Datenschutz
Im abgeschirmten Teammodus
Fortsetzung des Artikels von Teil 1
Identity and Access Management
Ein wichtiger Aspekt ist das Identity and Access Management (IAM), das die Zugriffsrechte auf die Daten verwaltet. Die Aufgabe besteht darin, verlässlich nachzuvollziehen, wer wann auf welche Daten zugreift – egal, ob das nun in der Cloud, auf dezentralen Systemen oder auf mobilen Endgeräten passiert. Die EU-DSGVO schreibt im Artikel 32 unter Punkt B vor, dass Unternehmen Daten vor unbefugten Zugriffen (Vertraulichkeit der Daten) und Manipulation (Integrität der Daten) schützen müssen. Um das zu erreichen, empfehlen sich IAM-Systeme, die das Authentifizieren, Autorisieren und Kontrollieren der elektronischen Nutzer-Identitäten und getätigten Zugriffe vereinfachen und automatisieren. Entweder greift eine cloudbasierte Plattform über bestehende Single Sign On-Mechanismen, Active Directory oder Lightweight Directory Access Protocol (LDAP) auf bestehende IAM-Systeme zu oder bietet ein eigenes IAM an. Im Artikel 32 verpflichtet die EU-DSGVO Unternehmen generell dazu, angemessene Sicherheitsmaßnahmen für aktuelle Technologien einzusetzen. Konkret benennt der Gesetzestext beispielhaft geeignete Sicherheitsmaßnahmen – zum Beispiel unter Punkt A die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Für die Praxis bedeutet das unter anderem: Die Kollaborationslösung sollte nur Zertifikate zur Authentifizierung oder zur Verschlüsselung von Datenkommunikation verwenden, welche als sicher eingestufte Verschlüsselungsalgorithmen und Schlüssellängen anwenden.
Verschlüsselt kommunizieren
Zum Standard sollte es sich im Unternehmensumfeld entwickeln, sowohl den Transport als auch den Inhalt zu verschlüsseln. Den bestmöglichen Schutz für Online-Verbindungen erreichen Kollaborationsanwendungen heute, wenn sie das Übertragungsprotokoll TLS (Transport Layer Security) in der aktuellen Version mit PFS (Perfect Forward Secrecy) kombinieren. Letzteres bezeichnet eine Methode für den Schlüsseltausch, die das Entschlüsseln der Daten mit den Master Keys auf den Servern verhindert. Die Kommunikationspartner einigen sich vor ihrer Konversation auf einen Schlüssel, ohne diesen zu übertragen.
Unternehmen bleiben in der Kontrollpflicht
Anbieter entwickeln cloudbasierte Kollaborationsplattformen kontinuierlich weiter und passen sie an die sich verändernden Anforderungen und Nutzergewohnheiten an. Dabei geht es sowohl darum, bewährte Features zu verbessern als auch neue Funktionen zu ergänzen – insbesondere, um Arbeitsabläufe und die Zusammenarbeit zu unterstützen. Beispielweise erfassen erweiterte Suchfunktionen die gesamte Kommunikation und steigern damit ihren Nutzen. Daneben arbeiten die Anbieter vor allem daran, durch Features und Sicherheitsmaßnahmen, die die DSGVO-Konformität unterstützen, potenzielle Anwenderunternehmen zu überzeugen. Das befreit die Anwender aber in spe nicht, genauer hinzuschauen, ob der Provider angemessene Sicherheitsmaßnahmen bietet, um ein im Sinne des Datenschutzes gefordertes Sicherheitsniveau zu erreichen. Ein solches beruht unter anderem auf dem Prinzip, die Daten zu verschlüsseln – auf dem Server selbst und auch, wenn diese den Server verlassen. Diese Vorgehensweise sichert Unternehmen vor einem Datenleck oder vorsätzlichem Datendiebstahl ab, weil auf diese Weise nur verschlüsselte Daten verloren gehen würden.
Kai Kielhorn ist Head of Digital Workplace bei Atos Deutschland
- Im abgeschirmten Teammodus
- Identity and Access Management
Lesen Sie mehr zum Thema
