Privat haben Messenger-Dienste wie WhatsApp der E-Mail längst den Rang abgelaufen. Im Unternehmensumfeld geht diese Wandlung langsamer voran. Um trotzdem die Vorteile des Instant Messagings zu genießen nutzen Mitarbeiter oft entgegen der Firmenrichtlinien ihre privaten Kommunikationsdienste für geschäftliche Zwecke, und bringen ihren Arbeitgeber so nicht nur rechtlich in eine prekäre Lage. Getrieben von dieser Schatten-IT und zusätzlich gefordert von neuen Compliance-Themen wie der DSGVO, suchen viele Unternehmen nach Lösungen.
Der Vortrag beleuchtet einige der häufigsten Stolperfallen und zeigt Wege auf, wie die digitale Kommunikation modernisiert werden kann ohne Kompromisse bei Sicherheit und Compliance eingehen zu müssen.
2. 30/10/18 2
Willkommen! Die Agenda:
Copyright |
• Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo
• WhatsApp und andere Schatten-IT auf Geschäftshandys:
Implikationen für Compliance und Sicherheit
• Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein
Beispiel aus der Praxis.
• Verschlüsselung als Weg zu mehr Datenkontrolle
• Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was
darf, was muss?
3. 30/10/18 3
Wer ist Brabbler?
Ein sicherer DSGVO-konformer
Messenger mit zentraler
Verwaltung und Archiv
Brabbler AG
aus München, Deutschland
~70 Mitarbeiter aus über 20 Ländern
Gegründet in 2015 durch die GMX-Gründer
Vision:
„Eine digitale Welt, in der Vertraulichkeit und
Privatsphäre Realität sind.“
Das Unternehmen Das Business-Produkt
Copyright |
5. 30/10/18 5
Digitale Kommunikation ist
der wichtigste Vektor für Cyberangriffe
34 %
Security-Vorfälle,
die mit einer E-Mail
eingeleitet wurden.1
53 % 41 %
Hacks, in welchen
Kommunikationsdaten
gestohlen wurden.2
deutsche Firmen, die in
den letzten zwei Jahren
angegriffen wurden.2
1) https://de.press.f-secure.com/2018/02/22/erkennung-von-zwischenfaellen-und-e-mail-attacken-fordern-unternehmen/
2) https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html
Copyright |
6. 30/10/18 6
E-Mail wächst immer noch von Jahr zu Jahr, trotz
inhärenter Sicherheitsschwächen.
281.1
293.6
306.4
319.6
333.2
2018 2019 2020 2021 2022
Quelle: The Radicati Group
Prognose: Anzahl gesendeter und empfangener E-Mails pro Tag in Milliarden
„Ohne Verschlüsselung ist eine E-Mail in etwa so vertraulich wie eine Postkarte.“
Copyright |
7. 30/10/18 7
Private Schatten-IT in der Kommunikation,
dominiert von Facebook
Copyright |
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
„Welche der Dienste, die Sie privat nutzen, verwenden Sie auch zu geschäftlichen Zwecken?“
8. 30/10/18 8
Bei Business Messaging Lösungen führt
Microsoft deutlich
Welche der folgenden Messaging-Lösungen für Unternehmen werden in Ihrer Firma oder
Organisation eingesetzt?
Copyright |
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
9. 30/10/18 9
Schatten-IT als Folge fehlender Alternativen
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
Copyright |
10. 30/10/18 10
Fehlende Awareness ist nicht das Problem
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
Copyright |
11. 30/10/18 11
Digitale Kommunikation an deutschen Arbeitsplätzen:
Zusammenfassung
Copyright |
• E-Mail ist der am häufigsten genutzte Angriffsvektor bei Cyberangriffen, bleibt
aber unangefochten an Platz 1 der geschäftlich genutzten
Kommunikationsmedien
• Geschäftliche Kommunikation hängt der Entwicklung im privaten Umfeld
hinterher, wo Messaging die E-Mail weitestgehend abgelöst hat.
• Nicht einmal ein Drittel der Arbeitgeber bietet eine Business-Messaging-Lösung
am Arbeitsplatz an, und dann meist Lösungen von Microsoft.
• Als Folge bringen Mitarbeiter ihre privaten Kommunikationsdienste, meist
Angebote von Facebook, an den Arbeitsplatz, um modern zu kommunizieren.
12. WhatsApp und andere Schatten-IT auf
Geschäftshandys: Implikationen für
Compliance und Sicherheit.
30/10/18 12Copyright |
13. 30/10/18 13Confidential |
Implikationen von WhatsApp und Co.
auf Geschäftshandys
Datensicherheit
• Offenes System – offen für Phishing und Spam
• Fehlende Verschlüsselung ruhender Daten auf Endgeräten
Compliance
• DSGVO-Verstöße durch Abgleich mit lokalem Adressbuch
• Speicherung von potentiell personenbezogenen Daten außerhalb der EU
• Vernachlässigung möglicher Archivierungspflichten
Datenhoheit
• Zentrale Speicherung und Entschlüsselung von Korrespondenz weder
möglich, noch erlaubt
• Abgreifen von Daten durch US-Geheimdienste
15. 30/10/18 15Confidential |
BND Rechenzentrum
(eröffnet 2014)
NSA Rechenzentrum
(eröffnet 2014)
Quelle: www.br.de Quelle: www.spiegel.de
„Wird schon gutgehen“ ist die falsche Einstellung
16. Welche Lösungsansätze gibt es, und
worauf gilt es zu achten?
Ein Beispiel aus der Praxis.
30/10/18 16Copyright |
17. 30/10/18 17
Kundenbeispiel
Ausgangslage
Kein einheitliches Kommunikationsmedium vorhanden z. B. Informationen zur
Weihnachtsfeier via E-Mail, Fax, Memo, schwarzes Brett.
Weltweit führender Know-How-Träger in seinem Bereich und daher ständiges Ziel
von auch staatlich gesponserten Cyberangriffen.
Stark gesetzlich reguliert sowie hohe Anforderungen von Seiten der Kunden
generierten ein enges „Compliance-Korsett“.
Mitarbeiter begannen, sich an der IT vorbei mit privaten Geräten und
Kommunikationsdiensten auszutauschen – Stichwort WhatsApp.
Copyright |
18. 30/10/18 18
Was nicht (alleine) funktionierte
Ausgesprochene Verbote
Es gab klare dienstliche Anweisungen, die eine Nutzung privater Dienste verbot. Diese Regelung
wurde auch immer wieder prominent transportiert, doch im täglichen Geschäft wurden immer
wieder Abkürzungen genommen.
➔ Das Haftungsrisiko war zwar verteilt, aber die Datensicherheit immer noch in Gefahr
IT-Restriktion
Die Möglichkeit für Mitarbeiter, eigenmächtig Schatten-IT auf Dienstgeräten einzuführen war
technisch nahezu gänzlich eliminiert (MDM, Application Management etc) doch die privaten
Geräte der Mitarbeiter wurden stattdessen zum Problem.
➔ Interne IT war gut im Griff, doch Compliance, Datenhoheit und Datensicherheit nicht gegeben
Copyright |
19. 30/10/18 19
Lösung: Auf Mitarbeiterwünsche hören
An die Wurzel des Problems gehen
• Mitarbeiter gingen den Weg über die private Schatten-IT, um produktiver zu arbeiten,
nicht aus Bequemlichkeit oder Gleichgültigkeit.
• In einem abteilungsübergreifendem Projekt wurden Anforderungen und Wünsche der
Mitarbeiter gesammelt.
Nicht verhindern sondern ermöglichen
• Eine Lösung wurde gesucht, die den Mitarbeitern ermöglichte, so effizient und unmittelbar
zu kommunizieren, wie sie das aus privaten Diensten wie WhatsApp kannten.
• Ein besonderer Fokus lag auf der einfachen Bedienung. Es mussten mehrere Generationen
problemlos bedienen können.
Copyright |
20. 30/10/18 20
Verfügbare Kommunikationslösungen boten nur
schlechte Kompromisse
SicherheitCompliance
Datenhoheit
Business-Tools mit zentralem Archiv aber
mangelnder Sicherheit und/oder
Datenweitergabe an US-Behörden.
(z. B. E-Mail, Slack, Stride, Skype for Business, ...)
Sichere Ende-zu-Ende verschlüsselte
Messenger mit Schlüssel- und
Datenhoheit für den einzelnen Nutzer
statt das Unternehmen.
(z. B. Threema, Signal, Telegram, Wire ...)
Sichere Verschlüsselte Messenger mit
zentralem Archiv aber womöglich nicht
ausreichender Anbieterabschirmung.
(z. B. Teamwire, Wickr, ...)
Copyright |
21. 30/10/18 21
Am Ende fiel die Auswahl auf ginlo @work
SicherheitCompliance
Datenhoheit
Vollverschlüsselung: Ende-zu-Ende für
übertragene Daten und symmetrisch auf
den Endgeräten.
Hierarchische Verschlüsselung für volle
Abschirmung der Daten gegen Brabbler als
Anbieter sowie uneingeschränkte
Datenhoheit für den Kunden
Serverbasierte Architektur für komplettes
Archiv aller Korrespondenz, ständiges
Back-up und Multi-Device-Support
Made & hosted in Germany und unter
deutscher Rechtsprechung.
Copyright |
23. 30/10/18 Copyright | 23
Verschlüsselung reduziert die
Notwendigkeit von Vertrauen.
Schlüsselhoheit = Datenhoheit
24. 30/10/18 24
Verschlüsselung zieht das Sicherheitsnetz auf
die Ebene des einzelnen Datums zusammen
Copyright |
Klassischer Netzwerkperimeter
Nutzer erhalten Zugriff auf ein
gesamtes Netzwerksegment. Bei
Übernahme einer Identität durch
einen Angreifer ist dadurch auch
potenziell das gesamte
Netzwerksegment kompromittiert
25. 30/10/18 25
Verschlüsselung zieht das Sicherheitsnetz auf
die Ebene des einzelnen Datums zusammen
Copyright |
Kryptoperimeter auf
Basis einer Public Key
Infrastruktur
Nutzer haben Zugriff auf
einzelne Datensätze, die
von ihnen bzw. für sie
verschlüsselt wurden. Bei
Übernahme einer Identität
durch einen Angreifer, sind
nur einzelne Datensätze
kompromittiert.
26. 30/10/18 26
Verschlüsselung mit Anbieter-Abschirmung
vermindert Risiken deutlich
Copyright |
Kontrolliert der Anbieter
die Schlüssel, ergeben
sich neue Bedrohungen,
deren Risiko das
Unternehmen trägt.
27. Und die DSGVO? Unternehmensinteressen
vs. Nutzerrechte – was darf, was muss?
30/10/18 27Copyright |
28. 30/10/18 28
Viele Fragen seit der DSGVO – auch in
Bezug auf digitale Kommunikation
Copyright |
⁇ Darf ich als Unternehmen Nachrichten meiner Mitarbeiter noch
archivieren?
⁇ Brauche ich dafür die Erlaubnis der Mitarbeiter?
⁇ Wo liegt die Grenze zwischen Wahrung von Datenhoheit
und Überwachung?
⁇ Müssen Nachrichten von Ex-Mitarbeitern auf Wunsch
gelöscht werden?
30. 30/10/18 30
Darf ich noch archivieren? Brauche ich eine Einwilligung?
Wo fängt Überwachung an?
Copyright |
Archivierung ist nach wie vor möglich
• Nachvollziehbarkeit und Kontrolle sind berechtigte Interessen von Unternehmen.
• Oft gibt es auch gesetzliche Archivierungspflichten, bspw. gemäß GoBD.
Zustimmung ist grundsätzlich nicht erforderlich (berechtigtes Interesse)
• Private Nutzung sollte jedoch (z. B. per innerbetrieblicher Anweisung oder Arbeitsvertrag)
grundsätzlich verboten werden.
• Wichtig: Befolgung des Verbots auch kontrollieren, damit daraus keine Duldung wird.
Überwachungsgedanke kann durch Transparenz ausgeschlossen werden
• Mitarbeiter vorab über die Archivierungstätigkeiten, Speicherdauer, etc informieren (z. B. im
Onboarding-Prozess)
• Kontrollmechanismen für Archivzugriffe sicherstellen sowie gegebenenfalls Betriebsrat und
Datenschutzbeauftragten in Prozess involvieren.
32. 30/10/18 32
Müssen Nachrichten von Ex-Mitarbeitern
gelöscht werden?
Copyright |
Nicht grundsätzlich - meist überwiegen
die Interessen des Unternehmens
• Nachvollziehbarkeit und Kontrolle wären
nicht mehr gegeben, wenn
Nachrichtenverläufe auseinander gerissen
würden.
• Wenn der Grund zur Speicherung nicht
mehr gegeben ist, muss trotzdem
gelöscht werden.
• Pseudonymisierung als möglicher
Kompromiss in Fällen, wo Recht auf
Löschung gegen Unternehmensinteressen
abgewogen werden müssen.
Ausführlichere Antworten auf diese
und noch viele weitere Fragen in
unserem eBook unter
www.ginlo.net/de/business/digital-
communication-under-gdpr/
33. 30/10/18 33
Fazit: Dos and Don‘ts
Copyright |
Dos
Nutzererwartungen verstehen
Den Wandel treiben
Auf Verschlüsselung setzen
Geschäftliches und Privates trennen
Datenhoheit im Auge behalten
Auf Europäische Lösungen setzen
Don‘ts
Das Thema vernachlässigen
Restriktive IT-Strategie
Zu blauäugig vorgehen
Gleich die naheliegenste Lösung
nehmen
Langzeitfolgen ausblenden
34. 30/10/18 34
Fabio Marti
Brabbler Secure Message and Data Exchange Aktiengesellschaft
Ria-Burkei-Straße 26
81249 München
Mail: fmarti@brabbler.ag
www.linkedin.com/in/fabio-marti-b5500215
www.ginlo.net
Vorstand: Eric Dolatre, Jörg Sellmann
Aufsichtsratsvorsitzender: Karsten Schramm
Amtsgericht München: HRB 217480
USt-IdNr.: DE300436559
Kontakt
Copyright |
35.
36. 30/10/18 36
Sichere Kommunikation in einem BYOD Kontext
Ermöglichen Sie Benutzern mit privaten Geräten, die nicht vom Unternehmen verwaltet
werden, eine sichere Teilnahme an der Kommunikation des Unternehmens, ohne sich mit
technischen Details wie VPN-Zertifikaten befassen zu müssen.
Schützen Sie vertrauliche Projekt-Informationen und Teamkommunikation
Erstellen Sie einen sicheren Raum für Projekte und Arbeitsgruppen, die streng vertraulich
arbeiten, wie es beispielsweise im Kontext von Insider, Strategie, Innovation oder IP der Fall ist.
Mobile Arbeitskräfte integrieren
Stellen Sie mobilen Mitarbeitern einen sicheren Kanal im Unternehmen zur Verfügung. So
können sie das kollektive Wissen des Unternehmens nutzen, egal wo sie sich befinden oder in
welchem Netzwerk sie sind.
Revisionssicherheit und Compliance
Stellen Sie sicher, dass Sie vergangene Korrespondenz stets als gesamte Historie verfügbar
haben. Das kann z. B. nötig sein, wenn Sie gesetzlich dazu verpflichtet sind, Sie in einem
Rechtsstreit Nachweise führen müssen oder ein Mitarbeiter unerwartet ausfällt.
Anwendungsszenarien
Copyright |