Anzeige von Datenverlusten
Das Prinzip der Anzeigepflicht - dass ein Unternehmen nach einem Sicherheitsvorfall die entstandenen Schäden anzeigen muss - sorgt dafür, dass eine Organisation, die eine schweren Datenverlust durch Sicherheitslücken erlitten hat, die Betroffenen und die Behörden informiert. "Transparenz nach Versagen" ist ein schadenbegrenzendes Prinzip: Die Angst vor Transparenz soll Unternehmen als Ansporn dienen, Datenschutz und Geheimhaltungspflicht ernst zu nehmen.
Gesetze zur Meldepflicht wurden erstmals 2003 in Kalifornien eingeführt. Der Staat war wie so oft ein Vorreiter der Sicherheitsgesetzgebung in technischen Belangen - im Datenschutz etwa bereits mit dem Online Tracking Transparency Act. Die meisten US-Bundesstaaten adaptierten danach Gesetze zur Anzeigepflicht; auf Bundesebene gilt es als üblich, dass HIPA Act, GLB Act und FTC Act auch Anzeigepflichten beinhalten. Das Modell ist jedoch nicht auf die USA beschränkt: Kanada, Australien und die EU folgen hierin dem amerikanischen Ansatz.
Wenn Unternehmen also keine sichere Technik einsetzen, um ihre Collaboration- und Sharing-Prozesse zu regeln, und es dann zu einem Sicherheitsvorfall kommt, ist die Wahrscheinlichkeit hoch, dass sie zur Offenlegung gezwungen werden. Samt aller unangenehmen Konsequenzen.
Empfehlungen
Collaboration spielt in Unternehmen eine wichtige Rolle; Gesetze und Behörden regulieren den Umgang mit sensiblen Informationen und fordern Compliance. Unternehmen, die entstehende Risiken minimieren und dennoch von Collaboration profitieren wollen, sollten daher die folgenden Empfehlungen beherzigen.
Zunächst gilt es, Collaboration im Unternehmen zu lokalisieren und zu identifizieren: Wo im Unternehmen findet Collaboration statt? Zu welchem Zweck? Welche Lösungen kommen zum Einsatz? Ist dies festgestellt, folgt die Gefährdungsbeurteilung: Wie wahrscheinlich und welcher Art sind mögliche Schäden an Daten, Personen und an anderen Unternehmen, die durch Collaboration entstehen könnten? Dies schließt auch mögliche rechtliche Konsequenzen mit ein. Use Cases und Prozesse mit hohem Risiko sollten isoliert werden.
Sind genügend Erkenntnisse gesammelt, müssen die Verantwortlichen im Unternehmen grundsätzliche Entscheidungen treffen zu Anpassungen und Verbesserungen in den Collaboration-Prozessen und in der Einstellung gegenüber dem Datenschutz. Die Kernpositionen sollten schriftlich in einem System von operativen Regeln fixiert werden, die dann ins Unternehmen durch Mitarbeiterschulungen eingebracht werden. Sollte ein Unternehmen sich entscheiden, einen externen Anbieter zu wählen, der es in Collaboration-Prozessen unterstützt - etwa durch eine Enterprise-Lösung - so sollten die Verantwortlichen unbedingt eine umfassende Prüfung des Anbieters durchführen und einen angemessenen schriftlichen Vertrag aufsetzen.
Anforderungen an eine Collaboration-Lösung
Die Nutzung jeder Collaboration-Lösung sollte vollständig nachprüfbar sein. Das bedeutet: Das Unternehmen muss jederzeit prüfen können, wer wann zu welchem Zweck auf welche Daten zugegriffen hat und was damit geschehen ist. Es sollte zudem eine Lösung gewählt werden, die möglichst wenige Änderungen am Arbeitsplatz zur Folge hat. Einfach und leicht zu nutzen sollte sie sein und ihren Zweck erfüllen - der Hauptgrund, warum Mitarbeiter die Unternehmens-IT umgehen, ist die Unzufriedenheit mit der Lösung, weil sie nicht das leistet, was der Mitarbeiter braucht oder will.
- Turtschi über Grundsatzentscheidungen
Adrian Turtschi ist Service Line Lead Collaboration bei Avanade, einem Anbieter für Unternehmenstechnologie-Lösungen und Microsoft-Partner. Er meint: "Die Frage, ob ich Collaboration-Tools einsetze, ist durch. Es geht nur noch um die Frage, wie ich sie einsetze" - IntraLinks über Anforderungen
IntraLinks, Lösungsanbieter für Enterprise Collaboration, formuliert es in einem für die CW zusammengestellen Anforderungskatalog folgendermaßen: "Der Business-User möchte zu jeder Zeit und von jedem Device auf seine Dokumente zugreifen. Für den technischen Anwender steht die Sicherheit im Rahmen von Verschlüsselung, sicherer Transport und Verfügbarkeit (zeitlich und implizites Backup) an hoher Stelle. Ein Muss ist das Datenhosting in der EU." - Wünsch dir was
"Allgemein wünschen sich Kunden die intuitive Unterstützung Ihrer Business-Prozesse auf Basis von Dokumenten. Dies verbunden mit der hohen Sicherheit und Zugriffsschutz. Kollaboration, also gemeinsames Arbeiten an Dokumenten in Projektteams die innerhalb und außerhalb der Firmengrenzen (Firewall) ist ein weiteres Thema. Es geht um die Auditierbarkeit von Dokumentenzugriffen und Workflows. Wissensdatenbank und Doc-Sharing stehen dabei mehr im Vordergrund als Chat und Kalenderfunktionen." - Turtschi über Innovation...
Turtschi sieht noch mehr Gründe für den Einsatz von Collaboration-Tools als den bloßen Funktionsumfang: "Innovation und Collaboration hängen stark zusammen. Es geht darum, ein Thema zu finden, etwas gemeinsam im Team zu entwickeln." - ... und Projekte
Er resümiert: "Wir müssen uns von den großen Würfen im Collaboration-Bereich verabschieden und zu schnelleren Release-Zyklen kommen. Eine monolitische Projekteinführung ist nicht der richtige Weg."
Die Lösung sollte es dem Nutzer ermöglichen, schnell verschiedene Dokumente in nachvollziehbare Sicherheitsstufen einzuteilen, je nach Art der sensiblen Information. Zugriffsrechte und Privilegien sollten leicht einzustellen und granular steuerbar sein. Dokumente sollten in ihrem nativen Format geteilt werden können, da eine Konvertierung Integritätsverlust nach sich ziehen kann.
Verantwortliche sollte nach einem innovativen Einsatz von DRM und Verschlüsselung Ausschau halten, speziell im Bereich des "Tethering", sodass Zugriffsrechte zeitlich begrenzt und selbst nach dem Teilen der Informationen widerrufen werden können. Zuletzt sollte die Lösung gespeicherte Informationen verschlüsseln und besonders bei der Datenübertragung auf hohe Verschlüsselungsstufen zurückgreifen, idealerweise mit individuellen Schlüsseln für einzelne Dateien.
Anbieterwahl
Unternehmen müssen sich gerade in sensiblen Themen wie Collaboration und Datenschutz voll auf den Anbieter verlassen können. Daher sollten sie nur solche Anbieter zurückgreifen, die Erfahrung in ihrer Branche mitbringen, Schlüsselreferenzen und einen einwandfreien Hintergrund vorweisen können. Besonders vorteilhaft sind Anbieter, die auch externe Parteien unterstützen (nicht nur den zahlenden Kunden), da dies für ein Unternehmen eine operative Erleichterung ist - gerade in der Zusammenarbeit mit externen Partnern und Lieferanten. Unternehmen sollten Wert darauf legen, einen Anbieter zu suchen, der seine Kunden Einblick in sein Unternehmen nehmen lässt und sich externen Sicherheitsprüfungen unterwirft.
- Team-Collaboration
Google Docs, Microsoft SharePoint - Web- und Videokonferenzen
Cisco WebEx, Citrix GoToMeeting, Microsoft Lync Online - Datenspeicher / -austausch
SSP Secure Dataspace, CenterDevice - Enterprise Social Software
IBM Connections, Jive Software, Microsoft Yammer, Salesforce Chatter
Fazit
Unternehmen sind selten nur in einem Land aktiv: größere Unternehmen haben Niederlassungen im Ausland, kleinere Firmen sind oft mit ausländischen Partnern und Lieferanten verknüpft - oder arbeiten einfach mit einem ausgelagerten Dienstleister zusammen. Hier lauert bereits das Compliance-Risiko, denn selbst wenn lediglich Unternehmensdaten auf einem ausländischen Server liegen, kann das Unternehmen eventuell unter die Gesetzgebung und Datenschutzrichtlinien dieses Landes fallen. Besonders die USA wird oft zum Datenlagerplatz. Unternehmen, die das bisher ignoriert haben, sollten ihr Bewusstsein der Datennutzung schärfen. Es gilt sich zu informieren, wo und wie Unternehmensdaten verarbeitet und gelagert werden und welche Richtlinien welcher Länder tatsächlich zu beachten sind. Das gilt sowohl für die interne Nutzung von Collaboration-Lösungen als auch für die Zusammenarbeit mit externen Anbietern. (sh)