AssCompact suche
Home
Steuern & Recht
15. November 2019
Wie man den digitalen Arbeitsplatz rechtskonform macht

Wie man den digitalen Arbeitsplatz rechtskonform macht

Gefahren lauern in der digitalen Arbeitswelt überall, gerade für datenschutzsensible Institutionen wie Versicherer und Vermittlerbetriebe. Wie man die Sicherheit am mobilen Arbeitsplatz verbessern kann und welche Basics dabei zu beachten sind, erklärt Marco Föllmer, IT-Experte und Geschäftsführer der EBF GmbH.

Deutsche Versicherungsbetriebe stehen gesetzlich unter besonderer Beobachtung im Hinblick auf IT-Sicherheit und Datenschutz. Schließlich sehen das Versicherungsaufsichtsgesetz (VAG), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und vor allem die Datenschutz-Grundverordnung (DSGVO) vor, dass Versicherungsunternehmen IT-Richtlinien etablieren und für einen möglichst hohen Sicherheitsstandard beim Datenschutz sorgen. Die digitale Transformation der Arbeitswelt erschwert dies aber zunehmend, denn Smartphones, Tablets und Laptops gehören heute selbstverständlich in die Tasche eines jeden Versicherungsvertreters und Sachbearbeiters, um mobiles Arbeiten zu ermöglichen. Smartphones haben Digitalkameras zur Schadenserfassung und -dokumentation längst ersetzt. Und der Austausch mit Kunden und die Übermittlung sensibler Daten via WhatsApp wird oft als unbedenklich angesehen. Das birgt allerdings Gefahren, denn auch hier werden Daten auf den Geräten gespeichert, die es zwingend vor Fremdzugriff zu schützen gilt. Und das sind bei weitem nicht alle Herausforderungen der Versicherungsbranche.

Mobiler Zugriff auf Versicherungsdaten

Die DSGVO soll dem Schutz personenbezogener Daten dienen. Für viele IT-Verantwortliche von Versicherungsunternehmen stellt sich die Frage: Wie können vor allem die mobilen Geräte vom Außendienst vor Fremdzugriff geschützt werden? Greifen Mitarbeiter im Homeoffice oder von unterwegs auf das Firmennetzwerk und die Unternehmensdaten zu, muss sichergestellt sein, dass die Daten über sichere Verbindungen ausgetauscht werden. Denn hier lauern unterschätzte Gefahren – wie zum Beispiel unsichere Netzwerke und fremde WLAN- und Bluetooth-Verbindungen, die leicht korrumpierbar sind. Da kann es schnell problematisch werden “eben kurz” die Schadensdokumentation und wichtige Daten herunterzuladen. Mit sogenannten “Wifi Honeypots” können sich Hacker Zugriff auf interne Daten verschaffen. Dabei erstellen sie offene WLAN-Netzwerke, die ähnlich oder gleich heißen wie das vermeintlich echte WLAN-Netzwerk. So können Hacker theoretisch schon auf Daten oder das Firmennetzwerk zugreifen, wenn der Mitarbeiter auch nur kurz aus dem Café am Bahnhof eine wichtige Datei vom Unternehmensserver herunterladen möchte.

BYOD – eine Herausforderung für die IT

Erschwerend kommt hinzu: immer mehr Unternehmen bieten ihren Mitarbeitern die Möglichkeit an, ihre privaten Geräte für die Arbeit zu nutzen. Das Modell “Bring Your Own Device” (kurz BYOD) sorgt allerdings häufig in IT-Abteilungen für Probleme. Administratoren sollen schließlich gewährleisten, dass alle Daten im Unternehmen sicher vor Angriffen sind – unabhängig von Plattform, Gerät, Anbieter, Nutzer und Betriebssystem. Das wird immer schwieriger, je heterogener der Geräte-Mix im Unternehmen wird.

Vorsorge ist besser als Vertrauen

Irren ist menschlich. Vorsicht sollte aber vor allem im Arbeitsalltag von Versicherern walten, wenn persönliche Daten Dritter im Spiel sind. Aus der vermehrten Nutzung mobiler Endgeräte haben sich daher neue Anforderungen für IT-Verantwortliche ergeben. Welchem Gerät und welcher Verbindung soll man trauen? Der Leitsatz dafür lautet heute immer häufiger “Zero Trust”. Wo früher dem Nutzer, Gerät oder einer Quelle anhand spezifischer Richtlinien noch vertraut wurde, sieht das Zero-Trust-Modell vor, zunächst allem und jedem zu misstrauen. Das heißt, einer Anwendung, einer Website oder einem Gerät muss explizit Datenzugriff erlaubt werden. Dadurch werden die Infrastruktur und die Daten schon bei der Konfiguration und Inbetriebnahme von Geräten und Verbindungen geschützt.

Im Ernstfall ist eine zentrale Steuerung sicherer

Um zur Einhaltung der gesetzlichen Vorgaben die eigene IT-Abteilung zu entlasten, bietet sich der Einsatz von UEM-Systemen an. Unified Endpoint Management-Systeme (früher auch Enterprise Mobility Management-Systeme) ermöglichen die einheitliche Verwaltung und Absicherung von Unternehmensgeräten inklusive Anwendungen und Inhalten über eine einzige Plattform. Sollte ein Gerät Opfer einer Cyberattacke sein, gestohlen werden oder verloren gehen, kann man mit dem UEM aus der Ferne die Unternehmensdaten vom Gerät löschen und sich so auch im Verlustfall vor Schaden schützen. Außerdem können individuelle Sicherheitsrichtlinien für die Geräte definiert und durchgesetzt werden. Ein UEM unterstützt auch das BYOD-Konzept und macht die Verwendung unternehmensfremder Geräte unter Einhaltung von Sicherheitsstandards möglich. So kann zentral der Zugriff auf spezifische Apps, Webseiten und Netzwerke kontrolliert und gesteuert werden. Der zusätzliche Einsatz von VPN-Verbindungen (Virtual Private Network) ermöglicht einen sicheren Übertragungsweg zwischen Unternehmensserver und Firmengerät – egal ob im WLAN des Flughafens oder im Homeoffice, standortunabhängig.

Richtlinien für einen verantwortungsbewussten Umgang mit Daten

Zudem sollten Regeln aufgestellt werden, wie sich Mitarbeiter beim Umgang mit mobilen Endgeräten und bei der Verarbeitung personenbezogener Daten zu verhalten haben. Die Richtlinien sollten zum Beispiel das regelmäßige und verpflichtende Ändern von Passwörtern sowie die Verwendung der Multifaktor-Authentifizierung vorsehen und bei der mobilen Verarbeitung von Daten die Nutzung des Mobilfunknetzes vorschreiben, damit unsichere Verbindungen wie fremde WLAN-Netzwerke, Wifi-Hotspots und Bluetooth vermieden werden.

Die ausgereifteste Richtlinie kann aber nichts ausrichten, wenn sich der Mensch darüber hinwegsetzt – oder unbewusst Fehler begeht. Mitarbeiter sollten daher in Schulungen für die Thematik sensibilisiert und auf die schwerwiegenden Folgen von Cyberangriffen aufmerksam gemacht werden.

Über den Autor

Marco Föllmer ist IT-Experte und Geschäftsführer der EBF GmbH. Diese erarbeitet gemeinsam mit ihren Kunden Lösungen für komplexe Enterprise Mobility-Herausforderungen und erstellt individuelle Konzepte für den digitalen Arbeitsplatz.