Wissen für Unternehmen

[datensicherheit.de, 20.08.2018] Die Brabbler AG erläutert, wie Unternehmen ihr Interesse an Archivierung und Zugriff auf die digitalen Nachrichten ihrer Mitarbeiter mit den Anforderungen der DSGVO unter einen Hut bekommen. Die DSGVO setzt die digitale Kommunikation von Unternehmen unter ein neues Spannungsverhältnis. Firmen haben naturgemäß ein großes Interesse daran, sämtliche Nachrichten ihrer Mitarbeiter zentral zu archivieren und bei Bedarf darauf zuzugreifen – etwa wenn ein Mitarbeiter überraschend ausfällt oder um bei Rechtsstreitigkeiten Nachweise erbringen zu können. Dieses Interesse steht nun den gestärkten Datenschutzrechten der Mitarbeiter durch die DSGVO gegenüber. Dadurch sind viele Unternehmen verunsichert.

In sechs Punkten erläutert die Brabbler AG, was Unternehmen wissen müssen, um Datenhoheit und Datenschutz erfolgreich unter einen Hut zu bekommen:

1. Alle Nachrichten dürfen weiter archiviert werden
   Ein genauer Blick auf die aktuelle Gesetzeslage relativiert viele Befürchtungen. Unternehmen dürfen die geschäftliche Korrespondenz ihrer Mitarbeiter nach wie vor archivieren. Das gilt nicht nur in Fällen, in denen eine explizite gesetzliche Pflicht dazu vorliegt. Auch das ureigene Bedürfnis an Nachvollziehbarkeit und Kontrolle ist weiterhin ein gültiger Grund.
2. Eine Erlaubnis der Mitarbeiter zur Archivierung ist nicht erforderlich
   Laut DSGVO ist die Rechtmäßigkeit der Datenverarbeitung gegeben, wenn sie „zur Erfüllung einer rechtlichen Verpflichtung“ oder „zur Wahrung berechtigter Interessen“ nötig ist. Somit sind die beiden Hauptgründe für die Archivierung im Unternehmen konkret im Gesetzestext benannt. Eine Zustimmung der Mitarbeiter ist deshalb nicht erforderlich.
3. Nachrichten von Ex-Mitarbeitern müssen nicht automatisch gelöscht werden
   Ehemalige Mitarbeiter haben zwar grundsätzlich ein Recht auf Vergessenwerden; bei geschäftlicher Korrespondenz überwiegen jedoch nach verbreiteter Expertenmeinung meist die Belange des Arbeitgebers. Das Löschen von Nachrichten einzelner Beteiligter würde nämlich in vielen Fällen ganze Kommunikationsverläufe auseinanderreißen und die Nachvollziehbarkeit stark beeinträchtigen.
4. Private Nutzung der Kommunikationssysteme sollte ausgeschlossen werden
   Problematisch wird es allerdings, wenn die private Nutzung der Firmenaccounts nicht explizit verboten ist. Dann unterliegen die privaten Nachrichten dem Fernmeldegeheimnis. Die sicherste und praktikabelste Lösung ist es deshalb, die private Nutzung der Kommunikationssysteme des Unternehmens vollständig zu verbieten und so Geschäftliches von Privatem klar zu trennen.
5. Zugriff auf Nachrichten darf nicht in Überwachung ausarten
   Ein uneingeschränkter Zugriff von Unternehmen auf die Nachrichten ihrer Mitarbeiter ist nicht zulässig. Der Grundsatz der Verhältnismäßigkeit verbietet ein anlassloses und dauerhaftes Mitlesen. Das Transparenzgebot verlangt, dass Unternehmen ihre Mitarbeiter über die zentrale Speicherung informieren und Angaben zu Zweck und Dauer der Speicherung sowie zum zugriffsberechtigten Personenkreis machen. Zudem sollte bei Zugriffen der Datenschutzbeauftragte anwesend sein oder zumindest darüber informiert werden.
6. Kommunikationssysteme müssen sichere Verarbeitung gewährleisten
   Die größte Herausforderung für die digitale Kommunikation stellt die Sicherheit der Verarbeitung von persönlichen Daten dar. Den Anforderungen der DSGVO werden die offenen E-Mail-Systeme hierbei häufig ebenso wenig gerecht wie private Messenger à la WhatsApp. Eine gute Alternative sind geschlossene Business-Messaging-Systeme, die ihre Nachrichten durch Verschlüsselung vor unautorisierten Zugriffen schützen und es Unternehmen gleichzeitig ermöglichen, die Nachrichten zentral zu archivieren und bei Bedarf zu entschlüsseln.

Bild: Brabbler AG

Fabio Marti, Director Business Development bei der Brabbler AG

„Bei der Auswahl eines geeigneten Kommunikationssystems sollten Unternehmen ganz genau hinschauen“, rät Fabio Marti, Director Business Development bei Brabbler. „Bei vielen verschlüsselten Messengern liegen die einzelnen Schlüssel nur auf den Geräten der Nutzer, so dass ein zentraler Zugriff auf Klartextdaten durch das Anwenderunternehmen ausgeschlossen ist. Die Lösungen sollten stattdessen ein Verschlüsselungskonzept aufweisen, mit dem sich bei Bedarf auch an zentraler Stelle Nachrichten entschlüsseln lassen. Nur dann ist gewährleistet, dass DSGVO-konforme Sicherheit nicht zulasten der berechtigten Archivierungsinteressen von Unternehmen geht.“

Weitere Informatione zum Thema:

ginlo @work
eBook: Digitale Kommunikation unter der DSGVO

datensicherheit.de, 29.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook

datensicherheit.de, 23.03.2018
Die sieben häufigsten Fehler der digitalen Kommunikation

[datensicherheit.de, 07.09.2011] Viele Unternehmen nutzen bereits die Cloud als Speicherort für Daten, Applikationen etc. Mancher IT-Verantwortliche hat aber immer noch Bedenken und fragt sich, ob die „Wolke“ wirklich sicher ist. Diese und andere Fragen beantwortet die sysob IT-Distribution zusammen mit ihrem Partner Barracuda Networks im Rahmen der „it-sa 2011“ in Nürnberg:
Unter dem Motto „Be the Cloud for your Costumer“ präsentieren die Unternehmen in Halle 12, Stand 235, aktuelle Datensicherungslösungen. Im Fokus stehen der „Message Archiver“ zur gesetzeskonformen E-Mail-Archivierung sowie der „Backup Service“, der in Kombination mit „Cloud Storage“ für eine lückenlose Absicherung und Replizierung von Daten sorgen soll.
Bei beiden Produkten handele es sich um hybride Lösungen, die eine lokale „Appliance“ mit dem Cloud-Ansatz verknüpften. Für die sichere Übertragung sensibler Daten in standortferne Rechenzentren hat Barracuda den „Backup Service“ entwickelt. Dieser speichere zum einen lokale Daten über eine dedizierte Anwendung und sorge so für eine verbesserte Performance sowie schnelle Wiederherstellung; zum anderen könnten IT-Verantwortliche durch die Kombination von „Appliance“ und „Cloud Storage“ zwischen standortfernen Rechenzentren Daten übertragen und replizieren. Der Speicherplatz in der „Wolke“ werde von Barracuda bereitgestellt.
Die Barracuda-Lösung umfasst zusätzlich den „Software Backup Agent“, der ein vollständiges Abbild aller Daten des „Microsoft Exchange Server“, „Microsoft SQL Server“ sowie des „Windows“-Systemstatus und der „Windows“-Systemdateien anlege. Daneben unterstütze das Programm weitere Sicherungsverfahren automatisch, ohne dass zusätzliche Installationen nötig seien. Mit Hilfe der webbasierten Nutzeroberfläche erhielten Administratoren einen Einblick in die „Backup Server“ sowie deren Verwaltung und Wartung.
Im Hinblick auf den geschäftlichen E-Mail-Verkehr seien Compliance-Anforderungen bezüglich Nachprüfbarkeit, Fristenwahrung etc. mittlerweile verpflichtend für Unternehmen. Um den gesetzlichen Richtlinien nachkommen zu können, biete sich der Einsatz einer integrierten Hardware-Software-Lösung an, die alle von den Mitarbeitern gesendeten und empfangenen Nachrichten speichert. Barracuda Networks halte hierzu den „Message Archiver“ im Portfolio bereit. Er bewahre alle versendeten und empfangenen E-Mail-Nachrichten rechtskonform auf und indiziere diese automatisch in Echtzeit. Zur direkten Erfassung nutze der „Message Archiver“ die Journaling-Funktion von „Microsoft Exchange“ oder anderen standard-basierenden Servern. Die Lösung importiere zudem auch historische E-Mails sowie PST-Dateien und sorge damit für ein lückenloses Archiv.
Indem alle E-Mails und Anhänge per Offloading den „Message Archiver“ erreichten, steigere sich die Performance des Mail-Servers deutlich. Außerdem würden Storage-Kosten deutlich reduziert. Darüber hinaus habe Barracuda den „Message Archiver Client Add-in“ integriert, der einen schnelleren Zugriff auf die archivierten Nachrichten erlaube. Für mehr Kontrolle und die Einhaltung der gesetzlichen Vorgaben sorgten rollenbasierende Benutzeroberflächen sowie die manipulationssichere Archivierungsmethode. In Version 2.0 stehe dem Anwender eine „Stubbing“-Funktion für „Microsoft Exchange“ zur Verfügung, die den Verbrauch von Speicher- und Datenübertragungsressourcen senke.

Abbildung: SecuMedia Verlags GmbH, Gau-Algesheim

sysob: Gesprächstermin auf der Messe und kostenlose Eintrittskarte online reservieren.

sysob kann vom 11. bis 13. Oktober 2011 auf der „it-sa“ in Nürnberg in Halle 12, Stand 235 besucht werden. Ab sofort können sich Interessenten online einen Gesprächstermin auf der Messe sichern – damit reservieren sie sich außerdem eine kostenlose Eintrittskarte zur Messe.

Weitere Informationen zum Thema:

sysob
MESSEN UND EVENTS / Wir laden Sie herzlich zur it-sa nach Nürnberg ein! / 11. bis 13. Oktober 2011 – Halle 12, Stand 235

sysob
BARRACUDA NETWORKS

[datensicherheit.de, 27.07.2011] ByteAction bietet sein Archivierungssystem „BytStorMail“ in Form einer SaaS-Lösung („Software-as-a-Service“) an. Damit könnten insbesondere Rechenzentrumsbetreiber, Systemhäuser und Provider in Deutschland ihren Kunden eine Lösung bereitstellen, die alle ein- und ausgehenden E-Mails Compliance-gerecht auf virtuellen oder dedizierten Servern mit Storage und regelmäßigen Backups archiviere:
„BytStorMail“ soll für jedes E-Mail-System geeignet sein und für mehr Flexibilität sowie eine Schonung der unternehmensinternen Ressourcen sorgen. Falls erforderlich bzw. gewünscht, könnten Unternehmen ihre Domain auch im „ByteAction“-Rechenzentrum hosten. Innerhalb weniger Stunden lasse sich das Archivierungssystem in die vorhandene Umgebung integrieren.
Einmal implementiert, soll „BytStorMail“ für eine korrekte Ablage aller E-Mails nach gesetzlichen Richtlinien (GDPdU) in Bezug auf Aufbewahrungsfristen, Lesbarkeit etc. sorgen. Bevor die elektronische Post den jeweiligen Empfänger erreicht, versieht „BytStorMail“ jede E-Mail inklusive deren Anhang mit einem Zeitstempel sowie einer
Prüfsumme und speichert sie ab. Bei Bedarf ließen sich diese archivierten Nachrichten innerhalb kurzer Zeit suchen und wiederherstellen. Im Hinblick auf sensible Vorgänge sorge das sogenannte Vier-Augen-Prinzip für mehr Sicherheit, indem es die Zugriffsrechte auf mehrere Personen verteile.
Hervorgehoben wird auch die Rechtssicherheit, die der Serverstandort Deutschland bietet – ByteAction betreibe nachweislich alle virtuellen bzw. dedizierten Server ausschließlich in Rechenzentren innerhalb Deutschlands. Für größtmögliche Sicherheit verfügten diese Server über ausreichend Kapazitäten, und es werde zudem ein regelmäßiges Backup durchgeführt.

Weitere Informationen zum Thema:

ByteAction
BytStorMail / Software as a Service (SaaS)

Sicherheit im E-Business: Risiken für alle Internetnutzer, Risiken für Unternehmen

Termin: 03.09.2009, 18.00 – 20.00 Uhr
Ort: Handwerkskammer Berlin, BTZ Bildungs- und Technologiezentrum, Mehringdamm 14, 10961 Berlin
Themen:

• Einsatz von E-Mail im Unternehmen
• Spam- und Virenschutz
• private E-Mail-Nutzung am Arbeitsplatz
• revisionssichere E-Mail-Archivierung
• Risiken des Internets für alle Nutzer und Unternehmer

Referent: Peer Heinlein, Heinlein Professional Linux Support
Peer Heinlein ist Linux-Consultant und E-Mail-Spezialist seit 1992 sowie Autor mehrerer Fachbücher über den Betrieb sicherer Mailserver.

Typ: kostenlose Vortragsveranstaltung

Veranstalter:
TSB Innovationsagentur Berlin GmbH
http://www.ecomm-online.de/veranstaltungen/veranstaltung+M5bbeb4729b0.html