Vergangene Woche endete der Cyber Security Month – eine Initiative der Europäischen Union, um mehr Bewusstsein für verantwortungsvollen Datenschutz und IT-Sicherheit zu schaffen. Für POLYAS sind das zentrale Themen, alle Mitarbeiter werden regelmäßig im sicheren Umgang mit Daten geschult. Lesen Sie in diesem Beitrag, was wir unternehmen, um die Daten unserer Kunden und Wähler nachhaltig zu schützen.
In den vergangenen Jahren machten immer wieder Hacker-Angriffe Schlagzeilen, deren Ziel es war, Daten zu verschlüsseln und Lösegeld zu erpressen – wie zum Beispiel im Fall des WannaCry-Virus, der im Mai 2017 eine Sicherheitslücke auf nicht aktualisierten Windows-Rechnern ausnutzte. In der Folgezeit häuften sich diese Art Angriffe, immer wieder waren Unternehmen betroffen. Auch der Verlag Heinz Heise hatte im Mai 2019 mit einer ähnlichen Schadsoftware zu kämpfen. Der Angriff erfolgte über eine geschickt manipulierte E-Mail.
Bewusstsein für Tricks der Hacker schaffen
Die Beispiele zeigen, wie wichtig es ist, dass alle Beschäftigten eines Unternehmens für die Vorgehensweisen der Hacker sensibilisiert werden. Denn auch wenn die Manipulationsversuche mitunter geschickt gestaltet sind, ist man ihnen nicht schutzlos ausgeliefert. Gefälschte E-Mails kann man beispielsweise an ungewöhnlichen E-Mail-Adressen oder kryptischen Endungen der angehängten Dateien erkennen.
Um das Manipulationsrisiko zu minimieren, hat POLYAS verschiedene Maßnahmen ergriffen. Stets halten wir uns über die neuesten Entwicklungen auf dem Laufenden – so wie zum Beispiel am 26.September 2019 bei dem Cyber-Sicherheits-Tag in Berlin. Veranstaltet wird dieser von der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Interne Richtlinien zur Cyber Security
Eine zentrale Richtlinie beschäftigt sich mit dem Thema IT-Nutzung und Datensicherheit. Denn für die POLYAS GmbH hat der sichere Umgang mit den personenbezogenen Daten der Kunden, Mitarbeiter und Dienstleister strategische Bedeutung. Jeder Mitarbeiter trägt wesentlich dazu bei, dieses Ziel zu erreichen. Einen wichtigen Anteil daran stellen praxisbezogene Vorgaben zur Sicherheit in der Verarbeitung personenbezogener Daten dar – z. B. für die Nutzung der betrieblichen Hardware, Umgang mit E-Mails und Dateien.
Ein weiterer Baustein unseres Cyber-Sicherheits-Konzepts ist darüber hinaus unsere interne Richtlinie zur Passwortsicherheit. Diese beinhaltet, wo überall Passwörter genutzt werden müssen und welche Regeln bei der Erstellung der Passwörter zu befolgen sind. Alle Mitarbeiter nutzten ein Passwortmanagement-Tool, welches sichere Passwörter generiert und einen hohen Zugangsschutz zu personenbezogenen Daten gewährleistet.
Datenschutz online und offline
Auch die betriebliche Organisation wird in Bezug auf Datensicherheit geregelt, zum Beispiel im Fall der sogenannten Clean Desk Policy. Auf dem Schreibtisch und dem virtuellen Desktop des Arbeitsgerätes sollten sich grundsätzlich nur Daten befinden, die zur Bearbeitung des aktuellen Sachverhaltes dienen. Und im öffentlichen Raum nutzen unsere Mitarbeiter einen Blickschutzfilter sowie gesicherte VPN-Verbindungen.
Darüber hinaus werden die bestehenden Berechtigungskonzepte für die Nutzung interner und externer Tools ständig weiterentwickelt. Wichtig ist dabei die Festlegung von Zugriffsregeln für bestimmte Personen oder Gruppen, damit nur diejenigen Mitarbeiter Zugriff auf personenbezogene Daten haben, die diese für ihre Arbeit brauchen. Berücksichtigt wird dabei stets die Einhaltung der allgemeinen Datenschutzgrundsätzen gemäß Art. 5 DSGVO (Datenschutz-Grundverordnung).
Sicherheit durch Datenschutz-Team und Schulungen
Damit alle POLYAS Mitarbeiter in puncto Daten- und IT-Sicherheit laufend auf dem aktuellen Stand sind, haben wir verschiedene Maßnahmen ergriffen:
- Ein internes Datenschutz-Team ist zusätzlich zum obligatorischen Datenschutzbeauftragten ständige Anlaufstelle für alle Mitarbeiterfragen zur Cyber Security. Das Team sorgt für die Einhaltung der Datenschutz- und IT-Richtlinien und organisiert Mitarbeiterschulungen.
- Die Schulungen finden sowohl off- als auch online statt und richten sich an das gesamte POLYAS Team. In der Online-Schulung wird das Datenschutz-Zertifikat nach Art. 24 Abs. 1 und 2 und Art. 39 Abs. 1 lit a DSGVO erworben sowie vorhandenes Wissen jährlich aufgefrischt und die Cyber Security an praxisbezogenen Beispielen wie dem sogenannten Spear Phishing (eine besonders echt wirkende Manipulation via E-Mail) veranschaulicht.
- Die analogen Schulungen vor Ort werden angeboten, um den Mitarbeitern die Gelegenheit zu geben, konkrete Fragen zu stellen. Bei der vergangenen Schulung ging es um Themen wie Social Hacking, die Nutzung mobiler Geschäftsgeräte, die Definition von Datenkategorien und ihre Eignung zur mobilen Nutzung. Die dargestellten praxisbezogenen Cases werden auf den Büroalltag von POLYAS zugeschnitten.
Mit diesen und weiteren Maßnahmen schafft POLYAS ganz im Sinn des Cyber Security Months im ganzen Team eine Arbeitsatmosphäre, in der der sensible Umgang mit Daten und Cyber Security eine Selbstverständlichkeit ist.