Schnittstellenkontrolle statt Mitarbeiterüberwachung
Viele Datenpannen beginnen mit der Datenübertragung auf ein mobiles Speichermedium oder Endgerät, das später verloren geht. Oder Daten werden gestohlen, indem Angreifer sie über unkontrollierte Schnittstellen kopieren. Die Schnittstellenkontrolle gehört deshalb zur Datenschutzkontrolle dazu. Sie darf aber nicht zur Mitarbeiterüberwachung ausarten.
Überblick über Datentransfers: Fehlanzeige!
Unkontrollierte Datentransfers lassen das Risiko für Datenverlust und Datenmissbrauch steigen. Doch viele Unternehmen wissen nicht, auf welchen Wegen welche Dateien das Unternehmensnetzwerk verlassen.
Da ist es nicht verwunderlich, dass die IT-Sicherheit eine vollständige Überwachung aller Mitarbeiter-Aktivitäten wünscht – in der Cloud, im Netzwerk, auf Smartphones und an den lokalen Rechnern.
Keine anlasslose Überwachung
Eine anlasslose Überwachung aller Mitarbeiter-Aktivitäten widerspricht jedoch den Vorgaben im Datenschutz. Deshalb sollten Datenschutzbeauftragte darauf achten,
- dass die eingesetzten Sicherheitslösungen nicht zu einer anlasslosen Mitarbeiterüberwachung führen und
- dass das Unternehmen die Protokolle der Netzwerk-Aktivitäten nicht zweckentfremdet.
Schnittstellenkontrolle ist Mittel der Wahl
Statt die Mitarbeiter zu überwachen, sollten Unternehmen besser den Fokus auf Schnittstellenkontrollen legen. Ihre Bedeutung hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont: Das BSI hat einen Mindeststandard nach § 8 BSI-Gesetz (BSIG) zu diesem Thema veröffentlicht.
Der Mindeststandard „Schnittstellenkontrolle“ regelt die Absicherung der Schnittstellen von IT-Systemen. Außerdem macht er Vorgaben zu Einsatz und Eigenschaften entsprechender Softwarelösungen für die Bundesverwaltung.
Für den Datenschutz sind zudem folgende Punkte wichtig:
- eine Datenschutz-Option, mit der sich die protokollierten Ereignisse anonymisieren lassen, indem sich Angaben zu Benutzern und speziellen Computern herausfiltern lassen. Empfänger von Berichten erhalten dann nicht mehr anlasslos personenbezogene Daten.
- Sicherheitsfunktionen, um
- den Einsatz von Speichermedien wie Speicherkarten, USB-Sticks oder DVDs zu kontrollieren und zu begrenzen,
- unzulässige Endgeräte und Softwareanwendungen im Netzwerk zu blockieren,
- die Berechtigungen der Mitarbeiter von der aktuellen Netzwerkverbindung abhängig zu machen,
- Festplatten und mobile Speichermedien automatisch zu verschlüsseln und
- die Dateitypen, die Mitarbeiter auf ein bestimmtes Medium übertragen dürfen, vorzuschreiben.
Schnittstellenkontrollen setzen Richtlinien voraus
Schnittstellenkontrolle bedeutet nicht, die Schnittstellen zu blockieren, sondern eine produktive Nutzung im Rahmen der Berechtigungen zu ermöglichen.
Deshalb setzen die Kontrollen unabhängig von der konkreten Sicherheitslösung immer interne Richtlinien voraus: Freigaben und Blockaden müssen genau zu den Anforderungen passen, die die Tätigkeit der einzelnen Mitarbeiter mit sich bringt.
Nur so sorgen Schnittstellenkontrollen dafür, den ungewollten Datenabfluss über Schnittstellen ebenso zu verhindern wie eine anlasslose Mitarbeiterüberwachung, ohne die Produktivität zu behindern.