www.intelliExperts.de – Wie schütze ich meine persönlichen sowie fremde Daten richtig? Was ist bei Verlust zu tun? Wo kann ich mich informieren? Wir geben Ihnen im neuen Blogbeitrag Auskunft über Sicherheit im Projekt.
Am 5. Mai 2020 berichteten NDR, WDR und Süddeutsche Zeitung, dass der Generalbundesanwalt des Bundesgerichtshofes gegen einen russischen Hacker einen internationalen Haftbefehl erlassen habe. Der Hacker soll für den russischen Militärgeheimdienst GRU arbeiten und eine entscheidende Rolle beim Bundestags-Hack 2015 gespielt haben.
Damit zeigt sich, dass auch besonders wichtige Systeme für die Stabilität in Deutschland nicht ausreichend vor Hackerangriffen gesichert sind.
Hinzu kommt jetzt aufgrund eines Urteils des Bundesverfassungsgerichtes die Notwendigkeit einer neuen Gesetzesvorlage seitens des Bundestages für den Bundesnachrichtendienst vorzulegen.
Was bedeuten beide Nachrichten für Sicherheit in Projekten?
Einerseits müssen sensible Systeme besonders gut und regelmäßig geschützt werden, andererseits darf dieser Schutz nicht zu Lasten der Rechte jener gehen, deren Daten geschützt werden sollen. Dazu gehören beispielsweise Firmen, Mitarbeiter, Journalisten und Whistleblower.
In Projekten wird viel und intensiv zusammengearbeitet. Viele Projektbeteiligte haben Zugriff auf vielfältige Informationen wie zum Beispiel Kundendaten.
Dabei sind oft mobile Geräte im Einsatz (man erinnere sich nur an die mobile Überwachung der Bundeskanzlerin, 28.10.2013: https://www.spiegel.de/spiegel/print/d-118184380.html) und auch Dienstreisen ins außereuropäische Ausland sind an der Tagesordnung.
Man sieht also, es gibt jede Menge Angriffsflächen für einen potenziellen Datendiebstahl. Was können Sie im Projektmanagement dagegen tun, dass ihre Daten nicht verloren gehen oder gestohlen werden?
Grundlegende Fragen:
Wie wird der Datenschutz im eigenen Unternehmen gehandhabt?
Klären Sie Rechte und Pflichten vorab.
Empfehlung: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen_node.html
Wie muss ich die Daten schützen, was darf ich mit den Daten überhaupt machen, wer kann meine Daten einsehen?
Hierbei ist es hilfreich, eine Klassifizierung von Informationen bezüglich ihrer Sicherheitsstufe vorzunehmen, zum Beipiel in offen, intern, vertraulich und streng vertraulich. Damit lässt sich einfacher eine projektinterne Regelung für die Handhabung von sensiblen Daten treffen und den Mitarbeitern verständlich machen.
Wer hat Zugang zu was?
Da wir heutzutage viel mehr digital arbeiten, als dies früher der Fall war, bleibt in der Projektarbeit der Kontakt zur IT-Abteilung des Unternehmens nicht aus. Als Projektleiter müssen Sie die Zugriffsrechte der Mitarbeiter mit dem Zuständigen aus der IT klären und dokumentieren.
Machen Sie außerdem nachvollziehbar, wer welche Daten wann aufruft. Dies hilft nicht nur der Nachverfolgung von Änderungen an den Daten, sondern auch einen eventuellen Datendiebstahl im Nachhinein besser aufklären zu können. Außerdem wirkt die Nachverfolgung des Zugriffs abschreckend und ist daher eine präventive Maßnahme. Tipp: stimmen Sie das unbedingt mit dem Betriebsrat ab, falls vorhanden.
Über welche Medien und welche Verbindung erfolgt der Zugang?
Viele Firmen bieten ihren Mitarbeitern den Zugang von außen über VPN-Server und unterschiedliche Sicherheitszertifikate an. Hinzu kommen die Verwendung verschlüsselter ftp-Server und ein geschütztes Intranet.
Wer ist der eindeutige Ansprechpartner für Störmeldungen, Diebstahl, Verdacht und Support? Und wie erreiche ich ihn?
Finden Sie die zuständige Stelle und eventuelle Notfallnummern für ihr spezifisches Anliegen heraus und dokumentieren Sie sie im Projekthandbuch.
Maßnahmen zur Vermeidung: Was gemacht werden muss
Am Arbeitsplatz und im Büro
Unterlagen wegschließen
PC immer sperren, auch wenn Sie nur kurz den Arbeitsplatz verlassen
Notebook mit Notebookschloss gegen Diebstahl sichern
Kamera deaktivieren oder abkleben
Türen schließen bei vertraulichen Gesprächen
Zu Hause arbeiten
WLAN mit Passwort schützen
Geräte nicht von anderen Personen nutzen lassen
Unterlagen auch daheim verschließen.
Dateien in der entsprechenden Cloud sichern.
Regelungen / Sicherheitsrichtlinie für die Telearbeit mit Unternehmensdaten erfragen
Zutritts- und Zugriffsschutz gewährleisten, z. B. kein Einblick für Familienangehörige auf Daten und Unterlagen
Sicherheitstechnische Anforderungen an Heimnetz, Hard- und Software zum Schutz der Vertraulichkeit prüfen lassen
Unterwegs arbeiten
Vermeiden Sie vertrauliche Telefonate in öffentlichen Räumen mit Publikumsverkehr.
Nutzen Sie spezielle Sichtschutzfolien.
Ganz wichtig: Vertrauen Sie Ihrem gesunden Menschenverstand: bearbeiten Sie keine vertraulichen Informationen, wenn Sie Mitleser nicht ausschließen können.
Lassen Sie Laptop, Tablet oder Smartphone nicht unbeaufsichtigt. Nehmen Sie die Geräte besser mit.
Vergessen Sie beim Aussteigen aus öffentlichen Verkehrsmitteln keine Ausdrucke und Unterlagen
Grundsätzlich
- Die Datensicherheit mobiler Geräte ist überall dort ein besonderes Problem, wo ein öffentliches WLAN angeboten wird.
- Phishing-E-Mail-Anhänge oder -Links kommen sehr häufig vor. Passen Sie auf!
- Verschlüsseln Sie tragbare IT-Systeme und Datenträger mit sensiblen Unternehmensdaten
Es ist passiert: Sie wurden gehackt, ihr Gerät wurde gestohlen, was nun?
Laptops, Tablets und Smartphones sind mobil, wertvoll und daher auch für Diebe attraktiv. Nur zu schnell gehen sie verloren oder werden gar gestohlen. Was tun, wenn dieser Fall eintritt?
Rufen Sie Ihr eigenes Handy an. Oft ist das Dienst-Handy gar nicht weg, sondern nur aus dem Blickfeld. Klingelt es dann in Ihrer Tasche, ist die Erleichterung groß. Und nicht selten antwortet auch ein ehrlicher Finder, der Ihnen Ihr Smartphone zurückgibt.
SIM-Karte sofort sperren lassen
Ist Ihr Dienst-Handy wirklich weg, wenden Sie sich unverzüglich an Ihren Mobilfunkanbieter oder den bundesweiten Sperr-Notruf (116 116, https://www.sperr-notruf.de), damit die SIM-Karte gesperrt wird.
Fundbüro und Polizei
Verständigen Sie auch das Fundbüro und zeigen Sie gegebenenfalls einen Diebstahl bei der Polizei an. Dazu brauchen Sie nur vorab die Gerätenummer „IMEI“. Tippen Sie dafür die *#06# ein und die IMEI wird auf dem Display angezeigt. (Jetzt probieren und gleich notieren!)
Hardware in den Öffentlichen Verkehrsmittel liegen gelassen? Melden Sie Ihren Verlust (Bahn oder Bahnhof) auch beim Fundservice der DB oder des Nahverkehrsanbieters ihrer Stadt. Vielleicht taucht Ihr Gerät dort wieder auf.
Melden Sie den Verlust bei den zuständigen Stellen im Unternehmen. So können auch dort die entsprechenden Schritte eingeleitet werden. Schließlich kann sich ein Dieb eventuell auch über ihr Gerät in das Firmennetzwerk einloggen.
Daten löschen aus der Ferne
Wenn Sie einen Diebstahl vermuten, sollten Sie bei Ihrem Smartphone alle Daten „remote“ (also aus der Ferne) löschen, damit sie nicht in unbefugte Hände gelangen. Dazu müssen vorher allerdings die Ortungsdienste aktiviert und die entsprechende Einstellung vorgenommen werden (Anleitung geben die Support-Websites der Hersteller).
Vermeiden Sie zu viele oder unnötige Daten auf Ihren mobilen Geräten. Stellen Sie sich rechtzeitig alle Geräteangaben zusammen, bevor etwas passiert:
Laptop: Rechnername
Handy/Tablet mit SIM: Rufnummer, IMEI-Nummer (Seriennummer), SIM-Kartennummer
Schluss
Bei Themen rund um die Sicherheit geht es vor allem darum, dass ihre Mitarbeiter, Kollegen und Sie selbst die nötigen Informationen zur Hand haben, um entsprechend agieren und reagieren zu können. Sensibilisieren Sie sich und ihre Mitarbeiter für die Sicherheit im Projekt. Dann steht dessen Erfolg nichts mehr im Weg.
#SuccessInProjects
Teilen Sie uns als Kommentar mit, welche zusätzlichen Sicherheitstipps für Sie in einem Projekt wichtig sind!
Weitere Informationen:
https://www.sicher-im-netz.de/dsin-für-unternehmen
https://www.bfdi.bund.de/DE/Home/home_node.html
Ich möchte für mein Unternehmen mehr Sicherheit haben. Dabei war der Tipp nützlich, dass man zu bestimmten Informationen Sicherheitsstufen vornehmen sollte, um besser klassifizieren zu können, wer Zugriff haben soll und wer nicht. Ich denke, ich werde mir dazu eine Sicherheitskraft hinzuziehen.