Das Unternehmerportal der Berliner Volksbank
Strategie

EU-Datenschutzgrundverordnung: Die sieben Todsünden der digitalen Kommunikation

FOTONACHWEIS
© adiruch na chiangmai - fotolia.com

Viele Unternehmen gehen relativ sorglos mit ihrer digitalen Kommunikation um: Sie riskieren teilweise den Verlust von Betriebsgeheimnissen oder laufen Gefahr, gegen gesetzliche Vorgaben zu verstoßen.

Das kann Schäden verursachen und teuer werden – besonders, wenn ab Mai die EU-Datenschutzgrundverordnung umgesetzt werden muss.

Die Brabbler AG, Spezialist für sichere digitale Kommunikation, erläutert die sieben gängigsten Fehler:

1. E-Mails nicht verschlüsseln

Unverschlüsselte E-Mails sind die denkbar unsicherste Kommunikationsmethode – und de facto immer noch Standard in deutschen Unternehmen. Cyber-Kriminellen werden damit Tür und Tor geöffnet.

Unverschlüsselte Mails lassen sich relativ einfach belauschen und noch einfacher fälschen, etwa, um sich als Kollege oder Vorgesetzter auszugeben und den Empfänger so zur freiwilligen Preisgabe von Interna zu animieren.

2. Empfängerkreis unnötig aufblähen

Zunächst schickt nur ein Mitarbeiter einem anderen eine E-Mail. Im Laufe der weiteren Korrespondenz wächst der Empfängerkreis ständig an.

So gelangen am Ende Informationen an Personen, für die sie ursprünglich nie gedacht waren.

Wenn dabei noch die Mail-Adressen ins für alle sichtbare CC-Feld eingegeben werden, kommt auch noch ein Verstoß gegen den Schutz personenbezogener Daten hinzu.

3. WhatsApp und Co. nutzen

Auch die Nutzung von Kommunikationsdiensten wie WhatsApp ist aus rechtlicher Sicht problematisch: WhatsApp liest die Adressbücher der Mitarbeiter aus und gibt die Daten an Facebook weiter – eine klare Verletzung der DSGVO.

Andere Lösungen wie Slack, Hipchat oder der Facebook Messenger sind auch ungeeignet: Die Daten dieser Tools werden meist in den USA gespeichert – und damit in einem Land, dessen allgemeines Datenschutzniveau zu niedrig für die Erfüllung der DSGVO ist.

4. Dokumente über Public Clouds austauschen

Der Austausch von Dokumenten über Cloud-Dienste wie Google Drive, Dropbox oder Skype birgt Risiken. Derartige Dienste verschlüsseln ihre Dateien meist nur unzureichend und machen sensible Tabellen oder Präsentationen auslesbar.

Zum einen für die Anbieter selbst, aber auch Hackern wird die Arbeit damit deutlich erleichtert.

Da diese Dienste ihre Daten ebenfalls meist in den USA speichern, sind sie außerdem den Zugriffen neugieriger US-Behörden ausgeliefert und häufig nicht DSGVO-konform.

5. Arbeit nach Hause schicken

Eine andere gängige Praxis in vielen Unternehmen verursacht ähnliche Probleme. Um eine Präsentation oder ein Angebot am Abend oder am Wochenende nochmal in aller Ruhe daheim zu überarbeiten, schicken Mitarbeiter sie sich an ihre privaten E-Mail-Adressen.

Auch dort liegen die Dokumente häufig nicht ausreichend gesichert auf den Servern der Anbieter, die ihren Sitz oft in den USA haben.

6. Speichermedien nicht schützen

Nicht nur bei der Übertragung und Speicherung der Kommunikationsdaten auf den Servern der Anbieter liegt oft einiges im Argen, sondern auch auf den Endgeräten.

So werden die Daten in den lokalen Speichern von Smartphones, Tablets oder Desktop-PCs meist unverschlüsselt vorgehalten.

Damit sind sie im Fall eines Cyber-Angriffs ungeschützt: Wird einem Mitarbeiter ein Mobilgerät gestohlen oder verliert er es, kann auch der Dieb oder Finder die Daten unter Umständen auslesen.

7. Passwortsicherheit vernachlässigen

Mitarbeiter gehen meist zu lax mit den Passwörtern für ihre Kommunikationsdienste um: Sie verwenden Namen oder kurze Begriffe statt lange und komplexe Zeichenfolgen. Das macht es Hackern einfach, die Passwörter zu knacken.

Nutzen Mitarbeiter komplexe Zeichenfolgen, können sie sich diese natürlich meist nicht auswendig merken und müssen sie deshalb irgendwo abspeichern.

Das tun sie allerdings meist völlig ungeschützt irgendwo auf ihrem Rechner – wenn sie sie nicht gleich auf einem Post-it notieren und an ihren Bildschirm kleben.

Daniel Eyring, Team Lead Engineering bei Brabbler: „Unternehmen müssen ihre Mitarbeiter für einen sicheren und verantwortungsbewussten Umgang mit Kommunikationsdaten sensibilisieren. ,Katze123’ ist einfach nicht das beste Passwort.“