Das Einmaleins für KMU: So vermeiden Sie Bußgelder und schützen Ihre Informationen
Noch Mitte Februar haben vermutlich die Wenigsten von uns erahnen können, dass nur vier Wochen später eine der größten Wirtschaftskrisen seit dem Zweiten Weltkrieg unser Land mit voller Wucht erwischen würde. Bis heute ist es reine Spekulation, wie lange die Krise andauern wird und wie die aus ihr resultierenden Folgen aussehen werden.
Vorweggeschickt: Ich befasse mich in diesem Artikel nicht mit den Entscheidungen der Regierung zur Einschränkung von Freiheitsrechten für uns Bürger und auch nicht mit der Diskussion, ob Tracking-Apps die richtige Maßnahme zur Eindämmung von Covid-19 sein können.
Mir soll es ausschließlich darum gehen, wie KMU (kleine und mittelgroße Unternehmen) unter den erschwerten Bedingungen der Corona-Einschränkungen weiterhin die Anforderungen der DSGVO durch praktikable und kurzfristig umsetzbare Maßnahmen erfüllen können und personenbezogene Daten sowie sensible Geschäftsinformationen sicher und vertraulich verarbeiten.
Existenzängste sind kein Freibrief für laxe Datensicherheit
Alle Unternehmer sind aktuell im Krisenmodus und erste Unternehmerpflicht ist es, das Überleben der Firma während der Krise sicherzustellen.
Für die Verantwortlichen in den Betrieben heißt es nun, den Schutz der personenbezogenen Daten und der Geschäftsgeheimnisse auch dann zu gewährleisten, wenn die Mitarbeiter von zu Hause aus arbeiten.
Als die Corona-Krise noch keine 2 Tage alt war, erreichte mich ein Hilferuf aus einer Steuerberaterkanzlei. Ein Mitarbeiter hatte im Homeoffice versehentlich eine E-Mail geöffnet, welche auf den ersten Blick nicht als Phishing-Nachricht zu erkennen gewesen war. Nach dem Öffnen des Anhangs wurde eine Ransomware, genauer gesagt, der Erpressungstrojaner Devos heruntergeladen.
Der Schadcode fand seinen Weg auf den Server der Kanzlei und schon am nächsten Morgen war kein Zugriff mehr auf die Datenbank möglich, sämtliche digitale Mandantendaten waren verschlüsselt. Die Cyberkriminellen forderten ein Lösegeld, zahlbar in einer Kryptowährung, im Gegenzug würde der Schlüssel zur Freigabe des Datenbankservers via E-Mail zugesandt.
Um es vorwegzunehmen: Auf eine solche Lösegeldforderung einzugehen, ist niemals eine Option. In der Kanzlei konnte durch einen externen IT-Experten mit viel Aufwand das System wiederhergestellt werden, allerdings nur auf den Stand von Mitte Januar – die Daten der vergangenen acht Wochen waren verloren. Sie können sich vorstellen, dass neben den Kosten für die IT- und Datenschutzberatung auch der Imageschaden für die Kanzlei immens hoch war.
Der Steuerberater hatte noch Glück im Unglück, denn der IT-Experte konnte nachweisen, dass keine Daten abgeflossen waren. Natürlich wurde der Vorfall der zuständigen Aufsichtsbehörde der Polizei gemeldet, aber der Schaden ist nun in der Welt, obwohl er leicht hätte vermieden werden können.
Kleinkriminelle werden Ihr Geschäftsmodell ins Internet verlagern
Aus meiner Sicht wird das Phänomen der sogenannten „Scriptkiddies“ an Bedeutung gewinnen. Scriptkiddies sind meist jugendliche Hacker, die ohne tiefgreifende Programmierkenntnisse versuchen, mit Hilfsprogrammen in fremde Computersysteme einzudringen.
Zukünftig werden sich auch Kleinkriminelle, die sich bisher auf eher physische Verbrechen wie Raub oder Einbruch spezialisiert hatten, verstärkt der Scriptkiddies-Methoden bedienen und sich über ungeschützte Homeoffice-Arbeitsplätze und offene Videomeetings Zutritt zu den Systemen verschaffen.
Bedenken Sie also, dass die Personen, die Sie angreifen werden, keine Profi-Hacker sind. Es sind Kleinkriminelle, die ihr Geschäftsmodell „digitalisiert“ haben.
Verantwortliche, die die IT-Sicherheit ignorieren, sind einfache Opfer
Bei Verantwortlichen, die den technischen Datenschutz und die IT-Sicherheit ignorieren, werden diese digitalisierten Kleinkriminellen leicht zum Ziel gelangen und beträchtlichen Schaden anrichten. Werden die Vorgaben der DSGVO bewusst oder fahrlässig ignoriert, ist es nicht nur der gute Unternehmensruf, der darunter leidet, es drohen auch Schadensersatzansprüche, hohe Bußgelder und natürlich die Kosten für die Instandsetzung der Systeme.
Beängstigende Ereignisse wie Zoom-Bombing gingen schon während der ersten Corona-Woche durch die Presse und auch die Anzahl von Phishing-Attacken via E-Mail und Webseiten ist seitdem gestiegen – gleichzeitig wird die „Qualität“ von Schad-E-Mails immer besser.
Dabei können die meisten Angriffe schon durch ein paar unkomplizierte technische und organisatorische Maßnahmen vermieden werden. Hätte die Kanzlei ihren Mitarbeiter sensibilisiert, bevor sie ihn ins Homeoffice schickte, hätte dieser den Schadcode wahrscheinlich gar nicht erst heruntergeladen.
Für Großunternehmen gelten andere Angriffsszenarien, sie müssen sich anders schützen
Großunternehmen, vor allem KRITIS-Unternehmen (KRITIS = Kritische Infrastrukturen) wie Krankenhäuser oder Energieversorger, haben eine Extremsituation wie die Corona-Pandemie vermutlich auch nicht vorhergesehen. Durch IT-Grundschutzmaßnahmen und professionelle Digitalisierungsprojekte sind diese Organisationen allerdings so aufgestellt, dass zumindest die gefährdete Flanke Datenschutz und IT-Sicherheit „geschlossen“ ist.
Großunternehmen werden, im Gegensatz zu Ihnen, nicht von Kleinkriminellen und Scriptkiddies angegriffen, sondern von Profi-Hackern, die mit viel Kapital ausgestattet sind, um Lücken im System zu finden.
Sie als Kleinunternehmer müssen sich anders schützen, denn Sie haben andere Angreifer, nutzen andere Software und bieten andere Sicherheitslücken.
Der Transfer von der analogen in die digitale Welt darf nicht bei der Sicherheit aufhören
Durch die Corona-Pandemie sind viele KMU plötzlich gezwungen, neue digitale Werkzeuge anzuwenden, die in ihrer Kernfunktion meist auch sehr gut sind. Leider können Sie als Verantwortlicher die Programme nicht ohne weiteres im betrieblichen Kontext sicher einsetzen.
Trotz allem Verständnis für Ihre aktuellen Sorgen um Ihre wirtschaftliche Zukunft: Sie müssen die Sicherheit und den Datenschutz auch jetzt im Auge behalten, bevor Sie diese Tools betrieblich einsetzen.
Der Personalaktenschrank und der einfache Türriegel
Stellen Sie sich vor, ein Schreiner hat auf Ihrem Firmenflur einen Schrank gebaut und behauptet nun, der hier abgebildete Türriegel sei völlig ausreichend, um Ihre Personalakten in diesem Schrank zu verschließen.
Sie würden dem Schreiner erwidern, dass erstens der Flur der falsche Standort für den Schrank sei und der Türriegel zudem völlig ungeeignet, um ein unbefugtes Öffnen der Schranktür zu verhindern – er solle gefälligst den Schrank im Personalbüro aufbauen und ihn mit einem Sicherheitsschloss versehen.
Was bei einem Aktenschrank in der Personalabteilung also völlig normal ist, wird online bei denselben sensiblen Daten von vielen ignoriert, unter anderem mit der Begründung: „Das Unternehmen ist zu klein“, oder noch schlimmer: „Wir haben niemanden, der das richtig kann.“
Aus lokalen Schreinern werden globale Großkonzerne
In der digitalen Welt heißen diese „Schreiner“ beispielsweise Microsoft, Zoom, Adobe, Google oder Apple.
Und auch diese Unternehmen bieten ihren „Standard-Schrank“ immer mit einem „Türriegel“ an, manch ein Hersteller hat sogar gar nichts anderes im Angebot. Solche Produkte, zum Beispiel WhatsApp oder Skype, sind dann gemäß ihrer Nutzungsbedingungen nicht für gewerblichen Einsatz vorgesehen.
Bei anderen muss man durch eigenes „Konfigurieren“ erst selbst den Türriegel durch ein Sicherheitsschloss ersetzen, zum Beispiel bei Windows 10 und Office365 Business. Und bei wieder anderen gibt es das Produkt mit „Türriegel“ immer kostenlos, für das Sicherheitsschloss aber muss man bezahlen, beispielsweise beim Videomeeting-Programm „Zoom“.
Was ist das Ziel des Datenschutzes?
Ich werde zwar als „Datenschutzbeauftragter“ bezeichnet, aber eigentlich ist es nicht der korrekte Ausdruck für das, was das Ziel des „Datenschutzes“ sein sollte.
Der Fokus des Datenschutzes liegt bei der betroffenen Person – also jedem einzelnen Bürger.
Geschützt werden sollen in erster Linie nicht unsere Daten, sondern unsere Freiheitsrechte: unser Recht auf informationelle Selbstbestimmung und unser Recht, in Ruhe gelassen zu werden. Außerdem sollen uns transparente Informationen wie Datenschutzhinweise in die Lage versetzen, eine Entscheidung zu treffen, bevor wir zum Beispiel ein Benutzerprofil bei Facebook anlegen oder uns in einem Online-Shop registrieren.
Die Datenschutzgrundverordnung bildet nun das Regelwerk, wie sich Behörden und die Privatwirtschaft zu verhalten und zu organisieren haben, damit die Rechte der Betroffenen, also unsere Rechte, gewahrt bleiben.
Datenschutz ist kein Selbstzweck!
Das sollten die „Datenschützer“ immer im Hinterkopf behalten. Am Ende des Tages ist die Datenschutzgrundverordnung kein Selbstzweck, sondern dient vor allem dazu, dass die Bürger trotz der fortschreitenden Digitalisierung ihr Recht auf informationelle Selbstbestimmung immer noch wahrnehmen können. Datenschutz ist aber meiner Meinung nach nicht dazu da, Innovation zu verhindern oder Unternehmen das Leben zu erschweren.
Die DSGVO schreibt daher zum Beispiel vor, dass eine Datenverarbeitung (im Datenschutz meinen wir dabei immer personenbezogene Daten, keine Betriebsgeheimnisse) einer Rechtsgrundlage bedarf. Weiter muss der Zweck der Datenverarbeitung transparent dargelegt und bestimmt sein.
Rechenschaftspflicht, Informationspflichten, weitere Grundsätze der Verarbeitung: Es gibt noch einiges, was die DSGVO verbindlich regelt und von den Verantwortlichen erfüllt werden muss.
Wie Sie als Verantwortlicher eines KMU oder eines Vereins die Vorgaben der DSGVO umsetzen können, erfahren Sie in meinen Beiträgen zu Datenschutz365.
Technischer Datenschutz mehr als nur Pflichterfüllung
Schicken Sie Ihre Mitarbeiter ins Homeoffice, werden sie von dort aus Videokonferenzen und Online-Meetings durchführen, sie werden mit dem geschäftlichen oder privaten Smartphone an Microsoft-Teams-Meetings teilnehmen oder Kurznachrichten versenden.
Als Verantwortlicher müssen Sie nun Mindeststandards vorgeben, Richtlinien definieren und vertragliche Regelungen treffen, damit die Daten immer geschützt sind – im Homeoffice, auf dem Weg vom Homeoffice in die Firma oder während der Übertragung zu Kollegen, Lieferanten und Kunden.
Sie haben schon erfahren, dass Sie die Programme, die Ihnen das digitale Leben erleichtern, nicht ohne Sicherheitsmaßnahmen anwenden dürfen. Wenn Sie nichts tun, überlassen Sie es dem Zufall, ob Ihre Daten geschützt sind. Darüber hinaus müssen Sie auch organisatorische Pflichten beachten und zum Beispiel die Auftragsverarbeitung mit dem Hersteller regeln.
Denken Sie an die Geschichte mit unserem Schreiner. Wenn Sie sich in der digitalen Welt nicht aktiv um die Sicherheit bemühen, haben Sie vielleicht einen Türriegel im Einsatz, vielleicht lagern Sie Ihre Personalakte aber auch offen im Innenhof. Handeln Sie also, am besten sofort.
Praktische Tipps für Verantwortliche
Die hier verlinkten Beiträge helfen Ihnen dabei, sofort Maßnahmen zu ergreifen. Schützen Sie sich vor Cyberattacken und agieren Sie im Sinne der DSGVO und der IT-Sicherheit.
- Homeoffice und DSGVO – mit Checkliste für das Arbeiten von zu Hause aus
- Welche Werkzeuge gibt es und wofür sind diese geeignet? Inklusive kritischem Blick durch die Datenschutzbrille (ab dem 14.04.2020 verfügbar)
- No-Gos bei der Online-Kommunikation (ab dem 21.04.2020 verfügbar)
- FAQ – alle Fragen, die sich aus der Praxis ergeben (ab dem 30.04.2020)
Stellen Sie Fragen und geben Sie Anregungen
Ich freue mich über Ihr Feedback. Sei es zu diesem Artikel oder zu offenen Fragen aus Ihrer eigenen Arbeitspraxis. Gerne nehme ich auch konstruktive Kritik und Hinweise von Kollegen an.
Für Fragen nutzen Sie gerne meine Datenschutzsprechstunde. Wenn Sie das Thema vertiefen möchten, freue ich mich darauf, Sie bei einem meiner Webinare begrüßen zu dürfen.
Und wenn Sie nun mit Ihrem Datenschutz-Management loslegen wollen, schauen Sie sich doch mal meine Lösung Datenschutz365 an.
Ihr Achim Barth