SlideShare ist ein Scribd-Unternehmen logo

Datenschutzkonform kommunizieren und archivieren

F
FabioMarti

Privat haben Messenger-Dienste wie WhatsApp der E-Mail längst den Rang abgelaufen. Im Unternehmensumfeld geht diese Wandlung langsamer voran. Um trotzdem die Vorteile des Instant Messagings zu genießen nutzen Mitarbeiter oft entgegen der Firmenrichtlinien ihre privaten Kommunikationsdienste für geschäftliche Zwecke, und bringen ihren Arbeitgeber so nicht nur rechtlich in eine prekäre Lage. Getrieben von dieser Schatten-IT und zusätzlich gefordert von neuen Compliance-Themen wie der DSGVO, suchen viele Unternehmen nach Lösungen. Der Vortrag beleuchtet einige der häufigsten Stolperfallen und zeigt Wege auf, wie die digitale Kommunikation modernisiert werden kann ohne Kompromisse bei Sicherheit und Compliance eingehen zu müssen.

Technologie
1 von 36
Downloaden Sie, um offline zu lesen
30/10/18 1 Datenschutzkonform kommunizieren und archivieren Wie Sie elegant aus der WhatsApp- Falle herauskommen. Webinar IT-Sicherheit – 26.10.2018 Copyright |
30/10/18 2 Willkommen! Die Agenda: Copyright | • Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo • WhatsApp und andere Schatten-IT auf Geschäftshandys: Implikationen für Compliance und Sicherheit • Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein Beispiel aus der Praxis. • Verschlüsselung als Weg zu mehr Datenkontrolle • Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was darf, was muss?
30/10/18 3 Wer ist Brabbler? Ein sicherer DSGVO-konformer Messenger mit zentraler Verwaltung und Archiv Brabbler AG aus München, Deutschland ~70 Mitarbeiter aus über 20 Ländern Gegründet in 2015 durch die GMX-Gründer Vision: „Eine digitale Welt, in der Vertraulichkeit und Privatsphäre Realität sind.“ Das Unternehmen Das Business-Produkt Copyright |
Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo. 30/10/18 4Copyright |
30/10/18 5 Digitale Kommunikation ist der wichtigste Vektor für Cyberangriffe 34 % Security-Vorfälle, die mit einer E-Mail eingeleitet wurden.1 53 % 41 % Hacks, in welchen Kommunikationsdaten gestohlen wurden.2 deutsche Firmen, die in den letzten zwei Jahren angegriffen wurden.2 1) https://de.press.f-secure.com/2018/02/22/erkennung-von-zwischenfaellen-und-e-mail-attacken-fordern-unternehmen/ 2) https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html Copyright |
30/10/18 6 E-Mail wächst immer noch von Jahr zu Jahr, trotz inhärenter Sicherheitsschwächen. 281.1 293.6 306.4 319.6 333.2 2018 2019 2020 2021 2022 Quelle: The Radicati Group Prognose: Anzahl gesendeter und empfangener E-Mails pro Tag in Milliarden „Ohne Verschlüsselung ist eine E-Mail in etwa so vertraulich wie eine Postkarte.“ Copyright |
30/10/18 7 Private Schatten-IT in der Kommunikation, dominiert von Facebook Copyright | Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) „Welche der Dienste, die Sie privat nutzen, verwenden Sie auch zu geschäftlichen Zwecken?“
30/10/18 8 Bei Business Messaging Lösungen führt Microsoft deutlich Welche der folgenden Messaging-Lösungen für Unternehmen werden in Ihrer Firma oder Organisation eingesetzt? Copyright | Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
30/10/18 9 Schatten-IT als Folge fehlender Alternativen Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) Copyright |
30/10/18 10 Fehlende Awareness ist nicht das Problem Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) Copyright |
30/10/18 11 Digitale Kommunikation an deutschen Arbeitsplätzen: Zusammenfassung Copyright | • E-Mail ist der am häufigsten genutzte Angriffsvektor bei Cyberangriffen, bleibt aber unangefochten an Platz 1 der geschäftlich genutzten Kommunikationsmedien • Geschäftliche Kommunikation hängt der Entwicklung im privaten Umfeld hinterher, wo Messaging die E-Mail weitestgehend abgelöst hat. • Nicht einmal ein Drittel der Arbeitgeber bietet eine Business-Messaging-Lösung am Arbeitsplatz an, und dann meist Lösungen von Microsoft. • Als Folge bringen Mitarbeiter ihre privaten Kommunikationsdienste, meist Angebote von Facebook, an den Arbeitsplatz, um modern zu kommunizieren.
WhatsApp und andere Schatten-IT auf Geschäftshandys: Implikationen für Compliance und Sicherheit. 30/10/18 12Copyright |
30/10/18 13Confidential | Implikationen von WhatsApp und Co. auf Geschäftshandys Datensicherheit • Offenes System – offen für Phishing und Spam • Fehlende Verschlüsselung ruhender Daten auf Endgeräten Compliance • DSGVO-Verstöße durch Abgleich mit lokalem Adressbuch • Speicherung von potentiell personenbezogenen Daten außerhalb der EU • Vernachlässigung möglicher Archivierungspflichten Datenhoheit • Zentrale Speicherung und Entschlüsselung von Korrespondenz weder möglich, noch erlaubt • Abgreifen von Daten durch US-Geheimdienste
30/10/18 14 Wirtschaftsspionage durch US-Geheimdienste ist keine Verschwörungstheorie Copyright |
30/10/18 15Confidential | BND Rechenzentrum (eröffnet 2014) NSA Rechenzentrum (eröffnet 2014) Quelle: www.br.de Quelle: www.spiegel.de „Wird schon gutgehen“ ist die falsche Einstellung
Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein Beispiel aus der Praxis. 30/10/18 16Copyright |
30/10/18 17 Kundenbeispiel Ausgangslage Kein einheitliches Kommunikationsmedium vorhanden z. B. Informationen zur Weihnachtsfeier via E-Mail, Fax, Memo, schwarzes Brett. Weltweit führender Know-How-Träger in seinem Bereich und daher ständiges Ziel von auch staatlich gesponserten Cyberangriffen. Stark gesetzlich reguliert sowie hohe Anforderungen von Seiten der Kunden generierten ein enges „Compliance-Korsett“. Mitarbeiter begannen, sich an der IT vorbei mit privaten Geräten und Kommunikationsdiensten auszutauschen – Stichwort WhatsApp. Copyright |
30/10/18 18 Was nicht (alleine) funktionierte Ausgesprochene Verbote Es gab klare dienstliche Anweisungen, die eine Nutzung privater Dienste verbot. Diese Regelung wurde auch immer wieder prominent transportiert, doch im täglichen Geschäft wurden immer wieder Abkürzungen genommen. ➔ Das Haftungsrisiko war zwar verteilt, aber die Datensicherheit immer noch in Gefahr IT-Restriktion Die Möglichkeit für Mitarbeiter, eigenmächtig Schatten-IT auf Dienstgeräten einzuführen war technisch nahezu gänzlich eliminiert (MDM, Application Management etc) doch die privaten Geräte der Mitarbeiter wurden stattdessen zum Problem. ➔ Interne IT war gut im Griff, doch Compliance, Datenhoheit und Datensicherheit nicht gegeben Copyright |
30/10/18 19 Lösung: Auf Mitarbeiterwünsche hören An die Wurzel des Problems gehen • Mitarbeiter gingen den Weg über die private Schatten-IT, um produktiver zu arbeiten, nicht aus Bequemlichkeit oder Gleichgültigkeit. • In einem abteilungsübergreifendem Projekt wurden Anforderungen und Wünsche der Mitarbeiter gesammelt. Nicht verhindern sondern ermöglichen • Eine Lösung wurde gesucht, die den Mitarbeitern ermöglichte, so effizient und unmittelbar zu kommunizieren, wie sie das aus privaten Diensten wie WhatsApp kannten. • Ein besonderer Fokus lag auf der einfachen Bedienung. Es mussten mehrere Generationen problemlos bedienen können. Copyright |
30/10/18 20 Verfügbare Kommunikationslösungen boten nur schlechte Kompromisse SicherheitCompliance Datenhoheit Business-Tools mit zentralem Archiv aber mangelnder Sicherheit und/oder Datenweitergabe an US-Behörden. (z. B. E-Mail, Slack, Stride, Skype for Business, ...) Sichere Ende-zu-Ende verschlüsselte Messenger mit Schlüssel- und Datenhoheit für den einzelnen Nutzer statt das Unternehmen. (z. B. Threema, Signal, Telegram, Wire ...) Sichere Verschlüsselte Messenger mit zentralem Archiv aber womöglich nicht ausreichender Anbieterabschirmung. (z. B. Teamwire, Wickr, ...) Copyright |
30/10/18 21 Am Ende fiel die Auswahl auf ginlo @work SicherheitCompliance Datenhoheit Vollverschlüsselung: Ende-zu-Ende für übertragene Daten und symmetrisch auf den Endgeräten. Hierarchische Verschlüsselung für volle Abschirmung der Daten gegen Brabbler als Anbieter sowie uneingeschränkte Datenhoheit für den Kunden Serverbasierte Architektur für komplettes Archiv aller Korrespondenz, ständiges Back-up und Multi-Device-Support Made & hosted in Germany und unter deutscher Rechtsprechung. Copyright |
Verschlüsselung als Weg zu mehr Datenkontrolle. 30/10/18 22Copyright |
30/10/18 Copyright | 23 Verschlüsselung reduziert die Notwendigkeit von Vertrauen. Schlüsselhoheit = Datenhoheit
30/10/18 24 Verschlüsselung zieht das Sicherheitsnetz auf die Ebene des einzelnen Datums zusammen Copyright | Klassischer Netzwerkperimeter Nutzer erhalten Zugriff auf ein gesamtes Netzwerksegment. Bei Übernahme einer Identität durch einen Angreifer ist dadurch auch potenziell das gesamte Netzwerksegment kompromittiert
30/10/18 25 Verschlüsselung zieht das Sicherheitsnetz auf die Ebene des einzelnen Datums zusammen Copyright | Kryptoperimeter auf Basis einer Public Key Infrastruktur Nutzer haben Zugriff auf einzelne Datensätze, die von ihnen bzw. für sie verschlüsselt wurden. Bei Übernahme einer Identität durch einen Angreifer, sind nur einzelne Datensätze kompromittiert.
30/10/18 26 Verschlüsselung mit Anbieter-Abschirmung vermindert Risiken deutlich Copyright | Kontrolliert der Anbieter die Schlüssel, ergeben sich neue Bedrohungen, deren Risiko das Unternehmen trägt.
Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was darf, was muss? 30/10/18 27Copyright |
30/10/18 28 Viele Fragen seit der DSGVO – auch in Bezug auf digitale Kommunikation Copyright | ⁇ Darf ich als Unternehmen Nachrichten meiner Mitarbeiter noch archivieren? ⁇ Brauche ich dafür die Erlaubnis der Mitarbeiter? ⁇ Wo liegt die Grenze zwischen Wahrung von Datenhoheit und Überwachung? ⁇ Müssen Nachrichten von Ex-Mitarbeitern auf Wunsch gelöscht werden?
30/10/18 29 Viele personenbezogene Daten in der digitalen Kommunikation Copyright |
30/10/18 30 Darf ich noch archivieren? Brauche ich eine Einwilligung? Wo fängt Überwachung an? Copyright | Archivierung ist nach wie vor möglich • Nachvollziehbarkeit und Kontrolle sind berechtigte Interessen von Unternehmen. • Oft gibt es auch gesetzliche Archivierungspflichten, bspw. gemäß GoBD. Zustimmung ist grundsätzlich nicht erforderlich (berechtigtes Interesse) • Private Nutzung sollte jedoch (z. B. per innerbetrieblicher Anweisung oder Arbeitsvertrag) grundsätzlich verboten werden. • Wichtig: Befolgung des Verbots auch kontrollieren, damit daraus keine Duldung wird. Überwachungsgedanke kann durch Transparenz ausgeschlossen werden • Mitarbeiter vorab über die Archivierungstätigkeiten, Speicherdauer, etc informieren (z. B. im Onboarding-Prozess) • Kontrollmechanismen für Archivzugriffe sicherstellen sowie gegebenenfalls Betriebsrat und Datenschutzbeauftragten in Prozess involvieren.
30/10/18 31 Persönlichkeitsrechte vs. Unternehmensinteressen Copyright |
30/10/18 32 Müssen Nachrichten von Ex-Mitarbeitern gelöscht werden? Copyright | Nicht grundsätzlich - meist überwiegen die Interessen des Unternehmens • Nachvollziehbarkeit und Kontrolle wären nicht mehr gegeben, wenn Nachrichtenverläufe auseinander gerissen würden. • Wenn der Grund zur Speicherung nicht mehr gegeben ist, muss trotzdem gelöscht werden. • Pseudonymisierung als möglicher Kompromiss in Fällen, wo Recht auf Löschung gegen Unternehmensinteressen abgewogen werden müssen. Ausführlichere Antworten auf diese und noch viele weitere Fragen in unserem eBook unter www.ginlo.net/de/business/digital- communication-under-gdpr/
30/10/18 33 Fazit: Dos and Don‘ts Copyright | Dos Nutzererwartungen verstehen Den Wandel treiben Auf Verschlüsselung setzen Geschäftliches und Privates trennen Datenhoheit im Auge behalten Auf Europäische Lösungen setzen Don‘ts Das Thema vernachlässigen Restriktive IT-Strategie Zu blauäugig vorgehen Gleich die naheliegenste Lösung nehmen Langzeitfolgen ausblenden
30/10/18 34 Fabio Marti Brabbler Secure Message and Data Exchange Aktiengesellschaft Ria-Burkei-Straße 26 81249 München Mail: fmarti@brabbler.ag www.linkedin.com/in/fabio-marti-b5500215 www.ginlo.net Vorstand: Eric Dolatre, Jörg Sellmann Aufsichtsratsvorsitzender: Karsten Schramm Amtsgericht München: HRB 217480 USt-IdNr.: DE300436559 Kontakt Copyright |
30/10/18 36 Sichere Kommunikation in einem BYOD Kontext Ermöglichen Sie Benutzern mit privaten Geräten, die nicht vom Unternehmen verwaltet werden, eine sichere Teilnahme an der Kommunikation des Unternehmens, ohne sich mit technischen Details wie VPN-Zertifikaten befassen zu müssen. Schützen Sie vertrauliche Projekt-Informationen und Teamkommunikation Erstellen Sie einen sicheren Raum für Projekte und Arbeitsgruppen, die streng vertraulich arbeiten, wie es beispielsweise im Kontext von Insider, Strategie, Innovation oder IP der Fall ist. Mobile Arbeitskräfte integrieren Stellen Sie mobilen Mitarbeitern einen sicheren Kanal im Unternehmen zur Verfügung. So können sie das kollektive Wissen des Unternehmens nutzen, egal wo sie sich befinden oder in welchem Netzwerk sie sind. Revisionssicherheit und Compliance Stellen Sie sicher, dass Sie vergangene Korrespondenz stets als gesamte Historie verfügbar haben. Das kann z. B. nötig sein, wenn Sie gesetzlich dazu verpflichtet sind, Sie in einem Rechtsstreit Nachweise führen müssen oder ein Mitarbeiter unerwartet ausfällt. Anwendungsszenarien Copyright |

Empfohlen

Cyber risk
Cyber riskCyber risk
Cyber riskAndré Wohlert
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitFraunhofer Institute for Secure Information Technology
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Datenschutz in der Cloud
Datenschutz in der CloudDatenschutz in der Cloud
Datenschutz in der Clouddatenschutzbeauftragter
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...
[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...
[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 

Empfohlen

Cyber risk
Cyber riskCyber risk
Cyber riskAndré Wohlert
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitFraunhofer Institute for Secure Information Technology
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Datenschutz in der Cloud
Datenschutz in der CloudDatenschutz in der Cloud
Datenschutz in der Clouddatenschutzbeauftragter
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...
[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...
[EN] Enterprise Information Management | Keynote Dr. Ulrich Kampffmeyer | Ope...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdfunn | UNITED NEWS NETWORK GmbH
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018Bechtle
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Thomas Klüppel
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Fujitsu Central Europe
 
M2M Journal - April 2015
M2M Journal - April 2015M2M Journal - April 2015
M2M Journal - April 2015Martin Gutberlet
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...jiricejka
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Jan Rodig
 
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenMarktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenAndré Zehl
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Effizienz in Serverräumen und Rechenzentren
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Subrata Sinha
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)nextwork GmbH
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 

Weitere ähnliche Inhalte

Was ist angesagt?

abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018Bechtle
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Thomas Klüppel
 

Was ist angesagt? (10)

[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
 
03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
 

Ähnlich wie Datenschutzkonform kommunizieren und archivieren

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Fujitsu Central Europe
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...jiricejka
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Jan Rodig
 
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenMarktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenAndré Zehl
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Effizienz in Serverräumen und Rechenzentren
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Subrata Sinha
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)nextwork GmbH
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Praxistage
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxcaniceconsulting
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.orgBert82
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im UnternehmenHellmuth Broda
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)Gigya
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)Agenda Europe 2035
 
Mit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfenMit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfenbhoeck
 

Ähnlich wie Datenschutzkonform kommunizieren und archivieren (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
M2M Journal - April 2015
M2M Journal - April 2015M2M Journal - April 2015
M2M Journal - April 2015
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
 
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenMarktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.org
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
 
Mit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfenMit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfen
 

Datenschutzkonform kommunizieren und archivieren

  • 1. 30/10/18 1 Datenschutzkonform kommunizieren und archivieren Wie Sie elegant aus der WhatsApp- Falle herauskommen. Webinar IT-Sicherheit – 26.10.2018 Copyright |
  • 2. 30/10/18 2 Willkommen! Die Agenda: Copyright | • Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo • WhatsApp und andere Schatten-IT auf Geschäftshandys: Implikationen für Compliance und Sicherheit • Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein Beispiel aus der Praxis. • Verschlüsselung als Weg zu mehr Datenkontrolle • Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was darf, was muss?
  • 3. 30/10/18 3 Wer ist Brabbler? Ein sicherer DSGVO-konformer Messenger mit zentraler Verwaltung und Archiv Brabbler AG aus München, Deutschland ~70 Mitarbeiter aus über 20 Ländern Gegründet in 2015 durch die GMX-Gründer Vision: „Eine digitale Welt, in der Vertraulichkeit und Privatsphäre Realität sind.“ Das Unternehmen Das Business-Produkt Copyright |
  • 4. Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo. 30/10/18 4Copyright |
  • 5. 30/10/18 5 Digitale Kommunikation ist der wichtigste Vektor für Cyberangriffe 34 % Security-Vorfälle, die mit einer E-Mail eingeleitet wurden.1 53 % 41 % Hacks, in welchen Kommunikationsdaten gestohlen wurden.2 deutsche Firmen, die in den letzten zwei Jahren angegriffen wurden.2 1) https://de.press.f-secure.com/2018/02/22/erkennung-von-zwischenfaellen-und-e-mail-attacken-fordern-unternehmen/ 2) https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html Copyright |
  • 6. 30/10/18 6 E-Mail wächst immer noch von Jahr zu Jahr, trotz inhärenter Sicherheitsschwächen. 281.1 293.6 306.4 319.6 333.2 2018 2019 2020 2021 2022 Quelle: The Radicati Group Prognose: Anzahl gesendeter und empfangener E-Mails pro Tag in Milliarden „Ohne Verschlüsselung ist eine E-Mail in etwa so vertraulich wie eine Postkarte.“ Copyright |
  • 7. 30/10/18 7 Private Schatten-IT in der Kommunikation, dominiert von Facebook Copyright | Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) „Welche der Dienste, die Sie privat nutzen, verwenden Sie auch zu geschäftlichen Zwecken?“
  • 8. 30/10/18 8 Bei Business Messaging Lösungen führt Microsoft deutlich Welche der folgenden Messaging-Lösungen für Unternehmen werden in Ihrer Firma oder Organisation eingesetzt? Copyright | Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
  • 9. 30/10/18 9 Schatten-IT als Folge fehlender Alternativen Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) Copyright |
  • 10. 30/10/18 10 Fehlende Awareness ist nicht das Problem Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) Copyright |
  • 11. 30/10/18 11 Digitale Kommunikation an deutschen Arbeitsplätzen: Zusammenfassung Copyright | • E-Mail ist der am häufigsten genutzte Angriffsvektor bei Cyberangriffen, bleibt aber unangefochten an Platz 1 der geschäftlich genutzten Kommunikationsmedien • Geschäftliche Kommunikation hängt der Entwicklung im privaten Umfeld hinterher, wo Messaging die E-Mail weitestgehend abgelöst hat. • Nicht einmal ein Drittel der Arbeitgeber bietet eine Business-Messaging-Lösung am Arbeitsplatz an, und dann meist Lösungen von Microsoft. • Als Folge bringen Mitarbeiter ihre privaten Kommunikationsdienste, meist Angebote von Facebook, an den Arbeitsplatz, um modern zu kommunizieren.
  • 12. WhatsApp und andere Schatten-IT auf Geschäftshandys: Implikationen für Compliance und Sicherheit. 30/10/18 12Copyright |
  • 13. 30/10/18 13Confidential | Implikationen von WhatsApp und Co. auf Geschäftshandys Datensicherheit • Offenes System – offen für Phishing und Spam • Fehlende Verschlüsselung ruhender Daten auf Endgeräten Compliance • DSGVO-Verstöße durch Abgleich mit lokalem Adressbuch • Speicherung von potentiell personenbezogenen Daten außerhalb der EU • Vernachlässigung möglicher Archivierungspflichten Datenhoheit • Zentrale Speicherung und Entschlüsselung von Korrespondenz weder möglich, noch erlaubt • Abgreifen von Daten durch US-Geheimdienste
  • 14. 30/10/18 14 Wirtschaftsspionage durch US-Geheimdienste ist keine Verschwörungstheorie Copyright |
  • 15. 30/10/18 15Confidential | BND Rechenzentrum (eröffnet 2014) NSA Rechenzentrum (eröffnet 2014) Quelle: www.br.de Quelle: www.spiegel.de „Wird schon gutgehen“ ist die falsche Einstellung
  • 16. Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein Beispiel aus der Praxis. 30/10/18 16Copyright |
  • 17. 30/10/18 17 Kundenbeispiel Ausgangslage Kein einheitliches Kommunikationsmedium vorhanden z. B. Informationen zur Weihnachtsfeier via E-Mail, Fax, Memo, schwarzes Brett. Weltweit führender Know-How-Träger in seinem Bereich und daher ständiges Ziel von auch staatlich gesponserten Cyberangriffen. Stark gesetzlich reguliert sowie hohe Anforderungen von Seiten der Kunden generierten ein enges „Compliance-Korsett“. Mitarbeiter begannen, sich an der IT vorbei mit privaten Geräten und Kommunikationsdiensten auszutauschen – Stichwort WhatsApp. Copyright |
  • 18. 30/10/18 18 Was nicht (alleine) funktionierte Ausgesprochene Verbote Es gab klare dienstliche Anweisungen, die eine Nutzung privater Dienste verbot. Diese Regelung wurde auch immer wieder prominent transportiert, doch im täglichen Geschäft wurden immer wieder Abkürzungen genommen. ➔ Das Haftungsrisiko war zwar verteilt, aber die Datensicherheit immer noch in Gefahr IT-Restriktion Die Möglichkeit für Mitarbeiter, eigenmächtig Schatten-IT auf Dienstgeräten einzuführen war technisch nahezu gänzlich eliminiert (MDM, Application Management etc) doch die privaten Geräte der Mitarbeiter wurden stattdessen zum Problem. ➔ Interne IT war gut im Griff, doch Compliance, Datenhoheit und Datensicherheit nicht gegeben Copyright |
  • 19. 30/10/18 19 Lösung: Auf Mitarbeiterwünsche hören An die Wurzel des Problems gehen • Mitarbeiter gingen den Weg über die private Schatten-IT, um produktiver zu arbeiten, nicht aus Bequemlichkeit oder Gleichgültigkeit. • In einem abteilungsübergreifendem Projekt wurden Anforderungen und Wünsche der Mitarbeiter gesammelt. Nicht verhindern sondern ermöglichen • Eine Lösung wurde gesucht, die den Mitarbeitern ermöglichte, so effizient und unmittelbar zu kommunizieren, wie sie das aus privaten Diensten wie WhatsApp kannten. • Ein besonderer Fokus lag auf der einfachen Bedienung. Es mussten mehrere Generationen problemlos bedienen können. Copyright |
  • 20. 30/10/18 20 Verfügbare Kommunikationslösungen boten nur schlechte Kompromisse SicherheitCompliance Datenhoheit Business-Tools mit zentralem Archiv aber mangelnder Sicherheit und/oder Datenweitergabe an US-Behörden. (z. B. E-Mail, Slack, Stride, Skype for Business, ...) Sichere Ende-zu-Ende verschlüsselte Messenger mit Schlüssel- und Datenhoheit für den einzelnen Nutzer statt das Unternehmen. (z. B. Threema, Signal, Telegram, Wire ...) Sichere Verschlüsselte Messenger mit zentralem Archiv aber womöglich nicht ausreichender Anbieterabschirmung. (z. B. Teamwire, Wickr, ...) Copyright |
  • 21. 30/10/18 21 Am Ende fiel die Auswahl auf ginlo @work SicherheitCompliance Datenhoheit Vollverschlüsselung: Ende-zu-Ende für übertragene Daten und symmetrisch auf den Endgeräten. Hierarchische Verschlüsselung für volle Abschirmung der Daten gegen Brabbler als Anbieter sowie uneingeschränkte Datenhoheit für den Kunden Serverbasierte Architektur für komplettes Archiv aller Korrespondenz, ständiges Back-up und Multi-Device-Support Made & hosted in Germany und unter deutscher Rechtsprechung. Copyright |
  • 22. Verschlüsselung als Weg zu mehr Datenkontrolle. 30/10/18 22Copyright |
  • 23. 30/10/18 Copyright | 23 Verschlüsselung reduziert die Notwendigkeit von Vertrauen. Schlüsselhoheit = Datenhoheit
  • 24. 30/10/18 24 Verschlüsselung zieht das Sicherheitsnetz auf die Ebene des einzelnen Datums zusammen Copyright | Klassischer Netzwerkperimeter Nutzer erhalten Zugriff auf ein gesamtes Netzwerksegment. Bei Übernahme einer Identität durch einen Angreifer ist dadurch auch potenziell das gesamte Netzwerksegment kompromittiert
  • 25. 30/10/18 25 Verschlüsselung zieht das Sicherheitsnetz auf die Ebene des einzelnen Datums zusammen Copyright | Kryptoperimeter auf Basis einer Public Key Infrastruktur Nutzer haben Zugriff auf einzelne Datensätze, die von ihnen bzw. für sie verschlüsselt wurden. Bei Übernahme einer Identität durch einen Angreifer, sind nur einzelne Datensätze kompromittiert.
  • 26. 30/10/18 26 Verschlüsselung mit Anbieter-Abschirmung vermindert Risiken deutlich Copyright | Kontrolliert der Anbieter die Schlüssel, ergeben sich neue Bedrohungen, deren Risiko das Unternehmen trägt.
  • 27. Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was darf, was muss? 30/10/18 27Copyright |
  • 28. 30/10/18 28 Viele Fragen seit der DSGVO – auch in Bezug auf digitale Kommunikation Copyright | ⁇ Darf ich als Unternehmen Nachrichten meiner Mitarbeiter noch archivieren? ⁇ Brauche ich dafür die Erlaubnis der Mitarbeiter? ⁇ Wo liegt die Grenze zwischen Wahrung von Datenhoheit und Überwachung? ⁇ Müssen Nachrichten von Ex-Mitarbeitern auf Wunsch gelöscht werden?
  • 29. 30/10/18 29 Viele personenbezogene Daten in der digitalen Kommunikation Copyright |
  • 30. 30/10/18 30 Darf ich noch archivieren? Brauche ich eine Einwilligung? Wo fängt Überwachung an? Copyright | Archivierung ist nach wie vor möglich • Nachvollziehbarkeit und Kontrolle sind berechtigte Interessen von Unternehmen. • Oft gibt es auch gesetzliche Archivierungspflichten, bspw. gemäß GoBD. Zustimmung ist grundsätzlich nicht erforderlich (berechtigtes Interesse) • Private Nutzung sollte jedoch (z. B. per innerbetrieblicher Anweisung oder Arbeitsvertrag) grundsätzlich verboten werden. • Wichtig: Befolgung des Verbots auch kontrollieren, damit daraus keine Duldung wird. Überwachungsgedanke kann durch Transparenz ausgeschlossen werden • Mitarbeiter vorab über die Archivierungstätigkeiten, Speicherdauer, etc informieren (z. B. im Onboarding-Prozess) • Kontrollmechanismen für Archivzugriffe sicherstellen sowie gegebenenfalls Betriebsrat und Datenschutzbeauftragten in Prozess involvieren.
  • 31. 30/10/18 31 Persönlichkeitsrechte vs. Unternehmensinteressen Copyright |
  • 32. 30/10/18 32 Müssen Nachrichten von Ex-Mitarbeitern gelöscht werden? Copyright | Nicht grundsätzlich - meist überwiegen die Interessen des Unternehmens • Nachvollziehbarkeit und Kontrolle wären nicht mehr gegeben, wenn Nachrichtenverläufe auseinander gerissen würden. • Wenn der Grund zur Speicherung nicht mehr gegeben ist, muss trotzdem gelöscht werden. • Pseudonymisierung als möglicher Kompromiss in Fällen, wo Recht auf Löschung gegen Unternehmensinteressen abgewogen werden müssen. Ausführlichere Antworten auf diese und noch viele weitere Fragen in unserem eBook unter www.ginlo.net/de/business/digital- communication-under-gdpr/
  • 33. 30/10/18 33 Fazit: Dos and Don‘ts Copyright | Dos Nutzererwartungen verstehen Den Wandel treiben Auf Verschlüsselung setzen Geschäftliches und Privates trennen Datenhoheit im Auge behalten Auf Europäische Lösungen setzen Don‘ts Das Thema vernachlässigen Restriktive IT-Strategie Zu blauäugig vorgehen Gleich die naheliegenste Lösung nehmen Langzeitfolgen ausblenden
  • 34. 30/10/18 34 Fabio Marti Brabbler Secure Message and Data Exchange Aktiengesellschaft Ria-Burkei-Straße 26 81249 München Mail: fmarti@brabbler.ag www.linkedin.com/in/fabio-marti-b5500215 www.ginlo.net Vorstand: Eric Dolatre, Jörg Sellmann Aufsichtsratsvorsitzender: Karsten Schramm Amtsgericht München: HRB 217480 USt-IdNr.: DE300436559 Kontakt Copyright |
  • 35.
  • 36. 30/10/18 36 Sichere Kommunikation in einem BYOD Kontext Ermöglichen Sie Benutzern mit privaten Geräten, die nicht vom Unternehmen verwaltet werden, eine sichere Teilnahme an der Kommunikation des Unternehmens, ohne sich mit technischen Details wie VPN-Zertifikaten befassen zu müssen. Schützen Sie vertrauliche Projekt-Informationen und Teamkommunikation Erstellen Sie einen sicheren Raum für Projekte und Arbeitsgruppen, die streng vertraulich arbeiten, wie es beispielsweise im Kontext von Insider, Strategie, Innovation oder IP der Fall ist. Mobile Arbeitskräfte integrieren Stellen Sie mobilen Mitarbeitern einen sicheren Kanal im Unternehmen zur Verfügung. So können sie das kollektive Wissen des Unternehmens nutzen, egal wo sie sich befinden oder in welchem Netzwerk sie sind. Revisionssicherheit und Compliance Stellen Sie sicher, dass Sie vergangene Korrespondenz stets als gesamte Historie verfügbar haben. Das kann z. B. nötig sein, wenn Sie gesetzlich dazu verpflichtet sind, Sie in einem Rechtsstreit Nachweise führen müssen oder ein Mitarbeiter unerwartet ausfällt. Anwendungsszenarien Copyright |