Zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen mit externen Mitarbeitern besondere Schritte unternehmen, um ihre Daten zu sichern und den Zugang der Mitarbeiter zu verwalten.
Die Datenschutz-Grundverordnung oder DSGVO ist ein Regelsatz zur Sammlung, Speicherung und Verarbeitung personenbezogener Daten. Die DSGVO betrifft alle Unternehmen, die Daten über Bürger der Europäischen Union (EU) sammeln. Unternehmen, die gegen die DSGVO verstoßen, müssen mit hohen Bußgeldern und Strafen rechnen. Das gilt auch für Unternehmen außerhalb der EU.
Die Einhaltung der DSGVO kann für jedes Unternehmen eine Herausforderung darstellen, und mit externen Mitarbeitern wird die Aufgabe noch komplexer. Wenn einige oder alle Mitarbeiter oder Auftragnehmer eines Unternehmens von zu Hause aus arbeiten, können interne Datenschutzteams weniger Kontrolle und Einblicke in die Datensicherheit haben. Solide Sicherheitsrichtlinien für Fernzugriff können zur Absicherung der Mitarbeiter und vertraulicher Daten beitragen, die von der DSGVO geschützt werden.
Richtlinien für Fernzugriff stellen eine Sammlung von Sicherheitsnormen für externe Mitarbeiter und Geräte dar. Sie werden gewöhnlich vom IT- oder Datenschutzteam eines Unternehmens zusammengestellt. Der Einsatz von virtuellen privaten Netzwerken (VPN), die Installation von Antischadsoftware auf den Geräten der Mitarbeiter oder mehrstufige Authentifizierung (MFA) sind alles Beispiele für Maßnahmen, die in Sicherheitsrichtlinien für Fernzugriff enthalten sein können.
Die DSGVO ist eine sehr umfangreiche Sammlung von Bestimmungen. Kurz zusammengefasst enthalten die hauptsächlichen Anforderungen der DSGVO Folgendes:
Einige dieser Anforderungen werden vom Einsatz externer Mitarbeiter nicht betroffen, andere haben jedoch unmittelbar damit zu tun. Da die Datensicherheit ein Hauptanliegen der DSGVO darstellt, müssen Unternehmen, die ihren Mitarbeitern erlauben, von zu Hause aus zu arbeiten, außerdem die richtigen Schritte zum Schutz der Daten unternehmen, auf die ihre Mitarbeiter externen Zugriff haben.
Viele EU-Unternehmen haben Filialen oder externe Mitarbeiter in anderen Ländern der Welt. Solange personenbezogene Daten innerhalb derselben Organisation bleiben und nicht bloßgelegt werden, erfüllen diese Unternehmen die DSGVO immer noch, auch wenn ein autorisierter Mitarbeiter in einer Region außerhalb des Geltungsbereichs der DSGVO auf die Daten zugreift.
Stellen Sie sich zum Beispiel vor, dass Bob bei einem Unternehmen in Frankreich angestellt ist, das Verbraucherdaten sammelt, und dann einen Monat in den USA arbeitet (wo die DSGVO nicht gilt). Sein Unternehmen erfüllt die DSGVO immer noch, auch wenn Bob von seinem Laptop in den USA aus auf die Verbraucherdaten zugreift. Das gilt natürlich nur, solange die Daten sicher bleiben.
Diese Argumentation kann jedoch nicht auf unabhängige Auftragnehmer und externe Agenturen angewendet werden, weil es sich dabei um Dritte außerhalb der Organisation handelt. Wenn ein nichtkonformer externer Auftragnehmer in einem anderen Land auf Daten aus Bobs Unternehmen zugreift, verstößt er damit gegen die DSGVO.
Daher ist es wichtig, starke Zugriffskontrollen einzurichten, wenn Mitarbeiter über viele Regionen verteilt sind. Nur designierte, autorisierte Personen innerhalb der Organisation dürfen in der Lage sein, auf Daten von EU-Bürgern zuzugreifen.
Im Wesentlichen verfolgt die DSGVO das Ziel, dass die Daten von Verbrauchern sicher und vertraulich bleiben. Die folgenden Schritte stellen daher einen wichtigen Teil aller Richtlinien für Fernzugriff dar (keine vollständige Liste):
Bei übertragenen Daten handelt es sich um Daten, die von Punkt A zu Punkt B unterwegs sind, z. B. zwischen einer SaaS-Anwendung und dem Gerät eines Benutzers. Gespeicherte Daten befinden sich zum Beispiel auf der Festplatte des Laptops eines Benutzers. In beiden Fällen müssen die Daten geschützt werden.
Die grundsätzlichen Datenschutzmethoden sind Zugriffskontrolle und Verschlüsselung. Externe Mitarbeiter müssen wie alle anderen auch einen guten Grund haben, um auf personenbezogene Daten zuzugreifen, und ihr Zugriff auf diese Daten muss überwacht und verwaltet werden. Methoden zur Identitäts- und Zugriffsverwaltung (IAM) verhindern, dass unautorisierte Personen Daten sehen und ändern können.
Außerdem sollten Daten, die Netzwerke durchqueren – und dazu gehört auch das Internet – durch HTTPS, ein VPN oder andere Methoden verschlüsselt werden. (Durch Cloud-basierte Anwendungen kann diese Regel für externe Mitarbeiter noch komplizierter werden. Wenn Sie mehr erfahren möchten, sollten Sie sich diesen Artikel über Unternehmens-VPNs durchlesen.) Darüber hinaus müssen Daten ebenfalls verschlüsselt werden, wenn sie auf Servern oder Festplatten gespeichert werden. Um dies zu erreichen, müssen IT-Teams ihre Sicherheitsrichtlinien zur Verschlüsselung auf allen Geräten durchsetzen – in manchen Fällen sogar auf den persönlichen Geräten ihrer Mitarbeiter.
Endpunktgeräte externer Mitarbeiter (z. B. Laptops, Desktop-Computer und Smartphones) müssen vor Cyberangriffen geschützt werden, weil eine Infektion mit Malware zu einer Datenschutzverletzung führen könnte. Als Mindestanforderung muss auf diesen Geräten Antischadsoftware installiert werden. Ein sicheres Web-Gateway kann auch zum Schutz von Mitarbeitern beitragen, während sie im Internet browsen.
Noch häufiger als Infektionen mit Malware sind jedoch verlorene Geräte: Laptops oder Smartphones mit sensiblen, lokal gespeicherten Daten, die Mitarbeiter versehentlich an einem öffentlichen Ort zurücklassen. Das ist ein weiterer Grund dafür, warum Geräteverschlüsselung unglaublich wichtig ist.
Phishing-Angriffe sind immer noch eine der häufigsten Ursachen von Datenschutzverletzungen. Ein Phishing-Angriff findet statt, wenn ein Angreifer einen Benutzer dazu verleitet, seine Anmeldeinformationen preiszugeben, woraufhin der Angreifer das Konto des Benutzers übernehmen kann. Die Folgen einer Kontoübernahme können für ein Unternehmen, das versucht, richtlinienkonform zu bleiben, katastrophal sein, weil der Angreifer dann in die Organisation eindringen und Verbraucherdaten sehen, bloßlegen oder stehlen kann.
Brute-Force- und Passwort-Spray-Angriffe können ebenfalls zu einer Kontoübernahme führen, weswegen Unternehmen strenge Passwortrichtlinien durchsetzen müssen. Niemand sollte das Passwort eines Mitarbeiters erraten können, und das Passwort sollte den meisten Bot-Angriffen standhalten können. Soweit möglich, sollten Unternehmen für jede aktive Unternehmens-Anwendung Zwei-Faktor-Authentifizierung einsetzen.
Cloudflare for Teams hilft beim Schutz von Daten unabhängig vom Standort der Teams. Cloudflare Access ermöglicht sichere Zugriffsverwaltung für Unternehmen ohne Einsatz von VPNs, indem die Ressourcen des Unternehmens hinter Cloudflares globales Netzwerk gesetzt werden. Cloudflare Gateway blockiert böswillige Websites mit DNS-Filterung, bietet vollständigen Einblick in den Datenverkehr in und von Unternehmensnetzwerken und setzt Browserisolation zum Schutz vor Zero-Day-Bedrohungen ein. Für höhere Sicherheit können Unternehmen Cloudflare for Teams einsetzen und so das Risiko einer Datenschutzverletzung reduzieren, wodurch ihre Einhaltung der DSGVO aufgehoben würde.
Cloudflare ist auch selbst DSGVO-konform, was dazu beiträgt, dass Cloudflare-Kunden ebenfalls konform bleiben.
Nach Lektüre dieses Artikels können Sie Folgendes:
Zugriffskontrolle
Was ist IAM?
Zero-Trust-Sicherheit
Sicheres Web-Gateway
Was ist ein CASB?
Um Ihnen mit Ihrer Website die bestmögliche Erfahrung bieten zu können, behalten wir uns die Verwendung von Cookies vor, wie hier beschrieben.Indem Sie diese Meldung akzeptieren, das Banner schließen oder unsere Webseiten weiter nutzen, stimmen Sie der Verwendung solcher Cookies zu.