Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
3 l 2021 office & Kommunikation l Sicherheit & Collaboration l 21 derlich Doch nach wie vor ist bei vielen Anwendungen nicht ersichtlich welche Daten sie abgreifen und was damit passiert Die Tücken globaler SaaS-Dienste Das gilt besonders dann wenn es sich um einen globalen SaaSDienst handelt bei dem in der Regel nicht klar ist wo er gehostet wird welches Recht gilt und welche Institutionen Zugriff auf die Daten haben Bei amerikanischen Anbietern greift der Cloud Act früher Patriot Act der amerikanischen Behörden den Zugriff auf beliebige Nutzungsund Nutzerdaten erlaubt sobald ein selbsternannter Grund dafür vorliegt Datensicherheit kann aber nur dann gewährleistet werden wenn Nutzer die volle Transparenz und Kontrolle über ihre Applikationen haben Das gilt auch für die unter Security-Aspekten wünschenswerten Verschlüsselungsfunktionen für die sichere Datenübertragung die aber nur dann wirkliche Sicherheit gewähren wenn klar ist welche Encryption-Algorithmen verwendet werden und wer Zugriff auf die Schlüssel hat Hier haben die an sich sinnvollen und in der Zukunft höchst wahrscheinlich weiter wachsenden globalen SaaS-Dienste einen erheblichen Nachbesserungsbedarf Unabhängige Audit-Institutionen dringend notwendig Daraus ergibt sich die Forderung nach einer nationalen oder europäischen Institution die die Sicherheit globaler SaaS-Dienste regelmäßig auf der Basis eigener technischer und rechtlicher SecurityKriterien zum Schutz von Wirtschaft Organisationen und Institutionen prüft Aber weder die europäischen Behörden noch das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI sind bislang in diesem so sicherheitskritischen Bereich aktiv geworden Die Lösung dieses Problems könnte von IT-Experten wie beispielsweise dem Chaos Computer Club oder Auditierungsspezialisten wie unter anderem Compass Security geliefert werden die in offiziellem Auftrag etwa durch das BSI oder auf europäischer Ebene SaaSDienste auditieren Wobei hier autarke Einheiten wie die oben genannten supranationalen Behörden aus mehreren Gründen zum Beispiel der Kompetenz der Geschwindigkeit und der Neutralität vorzuziehen wären Der aktuell existierende Mangel an ebenso kompetenten wie unabhängigen Institutionen die verlässlich prüfen und Auskunft darüber geben können welche Anwendungen die Sicherheitsanforderungen erfüllen muss dringend behoben werden Ein einzelnes Unternehmen allein ist damit überfordert insbesondere im Mittelstand Außerdem ist es unter wirtschaftlichen Gesichtspunkten wenig sinnvoll wenn die Skalierungseffekte nicht genutzt werden die durch unabhängige Prüfungsinstanzen möglich sind Sicherheit in sinnvollen Stufen Diese Audit-Informationen können dann in eine mehrdimensionale Matrix einfließen die Aspekte wie Kosten Aufwand Komfort und Sicherheit zueinander in Beziehung setzt und als Entscheidungsgrundlage für die Nutzung oder Ablehnung eines bestimmten SaaS-Dienstes dient So könnte jedes Unternehmen auf Basis unabhängiger Informationen selbst über das für die jeweiligen spezifischen Anforderungen passende Maß an Security entscheiden Das hat im Idealfall für die Vorstandskommunikation das Personalwesen oder die Forschungsund Entwicklungsabteilung eine höhere Schwelle als für das Marketing oder das Gebäudemanagement Neben der Definition kritischer Segmente erleichtert auch die Hierarchisierung der Daten die Umsetzung von Sicherheitsvorgaben Schützenwerte oder gar unternehmenskritische Assets wie Patente brauchen mehr Schutz als die Eventplanung oder die Sales-Präsentation Das reduziert den Aufwand da die Zusammenarbeit mit unkritischen Daten keine oder nur geringe Sicherheitsvorkehrungen erfordert Nicht nur für Kommunikationsund Kollaborationsanwendungen gilt die Prämisse dass jeder IT-Verantwortliche und das kann auch ein Teamoder Abteilungsleiter sein jederzeit in der Lage sein muss die Software die er nutzt und bezahlt zu auditieren Diese Verantwortung ist verbindlich in der DSGVO verankert aber kaum ein Anbieter erlaubt diese Prüfung oder bietet zumindest technisch die Voraussetzungen dafür Kein Anwender weiß was mit seiner Kommunikationsinstanz gerade passiert wo sie aktuell gehostet wird Das macht sie für den Nutzer unkontrollierbar entspricht damit nicht den Vorgaben der DSGVO und kann schlimmstenfalls zu empfindlichen Strafen führen Andrea Wörrlein Verwaltungsrätin VNC Schweiz sowie Geschäftsführerin VNC Deutschland Bild Makarov-123rf