Unternehmen mit Remote-Belegschaften müssen zusätzliche Maßnahmen ergreifen, um ihre Daten zu schützen und den Zugriff ihrer Mitarbeiter zu verwalten.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Datenschutzgesetz, das einen Rahmen für die Erhebung, Verarbeitung, Speicherung und Übertragung von persönlichen Daten schafft. Sie schreibt vor, dass alle persönlichen Daten auf sichere Weise verarbeitet werden müssen, und sieht Geldbußen und Strafen für Unternehmen vor, die diese Anforderungen nicht erfüllen.
Die Einhaltung der DSGVO kann für jedes Unternehmen eine Herausforderung darstellen, und mit externen Mitarbeitern wird die Aufgabe noch komplexer. Wenn einige oder alle Mitarbeiter oder Auftragnehmer eines Unternehmens von zu Hause aus arbeiten, können interne Datenschutzteams weniger Kontrolle und Einblicke in die Datensicherheit haben. Solide Sicherheitsrichtlinien für Fernzugriff können zur Absicherung der Mitarbeiter und vertraulicher Daten beitragen, die von der DSGVO geschützt werden.
Richtlinien für Fernzugriff stellen eine Sammlung von Sicherheitsnormen für externe Mitarbeiter und Geräte dar. Sie werden gewöhnlich vom IT- oder Datenschutzteam eines Unternehmens zusammengestellt. Der Einsatz von virtuellen privaten Netzwerken (VPN), die Installation von Antischadsoftware auf den Geräten der Mitarbeiter oder mehrstufige Authentifizierung (MFA) sind alles Beispiele für Maßnahmen, die in Sicherheitsrichtlinien für Fernzugriff enthalten sein können.
Die DSGVO ist ein sehr umfassendes Regelwerk. Unter anderem verlangt sie von den Verantwortlichen und Auftragsverarbeitern eine Reihe von spezifischen Maßnahmen. Dazu gehören unter anderem:
Die vollständigen Anforderungen an Verantwortliche und Auftragsverarbeiter sind in der DSGVO beschrieben.
Da die Datensicherheit ein Hauptanliegen der DSGVO darstellt, müssen Unternehmen, die ihren Mitarbeitern erlauben, von zu Hause aus zu arbeiten, außerdem die richtigen Schritte zum Schutz der Daten unternehmen, auf die ihre Mitarbeiter externen Zugriff haben.
Die folgenden Schritte stellen daher einen wichtigen Teil aller Richtlinien für Fernzugriff dar (keine vollständige Liste):
Bei übertragenen Daten handelt es sich um Daten, die von Punkt A zu Punkt B unterwegs sind, z. B. zwischen einer SaaS-Anwendung und dem Gerät eines Benutzers. Gespeicherte Daten befinden sich zum Beispiel auf der Festplatte des Laptops eines Benutzers. In beiden Fällen müssen die Daten geschützt werden.
Die grundsätzlichen Datenschutzmethoden sind Zugriffskontrolle und Verschlüsselung. Externe Mitarbeiter müssen wie alle anderen auch einen guten Grund haben, um auf personenbezogene Daten zuzugreifen, und ihr Zugriff auf diese Daten muss überwacht und verwaltet werden. Methoden zur Identitäts- und Zugriffsverwaltung (IAM) verhindern, dass unautorisierte Personen Daten sehen und ändern können.
Außerdem sollten Daten, die Netzwerke durchqueren – und dazu gehört auch das Internet – durch HTTPS, ein VPN oder andere Methoden verschlüsselt werden. (Durch Cloud-basierte Anwendungen kann diese Regel für externe Mitarbeiter noch komplizierter werden. Wenn Sie mehr erfahren möchten, sollten Sie sich diesen Artikel über Unternehmens-VPNs durchlesen.) Darüber hinaus müssen Daten ebenfalls verschlüsselt werden, wenn sie auf Servern oder Festplatten gespeichert werden. Um dies zu erreichen, müssen IT-Teams ihre Sicherheitsrichtlinien zur Verschlüsselung auf allen Geräten durchsetzen – in manchen Fällen sogar auf den persönlichen Geräten ihrer Mitarbeiter.
Endpunktgeräte externer Mitarbeiter (z. B. Laptops, Desktop-Computer und Smartphones) müssen vor Cyberangriffen geschützt werden, weil eine Infektion mit Malware zu einer Datenschutzverletzung führen könnte. Als Mindestanforderung muss auf diesen Geräten Anti-Malware installiert werden. Ein sicheres Web-Gateway kann auch zum Schutz von Mitarbeitern beitragen, während sie im Internet browsen.
Noch häufiger als Infektionen mit Malware sind jedoch verlorene Geräte: Laptops oder Smartphones mit sensiblen, lokal gespeicherten Daten, die Mitarbeiter versehentlich an einem öffentlichen Ort zurücklassen. Das ist ein weiterer Grund dafür, warum Geräteverschlüsselung unglaublich wichtig ist.
Phishing-Angriffe sind immer noch eine der häufigsten Ursachen von Datenschutzverletzungen. Ein Phishing-Angriff findet statt, wenn ein Angreifer einen Benutzer dazu verleitet, seine Anmeldeinformationen preiszugeben, woraufhin der Angreifer das Konto des Benutzers übernehmen kann. Die Folgen einer Kontoübernahme können für ein Unternehmen, das versucht, richtlinienkonform zu bleiben, katastrophal sein, weil der Angreifer dann in die Organisation eindringen und Verbraucherdaten sehen, bloßlegen oder stehlen kann.
Brute-Force- und Passwort-Spray-Angriffe können ebenfalls zu einer Kontoübernahme führen, weswegen Unternehmen strenge Passwortrichtlinien durchsetzen müssen. Niemand sollte das Passwort eines Mitarbeiters erraten können, und das Passwort sollte den meisten Bot-Angriffen standhalten können. Soweit möglich, sollten Unternehmen für jede aktive Unternehmens-Anwendung Zwei-Faktor-Authentifizierung einsetzen.
Erfahren Sie mehr darüber, wie Sie Angriffe zur Kontoübernahme verhindern können.