Datenschutz gilt auch im Home-Office

Drei Jahre Datenschutz-Grundverordnung und über ein Jahr Remote-Work – Wie geht das zusammen? Welche Lehren kann man daraus ziehen und wo müssen Unternehmen noch nachbessern? Citrix zeigt, wie sich auch bei einer verteilten Arbeitsumgebung und bei Cloud-Nutzung der Datenschutz gewährleisten lässt.

Gegenüber dem Onpremise-Hosting von Daten und Anwendungen bietet die Nutzung von Cloud-Ressourcen einen enormen Vorteil, wenn aus dem Home-Office gearbeitet wird. Das haben im letzten Jahr auch immer mehr Unternehmen erkannt, die vorher noch keine Cloud-Nutzer waren. Dabei darf allerdings der Datenschutz nicht auf der Strecke bleiben. Der aktuelle Jahrestag der EU-Datenschutz-Grundverordnung sollte daher ein Weckruf für Unternehmen sein, ihre Infrastrukturen kritisch zu prüfen.

Dass bei Verstößen durchaus empfindliche Bußgelder drohen, haben prominente Beispiele der letzten Jahre gezeigt. Die höchste in der DSGVO vorgesehene Strafe liegt bei vier Prozent des globalen Jahresumsatzes. Das bedeutet, dass die möglichen Geldbußen bei internationalen Großkonzernen teilweise sogar in die Milliarden gehen können. Neben den großen Summen, die wiederholt Schlagzeilen machen, sind allerdings auch immer wieder kleinere Unternehmen von Strafzahlungen betroffen. Da handelt es sich dann zwar nicht um spektakuläre Beträge, die Strafen können die Firmen trotzdem hart treffen und die Einhaltung der Richtlinien sollte oberstes Gebot sein.

 

„Privacy-as-a-Service“ gibt es nicht

Mittlerweile existieren Software as a Service (SaaS=, Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Dabei darf man aber nicht übersehen, dass die Verantwortung in Datenschutzbelangen immer noch beim Dateneigentümer bleibt. Das heißt, Unternehmen, die ihre Daten bei Cloud-Providern speichern, müssen sicherstellen, dass diese dort DSGVO-konform gespeichert und verwaltet werden und im Zweifel die Verantwortung tragen.

Darüber hinaus sorgen verteilte Infrastrukturen auch für größere Probleme bei der Zugriffskontrolle. Meist haben Mitarbeiter sogar über verschiedene Geräte Zugriff auf Cloud-Ressourcen oder nutzen im Rahmen von BYOD sogar eigene Geräte für die Arbeit. Das stellt die IT-Abteilungen vor große Herausforderungen und macht ein umfassendes Device Management notwendig. Noch ein weiterer Aspekt kommt hinzu: Je mehr im Home-Office gearbeitet wird, desto mehr digitale Kommunikation findet statt, das ist eine ganz logische Entwicklung. Gerade die digitale Kommunikation, vor allem E-Mails, ist der Hauptangriffspunkt für Cyber-Kriminelle. Phishing war gerade in der Ausnahmesituation des vergangenen Jahres ein enormes Problem. Unternehmen sollten daher ihre Cloud-Ressourcen unbedingt mit Multifaktor-Authentifizierung absichern.

 

Zentrale Verwaltung verringert Komplexität

Datenschutzbestimmungen einzuhalten ist eine Aufgabe, für die Unternehmen Ressourcen aufbringen müssen, das ist ganz klar. Doch je nach Art der IT-Infrastruktur unterschiedet sich dieser Aufwand. Man muss sich beispielsweise ein Unternehmen vorstellen, in dem jede Abteilung selbst verschiedene Cloud-Dienste und Tools as-a-Service einkauft. In diesem Fall müssen sich die IT-Abteilung oder Datenschutzverantwortliche zunächst einmal einen Überblick darüber verschaffen, wo überall überhaupt Unternehmensdaten gespeichert werden. Schlimmer ist nur noch, wenn es Unternehmen versäumen, ihren Angestellten die richtigen Tools bereitzustellen und diese zu Workarounds greifen, wodurch eine „Schatten-IT“ entsteht.

Im Idealfall bekommen Mitarbeiter stattdessen alle Ressourcen, die sie brauchen, über eine einzige übergreifende Workspace-Lösung geliefert. Dort kann die IT auch mit Sicherheitsmechanismen wie Multifaktorauthentifizierung, Endgerätemanagement, User-Behaviour-Analytics und allgemein einem Zero Trust Framework ansetzen. Das sind alles allgemeine Sicherheitsmaßnahmen, doch sie zahlen alle auch auf die Verbesserung des Datenschutzes ein.

Zugriffskontrolle und sicherer Zugriff sind nur eine Dimension des Datenschutzes. Daneben müssen Unternehmen auch sicherstellen, dass ihre Daten bei den jeweiligen Cloud Providern DSGVO-konform gespeichert werden. Auch hier hilft ein zentralisierter Ansatz dabei, den Überblick zu behalten.

In einer Welt, in der Remote Work immer mehr zum Standard wird, helfen Digital-Workspace-Lösungen nicht nur dabei, effizienter zu arbeiten, sie erleichtern auch die Einhaltung der Datenschutzvorgaben.

#Citrix