Eckpunkte für ein Datensicherheitskonzept

Mai 1, 2021

 

 

Mit der Corona-Krise haben Hackerangriffe auf das Homeoffice erheblich zugenommen. Die Methoden reichen von üblichen Ransomware-Attacken bis zu immer neuen Phishing-Varianten. Dabei wird ausgenutzt, dass viele Angestellte zu Hause weniger Austausch mit Kollegen und Vorgesetzten haben. Um die Datensicherheit zu erhöhen, sind IT-Abteilungen mehr denn je gefordert, geeignete technische und organisatorische Massnahmen für das Homeoffice umzusetzen. Nachfolgend deshalb ein paar Eckpunkte für ein erfolgreiches Datensicherheitskonzept.

 

 

Technische und organisatorische Massnahmen

Nach Artikel 8 Absatz 2 der Verordnung zum Datenschutzgesetz (VDSG) müssen die technischen und organisatorischen Massnahmen angemessen sein und insbesondere den folgenden Kriterien Rechnung tragen:

  1. Zweck der Datenbearbeitung;
  2. Art und Umfang der Datenbearbeitung;
  3. Einschätzung der möglichen Risiken für die betroffenen Personen;
  4. gegenwärtiger Stand der Technik.

Artikel 9 VDSG enthält sodann eine Reihe von Kontrollzielen. Diese sind datiert von 1992 und werden nun im Rahmen des neuen DSG überarbeitet. Ähnliche Ziele enthält das Bundesdatenschutzgesetz in Deutschland, welches anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 revidiert wurde. Diese Vorschriften können als wertvolle Orientierungshilfe zur Planung und Umsetzung der Eckpunkte für ein erfolgreiches Datensicherheitskonzept im Homeoffice herbeigezogen werden.

Zugriffs- und Zutrittskontrolle

Es ist zu prüfen, ob ein separater Arbeitsraum zur Verfügung steht. Familienmitglieder, Besucher, Handwerker oder Nachbarn dürfen keinen Einblick in Geschäftsinformationen erhalten. Der Einsatz von Sichtschutzfolien und die Ausrichtung des Monitors weg vom Fenster sowie das Aktivieren der Bildschirmsperre kann dies verhindern.

Datenträgerkontrolle

Die Sicherheit von Datenträgern ist wichtig. Personendaten, die auf mobilen Datenträgern wie CDs, DVDs oder USB-Sticks gespeichert sind, sollten verschlüsselt werden. Auch zu empfehlen ist die sichere Aufbewahrung in einem abschliessbaren Schrank oder einem Tresor.

Speicherkontrolle

Es bedarf klarer Regeln, wo Personendaten und Informationen gespeichert werden dürfen. Sofern eine VPN-Verbindung zum Firmenserver eingerichtet wurde oder ein Cloud-System im Einsatz ist, sollten ausschliesslich diese Datenspeicher verwendet werden. Gibt es keine andere Möglichkeit, als die Daten lokal zu speichern, so müssen diese bei der nächstmöglichen Gelegenheit auf den üblicherweise verwendeten Datenspeicher übertragen und sicher aus dem lokalen Speicher gelöscht werden.

Zugriffskontrolle

Die Berechtigungen werden in CRM-Anwendungen üblicherweise für jeden Nutzer individuell festgelegt. Die Verwaltung dieser Rechte hat der jeweilige Systemadministrator vorzunehmen. Jeder Zugriff auf Anwendungen und Daten ist zu protokollieren. Die Nutzer legen sichere Passwörter fest.

Die Steuerung des Zugriffs auf IT-Systeme, mit denen Personendaten bearbeitet werden, ist gleich handzuhaben.

Benutzerkontrolle

Es sind Benutzerprofile zu erstellen und anhand derselben regelmässig zu kontrollieren, ob die Berechtigungen aktuell und korrekt zugeordnet sind. Über die sichere Nutzer-Authentifikation mit Hilfe einer Mehrfaktoren-Authentifikation ist sicherzustellen, dass kein unbefugter Zugriff auf Systeme und Daten erfolgt.

Übertragungskontrolle

Bei der elektronischen Übermittlung von Personendaten muss gewährleistet sein, dass die Daten tatsächlich an die richtigen Empfänger gesendet werden. Im Homeoffice muss hierfür eine technische Lösung wie beispielsweise ein VPN-Tunnel mit Transportverschlüsselung eingerichtet werden.

Transportkontrolle

Im Homeoffice sollte nach Möglichkeit vermieden werden, Personendaten zu transportieren. Das ist im Normalfall auch nicht nötig, es sei denn, der PC oder Laptop selbst wird transportiert. Hier wird die Sicherheit jedoch durch die Speicherkontrolle und die Zugriffskontrolle bereits gewährleistet.

Eingabekontrolle

Durch eine Protokollierung wird überprüfbar, wer wann welche Daten im System eingegeben oder verändert hat. Die Protokolldaten müssen ebenfalls gegen Veränderung oder Verlust gesichert werden.

Datenintegrität und Wiederherstellbarkeit von Daten

Voraussetzung hierfür ist, dass eine regelmässige Datensicherung vom Unternehmen durchgeführt wird. Fehlfunktionen des Systems dürfen auch im Homeoffice nicht dazu führen, dass es zu einer Beschädigung von gespeicherten Daten kommt. Alle Schutzprogramme gegen Malware, notwendige Updates und benötigte Programme müssen ständig aktuell sein und funktionieren.

Auftragskontrolle

Werden Auftragsverarbeiter für ein Unternehmen tätig, dann müssen auch sie sämtliche technischen und organisatorischen Massnahmen treffen, die notwendig sind, um Personendaten zu schützen. Ferner gilt, dass Auftragsverarbeiter die Verarbeitung von  Personendaten nur nach den Weisungen des Auftraggebers vornehmen dürfen. Eine Auftragskontrolle ist daher Pflicht.

Verfügbarkeitskontrolle und Trennbarkeit

Die Verfügbarkeitskontrolle muss durch Massnahmen wie Klimatisierung, Brandschutz, Backups usw. sichergestellt werden. Auch die Trennbarkeit von Personendaten, die zu unterschiedlichen Zwecken erhoben wurden, muss gewährleistet sein.

Sensibilisierung der Mitarbeitenden und des Managements

Bei der regelmässigen Schulung hat der Arbeitgeber dem richtigen Verhalten im Homeoffice die nötige Beachtung zu schenken.

Klare Prozesse bei Datensicherheitsverletzungen und IT-Support

IT-Support und Incident Management-Prozesse sollten so ausgelegt sein, dass sie auch im Homeoffice funktionieren und nicht an der räumlichen Distanz zum Geschäftssitz scheitern. Der Einsatz von Fernwartungstools wie TeamViewer kann hilfreich sein.

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.