SlideShare ist ein Scribd-Unternehmen logo
30/10/18 1
Datenschutzkonform
kommunizieren und
archivieren
Wie Sie elegant aus der WhatsApp-
Falle herauskommen.
Webinar IT-Sicherheit – 26.10.2018
Copyright |
30/10/18 2
Willkommen! Die Agenda:
Copyright |
• Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo
• WhatsApp und andere Schatten-IT auf Geschäftshandys:
Implikationen für Compliance und Sicherheit
• Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein
Beispiel aus der Praxis.
• Verschlüsselung als Weg zu mehr Datenkontrolle
• Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was
darf, was muss?
30/10/18 3
Wer ist Brabbler?
Ein sicherer DSGVO-konformer
Messenger mit zentraler
Verwaltung und Archiv
Brabbler AG
aus München, Deutschland
~70 Mitarbeiter aus über 20 Ländern
Gegründet in 2015 durch die GMX-Gründer
Vision:
„Eine digitale Welt, in der Vertraulichkeit und
Privatsphäre Realität sind.“
Das Unternehmen Das Business-Produkt
Copyright |
Digitale Kommunikation an deutschen
Arbeitsplätzen: der Status Quo.
30/10/18 4Copyright |
30/10/18 5
Digitale Kommunikation ist
der wichtigste Vektor für Cyberangriffe
34 %
Security-Vorfälle,
die mit einer E-Mail
eingeleitet wurden.1
53 % 41 %
Hacks, in welchen
Kommunikationsdaten
gestohlen wurden.2
deutsche Firmen, die in
den letzten zwei Jahren
angegriffen wurden.2
1) https://de.press.f-secure.com/2018/02/22/erkennung-von-zwischenfaellen-und-e-mail-attacken-fordern-unternehmen/
2) https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html
Copyright |
30/10/18 6
E-Mail wächst immer noch von Jahr zu Jahr, trotz
inhärenter Sicherheitsschwächen.
281.1
293.6
306.4
319.6
333.2
2018 2019 2020 2021 2022
Quelle: The Radicati Group
Prognose: Anzahl gesendeter und empfangener E-Mails pro Tag in Milliarden
„Ohne Verschlüsselung ist eine E-Mail in etwa so vertraulich wie eine Postkarte.“
Copyright |
30/10/18 7
Private Schatten-IT in der Kommunikation,
dominiert von Facebook
Copyright |
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
„Welche der Dienste, die Sie privat nutzen, verwenden Sie auch zu geschäftlichen Zwecken?“
30/10/18 8
Bei Business Messaging Lösungen führt
Microsoft deutlich
Welche der folgenden Messaging-Lösungen für Unternehmen werden in Ihrer Firma oder
Organisation eingesetzt?
Copyright |
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
30/10/18 9
Schatten-IT als Folge fehlender Alternativen
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
Copyright |
30/10/18 10
Fehlende Awareness ist nicht das Problem
Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
Copyright |
30/10/18 11
Digitale Kommunikation an deutschen Arbeitsplätzen:
Zusammenfassung
Copyright |
• E-Mail ist der am häufigsten genutzte Angriffsvektor bei Cyberangriffen, bleibt
aber unangefochten an Platz 1 der geschäftlich genutzten
Kommunikationsmedien
• Geschäftliche Kommunikation hängt der Entwicklung im privaten Umfeld
hinterher, wo Messaging die E-Mail weitestgehend abgelöst hat.
• Nicht einmal ein Drittel der Arbeitgeber bietet eine Business-Messaging-Lösung
am Arbeitsplatz an, und dann meist Lösungen von Microsoft.
• Als Folge bringen Mitarbeiter ihre privaten Kommunikationsdienste, meist
Angebote von Facebook, an den Arbeitsplatz, um modern zu kommunizieren.
WhatsApp und andere Schatten-IT auf
Geschäftshandys: Implikationen für
Compliance und Sicherheit.
30/10/18 12Copyright |
30/10/18 13Confidential |
Implikationen von WhatsApp und Co.
auf Geschäftshandys
Datensicherheit
• Offenes System – offen für Phishing und Spam
• Fehlende Verschlüsselung ruhender Daten auf Endgeräten
Compliance
• DSGVO-Verstöße durch Abgleich mit lokalem Adressbuch
• Speicherung von potentiell personenbezogenen Daten außerhalb der EU
• Vernachlässigung möglicher Archivierungspflichten
Datenhoheit
• Zentrale Speicherung und Entschlüsselung von Korrespondenz weder
möglich, noch erlaubt
• Abgreifen von Daten durch US-Geheimdienste
30/10/18 14
Wirtschaftsspionage durch US-Geheimdienste
ist keine Verschwörungstheorie
Copyright |
30/10/18 15Confidential |
BND Rechenzentrum
(eröffnet 2014)
NSA Rechenzentrum
(eröffnet 2014)
Quelle: www.br.de Quelle: www.spiegel.de
„Wird schon gutgehen“ ist die falsche Einstellung
Welche Lösungsansätze gibt es, und
worauf gilt es zu achten?
Ein Beispiel aus der Praxis.
30/10/18 16Copyright |
30/10/18 17
Kundenbeispiel
Ausgangslage
Kein einheitliches Kommunikationsmedium vorhanden z. B. Informationen zur
Weihnachtsfeier via E-Mail, Fax, Memo, schwarzes Brett.
Weltweit führender Know-How-Träger in seinem Bereich und daher ständiges Ziel
von auch staatlich gesponserten Cyberangriffen.
Stark gesetzlich reguliert sowie hohe Anforderungen von Seiten der Kunden
generierten ein enges „Compliance-Korsett“.
Mitarbeiter begannen, sich an der IT vorbei mit privaten Geräten und
Kommunikationsdiensten auszutauschen – Stichwort WhatsApp.
Copyright |
30/10/18 18
Was nicht (alleine) funktionierte
Ausgesprochene Verbote
Es gab klare dienstliche Anweisungen, die eine Nutzung privater Dienste verbot. Diese Regelung
wurde auch immer wieder prominent transportiert, doch im täglichen Geschäft wurden immer
wieder Abkürzungen genommen.
➔ Das Haftungsrisiko war zwar verteilt, aber die Datensicherheit immer noch in Gefahr
IT-Restriktion
Die Möglichkeit für Mitarbeiter, eigenmächtig Schatten-IT auf Dienstgeräten einzuführen war
technisch nahezu gänzlich eliminiert (MDM, Application Management etc) doch die privaten
Geräte der Mitarbeiter wurden stattdessen zum Problem.
➔ Interne IT war gut im Griff, doch Compliance, Datenhoheit und Datensicherheit nicht gegeben
Copyright |
30/10/18 19
Lösung: Auf Mitarbeiterwünsche hören
An die Wurzel des Problems gehen
• Mitarbeiter gingen den Weg über die private Schatten-IT, um produktiver zu arbeiten,
nicht aus Bequemlichkeit oder Gleichgültigkeit.
• In einem abteilungsübergreifendem Projekt wurden Anforderungen und Wünsche der
Mitarbeiter gesammelt.
Nicht verhindern sondern ermöglichen
• Eine Lösung wurde gesucht, die den Mitarbeitern ermöglichte, so effizient und unmittelbar
zu kommunizieren, wie sie das aus privaten Diensten wie WhatsApp kannten.
• Ein besonderer Fokus lag auf der einfachen Bedienung. Es mussten mehrere Generationen
problemlos bedienen können.
Copyright |
30/10/18 20
Verfügbare Kommunikationslösungen boten nur
schlechte Kompromisse
SicherheitCompliance
Datenhoheit
Business-Tools mit zentralem Archiv aber
mangelnder Sicherheit und/oder
Datenweitergabe an US-Behörden.
(z. B. E-Mail, Slack, Stride, Skype for Business, ...)
Sichere Ende-zu-Ende verschlüsselte
Messenger mit Schlüssel- und
Datenhoheit für den einzelnen Nutzer
statt das Unternehmen.
(z. B. Threema, Signal, Telegram, Wire ...)
Sichere Verschlüsselte Messenger mit
zentralem Archiv aber womöglich nicht
ausreichender Anbieterabschirmung.
(z. B. Teamwire, Wickr, ...)
Copyright |
30/10/18 21
Am Ende fiel die Auswahl auf ginlo @work
SicherheitCompliance
Datenhoheit
Vollverschlüsselung: Ende-zu-Ende für
übertragene Daten und symmetrisch auf
den Endgeräten.
Hierarchische Verschlüsselung für volle
Abschirmung der Daten gegen Brabbler als
Anbieter sowie uneingeschränkte
Datenhoheit für den Kunden
Serverbasierte Architektur für komplettes
Archiv aller Korrespondenz, ständiges
Back-up und Multi-Device-Support
Made & hosted in Germany und unter
deutscher Rechtsprechung.
Copyright |
Verschlüsselung als Weg zu mehr
Datenkontrolle.
30/10/18 22Copyright |
30/10/18 Copyright | 23
Verschlüsselung reduziert die
Notwendigkeit von Vertrauen.
Schlüsselhoheit = Datenhoheit
30/10/18 24
Verschlüsselung zieht das Sicherheitsnetz auf
die Ebene des einzelnen Datums zusammen
Copyright |
Klassischer Netzwerkperimeter
Nutzer erhalten Zugriff auf ein
gesamtes Netzwerksegment. Bei
Übernahme einer Identität durch
einen Angreifer ist dadurch auch
potenziell das gesamte
Netzwerksegment kompromittiert
30/10/18 25
Verschlüsselung zieht das Sicherheitsnetz auf
die Ebene des einzelnen Datums zusammen
Copyright |
Kryptoperimeter auf
Basis einer Public Key
Infrastruktur
Nutzer haben Zugriff auf
einzelne Datensätze, die
von ihnen bzw. für sie
verschlüsselt wurden. Bei
Übernahme einer Identität
durch einen Angreifer, sind
nur einzelne Datensätze
kompromittiert.
30/10/18 26
Verschlüsselung mit Anbieter-Abschirmung
vermindert Risiken deutlich
Copyright |
Kontrolliert der Anbieter
die Schlüssel, ergeben
sich neue Bedrohungen,
deren Risiko das
Unternehmen trägt.
Und die DSGVO? Unternehmensinteressen
vs. Nutzerrechte – was darf, was muss?
30/10/18 27Copyright |
30/10/18 28
Viele Fragen seit der DSGVO – auch in
Bezug auf digitale Kommunikation
Copyright |
⁇ Darf ich als Unternehmen Nachrichten meiner Mitarbeiter noch
archivieren?
⁇ Brauche ich dafür die Erlaubnis der Mitarbeiter?
⁇ Wo liegt die Grenze zwischen Wahrung von Datenhoheit
und Überwachung?
⁇ Müssen Nachrichten von Ex-Mitarbeitern auf Wunsch
gelöscht werden?
30/10/18 29
Viele personenbezogene Daten in der digitalen
Kommunikation
Copyright |
30/10/18 30
Darf ich noch archivieren? Brauche ich eine Einwilligung?
Wo fängt Überwachung an?
Copyright |
Archivierung ist nach wie vor möglich
• Nachvollziehbarkeit und Kontrolle sind berechtigte Interessen von Unternehmen.
• Oft gibt es auch gesetzliche Archivierungspflichten, bspw. gemäß GoBD.
Zustimmung ist grundsätzlich nicht erforderlich (berechtigtes Interesse)
• Private Nutzung sollte jedoch (z. B. per innerbetrieblicher Anweisung oder Arbeitsvertrag)
grundsätzlich verboten werden.
• Wichtig: Befolgung des Verbots auch kontrollieren, damit daraus keine Duldung wird.
Überwachungsgedanke kann durch Transparenz ausgeschlossen werden
• Mitarbeiter vorab über die Archivierungstätigkeiten, Speicherdauer, etc informieren (z. B. im
Onboarding-Prozess)
• Kontrollmechanismen für Archivzugriffe sicherstellen sowie gegebenenfalls Betriebsrat und
Datenschutzbeauftragten in Prozess involvieren.
30/10/18 31
Persönlichkeitsrechte vs. Unternehmensinteressen
Copyright |
30/10/18 32
Müssen Nachrichten von Ex-Mitarbeitern
gelöscht werden?
Copyright |
Nicht grundsätzlich - meist überwiegen
die Interessen des Unternehmens
• Nachvollziehbarkeit und Kontrolle wären
nicht mehr gegeben, wenn
Nachrichtenverläufe auseinander gerissen
würden.
• Wenn der Grund zur Speicherung nicht
mehr gegeben ist, muss trotzdem
gelöscht werden.
• Pseudonymisierung als möglicher
Kompromiss in Fällen, wo Recht auf
Löschung gegen Unternehmensinteressen
abgewogen werden müssen.
Ausführlichere Antworten auf diese
und noch viele weitere Fragen in
unserem eBook unter
www.ginlo.net/de/business/digital-
communication-under-gdpr/
30/10/18 33
Fazit: Dos and Don‘ts
Copyright |
Dos
Nutzererwartungen verstehen
Den Wandel treiben
Auf Verschlüsselung setzen
Geschäftliches und Privates trennen
Datenhoheit im Auge behalten
Auf Europäische Lösungen setzen
Don‘ts
Das Thema vernachlässigen
Restriktive IT-Strategie
Zu blauäugig vorgehen
Gleich die naheliegenste Lösung
nehmen
Langzeitfolgen ausblenden
30/10/18 34
Fabio Marti
Brabbler Secure Message and Data Exchange Aktiengesellschaft
Ria-Burkei-Straße 26
81249 München
Mail: fmarti@brabbler.ag
www.linkedin.com/in/fabio-marti-b5500215
www.ginlo.net
Vorstand: Eric Dolatre, Jörg Sellmann
Aufsichtsratsvorsitzender: Karsten Schramm
Amtsgericht München: HRB 217480
USt-IdNr.: DE300436559
Kontakt
Copyright |
30/10/18 36
Sichere Kommunikation in einem BYOD Kontext
Ermöglichen Sie Benutzern mit privaten Geräten, die nicht vom Unternehmen verwaltet
werden, eine sichere Teilnahme an der Kommunikation des Unternehmens, ohne sich mit
technischen Details wie VPN-Zertifikaten befassen zu müssen.
Schützen Sie vertrauliche Projekt-Informationen und Teamkommunikation
Erstellen Sie einen sicheren Raum für Projekte und Arbeitsgruppen, die streng vertraulich
arbeiten, wie es beispielsweise im Kontext von Insider, Strategie, Innovation oder IP der Fall ist.
Mobile Arbeitskräfte integrieren
Stellen Sie mobilen Mitarbeitern einen sicheren Kanal im Unternehmen zur Verfügung. So
können sie das kollektive Wissen des Unternehmens nutzen, egal wo sie sich befinden oder in
welchem Netzwerk sie sind.
Revisionssicherheit und Compliance
Stellen Sie sicher, dass Sie vergangene Korrespondenz stets als gesamte Historie verfügbar
haben. Das kann z. B. nötig sein, wenn Sie gesetzlich dazu verpflichtet sind, Sie in einem
Rechtsstreit Nachweise führen müssen oder ein Mitarbeiter unerwartet ausfällt.
Anwendungsszenarien
Copyright |

Weitere ähnliche Inhalte

Was ist angesagt?

[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf
unn | UNITED NEWS NETWORK GmbH
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
bhoeck
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
Bechtle
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
Ralph Belfiore
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
mmi-consult
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Thomas Klüppel
 

Was ist angesagt? (10)

[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
[DE] "Information Management: Herausforderung & Chance" | Dr. Ulrich Kampffme...
 
03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf03-60-AI-Bitkom-Cebit.pdf
03-60-AI-Bitkom-Cebit.pdf
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
[DE] Knowledge Management, eBusiness & Enterprise Content Management - Neue H...
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
 

Ähnlich wie Datenschutzkonform kommunizieren und archivieren

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Fujitsu Central Europe
 
M2M Journal - April 2015
M2M Journal - April 2015M2M Journal - April 2015
M2M Journal - April 2015
Martin Gutberlet
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
jiricejka
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Jan Rodig
 
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenMarktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
André Zehl
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Effizienz in Serverräumen und Rechenzentren
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Subrata Sinha
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
Praxistage
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
NoCodeHardening
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
nextwork GmbH
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)
Praxistage
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
caniceconsulting
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.orgBert82
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
Hellmuth Broda
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
Gigya
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
Damir Mrgic
 
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Agenda Europe 2035
 
Mit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfenMit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfen
bhoeck
 

Ähnlich wie Datenschutzkonform kommunizieren und archivieren (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
M2M Journal - April 2015
M2M Journal - April 2015M2M Journal - April 2015
M2M Journal - April 2015
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
 
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammenMarktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
Marktplätze im Netz – so kommen Cloud und Mittelstand endlich zusammen
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)Achim Schuch (Chori Technologie)
Achim Schuch (Chori Technologie)
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
privatsphare.org
privatsphare.orgprivatsphare.org
privatsphare.org
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
Dipl.-Ing. Alexander Lichtneger (Hewlett Packard)
 
Mit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfenMit Intelligenz das Böse bekämpfen
Mit Intelligenz das Böse bekämpfen
 

Datenschutzkonform kommunizieren und archivieren

  • 1. 30/10/18 1 Datenschutzkonform kommunizieren und archivieren Wie Sie elegant aus der WhatsApp- Falle herauskommen. Webinar IT-Sicherheit – 26.10.2018 Copyright |
  • 2. 30/10/18 2 Willkommen! Die Agenda: Copyright | • Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo • WhatsApp und andere Schatten-IT auf Geschäftshandys: Implikationen für Compliance und Sicherheit • Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein Beispiel aus der Praxis. • Verschlüsselung als Weg zu mehr Datenkontrolle • Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was darf, was muss?
  • 3. 30/10/18 3 Wer ist Brabbler? Ein sicherer DSGVO-konformer Messenger mit zentraler Verwaltung und Archiv Brabbler AG aus München, Deutschland ~70 Mitarbeiter aus über 20 Ländern Gegründet in 2015 durch die GMX-Gründer Vision: „Eine digitale Welt, in der Vertraulichkeit und Privatsphäre Realität sind.“ Das Unternehmen Das Business-Produkt Copyright |
  • 4. Digitale Kommunikation an deutschen Arbeitsplätzen: der Status Quo. 30/10/18 4Copyright |
  • 5. 30/10/18 5 Digitale Kommunikation ist der wichtigste Vektor für Cyberangriffe 34 % Security-Vorfälle, die mit einer E-Mail eingeleitet wurden.1 53 % 41 % Hacks, in welchen Kommunikationsdaten gestohlen wurden.2 deutsche Firmen, die in den letzten zwei Jahren angegriffen wurden.2 1) https://de.press.f-secure.com/2018/02/22/erkennung-von-zwischenfaellen-und-e-mail-attacken-fordern-unternehmen/ 2) https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html Copyright |
  • 6. 30/10/18 6 E-Mail wächst immer noch von Jahr zu Jahr, trotz inhärenter Sicherheitsschwächen. 281.1 293.6 306.4 319.6 333.2 2018 2019 2020 2021 2022 Quelle: The Radicati Group Prognose: Anzahl gesendeter und empfangener E-Mails pro Tag in Milliarden „Ohne Verschlüsselung ist eine E-Mail in etwa so vertraulich wie eine Postkarte.“ Copyright |
  • 7. 30/10/18 7 Private Schatten-IT in der Kommunikation, dominiert von Facebook Copyright | Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) „Welche der Dienste, die Sie privat nutzen, verwenden Sie auch zu geschäftlichen Zwecken?“
  • 8. 30/10/18 8 Bei Business Messaging Lösungen führt Microsoft deutlich Welche der folgenden Messaging-Lösungen für Unternehmen werden in Ihrer Firma oder Organisation eingesetzt? Copyright | Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/)
  • 9. 30/10/18 9 Schatten-IT als Folge fehlender Alternativen Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) Copyright |
  • 10. 30/10/18 10 Fehlende Awareness ist nicht das Problem Quelle: @work Survey by ginlo (https://www.ginlo.net/de/business/digitale-kommunikation-datenschutz-privat-und-im-beruf/) Copyright |
  • 11. 30/10/18 11 Digitale Kommunikation an deutschen Arbeitsplätzen: Zusammenfassung Copyright | • E-Mail ist der am häufigsten genutzte Angriffsvektor bei Cyberangriffen, bleibt aber unangefochten an Platz 1 der geschäftlich genutzten Kommunikationsmedien • Geschäftliche Kommunikation hängt der Entwicklung im privaten Umfeld hinterher, wo Messaging die E-Mail weitestgehend abgelöst hat. • Nicht einmal ein Drittel der Arbeitgeber bietet eine Business-Messaging-Lösung am Arbeitsplatz an, und dann meist Lösungen von Microsoft. • Als Folge bringen Mitarbeiter ihre privaten Kommunikationsdienste, meist Angebote von Facebook, an den Arbeitsplatz, um modern zu kommunizieren.
  • 12. WhatsApp und andere Schatten-IT auf Geschäftshandys: Implikationen für Compliance und Sicherheit. 30/10/18 12Copyright |
  • 13. 30/10/18 13Confidential | Implikationen von WhatsApp und Co. auf Geschäftshandys Datensicherheit • Offenes System – offen für Phishing und Spam • Fehlende Verschlüsselung ruhender Daten auf Endgeräten Compliance • DSGVO-Verstöße durch Abgleich mit lokalem Adressbuch • Speicherung von potentiell personenbezogenen Daten außerhalb der EU • Vernachlässigung möglicher Archivierungspflichten Datenhoheit • Zentrale Speicherung und Entschlüsselung von Korrespondenz weder möglich, noch erlaubt • Abgreifen von Daten durch US-Geheimdienste
  • 14. 30/10/18 14 Wirtschaftsspionage durch US-Geheimdienste ist keine Verschwörungstheorie Copyright |
  • 15. 30/10/18 15Confidential | BND Rechenzentrum (eröffnet 2014) NSA Rechenzentrum (eröffnet 2014) Quelle: www.br.de Quelle: www.spiegel.de „Wird schon gutgehen“ ist die falsche Einstellung
  • 16. Welche Lösungsansätze gibt es, und worauf gilt es zu achten? Ein Beispiel aus der Praxis. 30/10/18 16Copyright |
  • 17. 30/10/18 17 Kundenbeispiel Ausgangslage Kein einheitliches Kommunikationsmedium vorhanden z. B. Informationen zur Weihnachtsfeier via E-Mail, Fax, Memo, schwarzes Brett. Weltweit führender Know-How-Träger in seinem Bereich und daher ständiges Ziel von auch staatlich gesponserten Cyberangriffen. Stark gesetzlich reguliert sowie hohe Anforderungen von Seiten der Kunden generierten ein enges „Compliance-Korsett“. Mitarbeiter begannen, sich an der IT vorbei mit privaten Geräten und Kommunikationsdiensten auszutauschen – Stichwort WhatsApp. Copyright |
  • 18. 30/10/18 18 Was nicht (alleine) funktionierte Ausgesprochene Verbote Es gab klare dienstliche Anweisungen, die eine Nutzung privater Dienste verbot. Diese Regelung wurde auch immer wieder prominent transportiert, doch im täglichen Geschäft wurden immer wieder Abkürzungen genommen. ➔ Das Haftungsrisiko war zwar verteilt, aber die Datensicherheit immer noch in Gefahr IT-Restriktion Die Möglichkeit für Mitarbeiter, eigenmächtig Schatten-IT auf Dienstgeräten einzuführen war technisch nahezu gänzlich eliminiert (MDM, Application Management etc) doch die privaten Geräte der Mitarbeiter wurden stattdessen zum Problem. ➔ Interne IT war gut im Griff, doch Compliance, Datenhoheit und Datensicherheit nicht gegeben Copyright |
  • 19. 30/10/18 19 Lösung: Auf Mitarbeiterwünsche hören An die Wurzel des Problems gehen • Mitarbeiter gingen den Weg über die private Schatten-IT, um produktiver zu arbeiten, nicht aus Bequemlichkeit oder Gleichgültigkeit. • In einem abteilungsübergreifendem Projekt wurden Anforderungen und Wünsche der Mitarbeiter gesammelt. Nicht verhindern sondern ermöglichen • Eine Lösung wurde gesucht, die den Mitarbeitern ermöglichte, so effizient und unmittelbar zu kommunizieren, wie sie das aus privaten Diensten wie WhatsApp kannten. • Ein besonderer Fokus lag auf der einfachen Bedienung. Es mussten mehrere Generationen problemlos bedienen können. Copyright |
  • 20. 30/10/18 20 Verfügbare Kommunikationslösungen boten nur schlechte Kompromisse SicherheitCompliance Datenhoheit Business-Tools mit zentralem Archiv aber mangelnder Sicherheit und/oder Datenweitergabe an US-Behörden. (z. B. E-Mail, Slack, Stride, Skype for Business, ...) Sichere Ende-zu-Ende verschlüsselte Messenger mit Schlüssel- und Datenhoheit für den einzelnen Nutzer statt das Unternehmen. (z. B. Threema, Signal, Telegram, Wire ...) Sichere Verschlüsselte Messenger mit zentralem Archiv aber womöglich nicht ausreichender Anbieterabschirmung. (z. B. Teamwire, Wickr, ...) Copyright |
  • 21. 30/10/18 21 Am Ende fiel die Auswahl auf ginlo @work SicherheitCompliance Datenhoheit Vollverschlüsselung: Ende-zu-Ende für übertragene Daten und symmetrisch auf den Endgeräten. Hierarchische Verschlüsselung für volle Abschirmung der Daten gegen Brabbler als Anbieter sowie uneingeschränkte Datenhoheit für den Kunden Serverbasierte Architektur für komplettes Archiv aller Korrespondenz, ständiges Back-up und Multi-Device-Support Made & hosted in Germany und unter deutscher Rechtsprechung. Copyright |
  • 22. Verschlüsselung als Weg zu mehr Datenkontrolle. 30/10/18 22Copyright |
  • 23. 30/10/18 Copyright | 23 Verschlüsselung reduziert die Notwendigkeit von Vertrauen. Schlüsselhoheit = Datenhoheit
  • 24. 30/10/18 24 Verschlüsselung zieht das Sicherheitsnetz auf die Ebene des einzelnen Datums zusammen Copyright | Klassischer Netzwerkperimeter Nutzer erhalten Zugriff auf ein gesamtes Netzwerksegment. Bei Übernahme einer Identität durch einen Angreifer ist dadurch auch potenziell das gesamte Netzwerksegment kompromittiert
  • 25. 30/10/18 25 Verschlüsselung zieht das Sicherheitsnetz auf die Ebene des einzelnen Datums zusammen Copyright | Kryptoperimeter auf Basis einer Public Key Infrastruktur Nutzer haben Zugriff auf einzelne Datensätze, die von ihnen bzw. für sie verschlüsselt wurden. Bei Übernahme einer Identität durch einen Angreifer, sind nur einzelne Datensätze kompromittiert.
  • 26. 30/10/18 26 Verschlüsselung mit Anbieter-Abschirmung vermindert Risiken deutlich Copyright | Kontrolliert der Anbieter die Schlüssel, ergeben sich neue Bedrohungen, deren Risiko das Unternehmen trägt.
  • 27. Und die DSGVO? Unternehmensinteressen vs. Nutzerrechte – was darf, was muss? 30/10/18 27Copyright |
  • 28. 30/10/18 28 Viele Fragen seit der DSGVO – auch in Bezug auf digitale Kommunikation Copyright | ⁇ Darf ich als Unternehmen Nachrichten meiner Mitarbeiter noch archivieren? ⁇ Brauche ich dafür die Erlaubnis der Mitarbeiter? ⁇ Wo liegt die Grenze zwischen Wahrung von Datenhoheit und Überwachung? ⁇ Müssen Nachrichten von Ex-Mitarbeitern auf Wunsch gelöscht werden?
  • 29. 30/10/18 29 Viele personenbezogene Daten in der digitalen Kommunikation Copyright |
  • 30. 30/10/18 30 Darf ich noch archivieren? Brauche ich eine Einwilligung? Wo fängt Überwachung an? Copyright | Archivierung ist nach wie vor möglich • Nachvollziehbarkeit und Kontrolle sind berechtigte Interessen von Unternehmen. • Oft gibt es auch gesetzliche Archivierungspflichten, bspw. gemäß GoBD. Zustimmung ist grundsätzlich nicht erforderlich (berechtigtes Interesse) • Private Nutzung sollte jedoch (z. B. per innerbetrieblicher Anweisung oder Arbeitsvertrag) grundsätzlich verboten werden. • Wichtig: Befolgung des Verbots auch kontrollieren, damit daraus keine Duldung wird. Überwachungsgedanke kann durch Transparenz ausgeschlossen werden • Mitarbeiter vorab über die Archivierungstätigkeiten, Speicherdauer, etc informieren (z. B. im Onboarding-Prozess) • Kontrollmechanismen für Archivzugriffe sicherstellen sowie gegebenenfalls Betriebsrat und Datenschutzbeauftragten in Prozess involvieren.
  • 31. 30/10/18 31 Persönlichkeitsrechte vs. Unternehmensinteressen Copyright |
  • 32. 30/10/18 32 Müssen Nachrichten von Ex-Mitarbeitern gelöscht werden? Copyright | Nicht grundsätzlich - meist überwiegen die Interessen des Unternehmens • Nachvollziehbarkeit und Kontrolle wären nicht mehr gegeben, wenn Nachrichtenverläufe auseinander gerissen würden. • Wenn der Grund zur Speicherung nicht mehr gegeben ist, muss trotzdem gelöscht werden. • Pseudonymisierung als möglicher Kompromiss in Fällen, wo Recht auf Löschung gegen Unternehmensinteressen abgewogen werden müssen. Ausführlichere Antworten auf diese und noch viele weitere Fragen in unserem eBook unter www.ginlo.net/de/business/digital- communication-under-gdpr/
  • 33. 30/10/18 33 Fazit: Dos and Don‘ts Copyright | Dos Nutzererwartungen verstehen Den Wandel treiben Auf Verschlüsselung setzen Geschäftliches und Privates trennen Datenhoheit im Auge behalten Auf Europäische Lösungen setzen Don‘ts Das Thema vernachlässigen Restriktive IT-Strategie Zu blauäugig vorgehen Gleich die naheliegenste Lösung nehmen Langzeitfolgen ausblenden
  • 34. 30/10/18 34 Fabio Marti Brabbler Secure Message and Data Exchange Aktiengesellschaft Ria-Burkei-Straße 26 81249 München Mail: fmarti@brabbler.ag www.linkedin.com/in/fabio-marti-b5500215 www.ginlo.net Vorstand: Eric Dolatre, Jörg Sellmann Aufsichtsratsvorsitzender: Karsten Schramm Amtsgericht München: HRB 217480 USt-IdNr.: DE300436559 Kontakt Copyright |
  • 35.
  • 36. 30/10/18 36 Sichere Kommunikation in einem BYOD Kontext Ermöglichen Sie Benutzern mit privaten Geräten, die nicht vom Unternehmen verwaltet werden, eine sichere Teilnahme an der Kommunikation des Unternehmens, ohne sich mit technischen Details wie VPN-Zertifikaten befassen zu müssen. Schützen Sie vertrauliche Projekt-Informationen und Teamkommunikation Erstellen Sie einen sicheren Raum für Projekte und Arbeitsgruppen, die streng vertraulich arbeiten, wie es beispielsweise im Kontext von Insider, Strategie, Innovation oder IP der Fall ist. Mobile Arbeitskräfte integrieren Stellen Sie mobilen Mitarbeitern einen sicheren Kanal im Unternehmen zur Verfügung. So können sie das kollektive Wissen des Unternehmens nutzen, egal wo sie sich befinden oder in welchem Netzwerk sie sind. Revisionssicherheit und Compliance Stellen Sie sicher, dass Sie vergangene Korrespondenz stets als gesamte Historie verfügbar haben. Das kann z. B. nötig sein, wenn Sie gesetzlich dazu verpflichtet sind, Sie in einem Rechtsstreit Nachweise führen müssen oder ein Mitarbeiter unerwartet ausfällt. Anwendungsszenarien Copyright |