu modifizieren. Dadurch offeriert lediglich diese Technik ein hohes Maß an Schutz.

3. Chiffrierung archivierter Mails

Da erhaltene E-Mails typischerweise nach dem Durchlesen in der Mailbox bzw. im Archiv verbleiben und vor Manipulation Dritter nicht gesichert sind, ist gleichfalls die Verschlüsselung von gespeicherten Mail essenziell. In diesem Zusammenhang ist zu berücksichtigen, dass die Archivierung der Mails nicht client- sondern serverseitig stattfindet, da ersteres u.a. auf Grund der beschränkten Lesbarkeit gegen staatliche Vorschriften verstößt. Hiermit sind die User in die eigentliche Verschlüsselung und Entschlüsselung nicht direkt eingebunden, wodurch die Datensicherstellung sichergestellt wird. Für extra Schutz sorgt ansonsten die Benutzung einer Zwei-Faktor-Identitätsüberprüfung, hauptsächlich bei der Benutzung von Web Clients.

Datenschutzkonforme Mailkommunikation von Anfang an

Im Allgemeinen lässt sich feststellen: Die Verschlüsselung von Mails muss nicht schwierig sein!

Dank unterschiedlicher Techniken und Vorgehensweisen zur Chiffrierung von Mails ist es Unternehmen gegenwärtig möglich, die Diskretion, Originalität und Integrität von E-Mails zu garantieren und die Anforderungen zum Datenschutz gem. Art. 32 Abs. 1 lit. a und lit. b der DSGVO einzuhalten.

Haben Sie noch ergänzende Fragestellungen zum Thema Mail-Chiffrierung oder sind Sie auf der Suche nach einem effektiven Chiffrierungsprogramm für eine verlässliche und rechtssichere E-Mail-Kommunikation? Wir sind jederzeit für Sie da!

Foto © cottonbro von Pexels