Kleine Zäune und großes Bewusstsein: So gelingt Datenschutz im Homeoffice
„Die Bösen“ draußen und „die Guten“ drinnen – das war gestern. Warum wir heute alle „irgendwie draußen“ sind und warum IT-Sicherheit trotzdem pragmatisch laufen kann, darüber spricht Thomas Althammer, Geschäftsführer von Althammer & Kill, einem Spezialisten für Datenschutz, IT-Sicherheit und Compliance.
Datenschutz lockt vermutlich nicht jeden sofort hinter dem Ofen hervor. Aber Sie. Wofür stehen Sie morgens auf, Herr Althammer?
Mir geht es um die Wahrung von Freiheit und Persönlichkeitsrechten. Datenschutz hat ein schlechtes Image und wird als lästig empfunden. Richtig angewandt, verstanden und umgesetzt ist Datenschutz der Steigbügelhalter für eine menschenfreundliche Digitalisierung und eine Grundfeste unserer Demokratie. Er macht möglich, anstatt zu verhindern.
Und doch kommen Schutz und Sicherheit oft als Projektbremse um die Ecke.
(schmunzelt) Ja, Datenschutz wird dann lästig, wenn er am Ende draufgesattelt wird. Regeln stellen sich in den Weg. Lücken müssen geschlossen werden. Das Ganze funktioniert viel besser, wenn Sicherheit schon bei der Entwicklung von Produkten oder bei der Gestaltung von Prozessen mit einbezogen wird. Dann lassen sich Systeme so konstruieren, dass Projekte möglich werden.
Mal jenseits der Paragraphen: Wie geht Sicherheit heute?
Vor ein paar Jahren war die IT-Sicherheit vergleichsweise einfach: Es gab das lokale Netzwerk und die böse Außenwelt, vor der man sich mit Firewall und Virenscannern geschützt hat. Wie bei den Stadtmauern im Mittelalter musste man dabei nur die Ein- und Ausgänge gut bewachen und dafür sorgen, dass die Befestigungsanlagen den potentiellen Angreifern standhalten konnten. Durch mobiles Arbeiten, Homeoffice und nicht zuletzt durch den pandemiebedingten Einsatz von Cloud-Diensten werden diese Strukturen aufgebrochen. Unsere IT-Welt ist plötzlich total zerklüftet. Wir können nicht mehr unterscheiden zwischen der bösen Welt da draußen und uns hier drinnen.
Den Kopf in den Sand zu stecken, wird nicht Ihr Tipp sein, oder?
Nein, sicher nicht. (lacht) Im Grunde sind es drei Dinge, die wir Unternehmen empfehlen:
- Bauen Sie viele kleine Schutzsysteme statt (nur) eines großen.
- Befähigen Sie Ihre Mitarbeiter, den Schutz der Daten und Werte mitzutragen und häufige Angriffsvektoren, wie die sogenannten Phishing-Attacken, schon im ersten Schritt zu erkennen.
- Sorgen Sie dafür, dass Ihre Systeme stets aktuell gehalten werden.
Ist die Arbeit irgendwann getan? Wann können sich Unternehmen in puncto Sicherheit entspannt zurücklehnen?
Im Grunde dann, wenn sie den Sicherheitsprozess im Griff haben. Damit meine ich nicht, dass es einen Zustand absoluter Sicherheit gibt. Den gibt es definitiv nicht. Entscheidend ist, dass sich Unternehmen bewusst mit Sicherheitsfragen auseinandersetzen. Wie oft schaue ich beispielsweise, ob es Updates gibt? Wie viel Schaden können Angreifer in meinem System anrichten? Habe ich nur den Wassergraben oder vielleicht noch zusätzlich eine Burgmauer errichtet? Es geht weniger darum, ein möglichst komplexes Sicherheitssystem aufzusetzen, sondern vielmehr darum, Herr des Prozesses zu sein und diesen kontinuierlich zu optimieren.
[ALEXANDRA VOLLMER]