Checkliste für das flexible, mobile, aber sichere Arbeiten

Worauf CISO (Chief Information Security Officer) und Datenschutzbeauftragte beim Umgang mit unternehmenskritischen Daten achten sollten:

• Die Nutzung der Cloud-Anwendung soll einfach und flexibel sein, verschiedene Endgeräte unterstützen und sich in die bestehende Infrastruktur nahtlos integrieren lassen.
• Die Kommunikation zwischen Nutzer und dem Cloud, zwischen der Cloud und dem Administrator und zwischen einzelnen Cloud-Servern muss nach aktuellen Standards verschlüsselt werden.
• Die auf den Servern abgelegten und dort bearbeitbaren Dokumente müssen dort verschlüsselt werden. Dazu gehört eine verschlüsselte Speicherung von Passwörtern und Rechtekonzepten.
• Das Sicherheitsniveau der Cloud-Anwendung soll über eine Zertifizierung nachvollzogen werden können.
• Nur der berechtigte Anwender darf auf die Daten Zugriff haben. Dazu gehören eine zeitliche Begrenzung des Zugriffs auf bestimmte Inhalte oder eine Zwei-Faktor-Authentisierung über verschiedene Kommunikationskanäle. Der Zugriff auf einen Dokumentenlink etwa kann nur mit dem Passwort erfolgen, das über SMS an das Handy übermittelt wurde.
• Der Nutzer selbst soll den Zugriff auf die Dateien steuern können, etwa über eine Nur-Lesen-Erlaubnis. Änderungen an Inhalten sollen jederzeit nachvollzogen werden können.
• Dokumente müssen auch auf Endgeräten verschlüsselt und gegen Weitergabe gesichert werden.