6 Tools für bessere digitale Compliance

Mit Corona haben flexible Arbeit und das Arbeiten im Homeoffice an Akzeptanz gewonnen und werden auch künftig in vielen Unternehmen bestehen bleiben. Das Homeoffice mit der zunehmenden Flexibilität, von welchem Platz aus und wann man arbeitet, wie auch die zunehmend vernetzten Geräte, haben eine Gemeinsamkeit: „Für die Cybersicherheit von Unternehmen ist das herausfordernd, denn durch die wachsende Zahl an mit dem Firmennetzwerk verbundenen Systemen vergrößert sich die Angriffsfläche. 2020 waren allein 52,5 Mrd. Euro Schaden auf Angriffe im Homeoffice zurückzuführen, 31 Mrd. Euro mehr als vor der Pandemie“, schreibt das Institut der Deutschen Wirtschaft Köln.

9 von 10 Unternehmen bedroht

Das Risiko für die Datensicherheit rückt automatisch die Themen Datenschutz und Compliance in den Fokus. Geraten zum Beispiel Kundendaten durch die stark angestiegenen Angriffe mit Ransomware in die Hände von Kriminellen, kann es brenzlig werden. Bei den Angriffen schleicht sich Schadsoftware in die Systeme von Unternehmen, verschlüsselt Daten und legt den Geschäftsbetrieb lahm. Das Problem ist, dass nicht nur die Angreifer Lösegeld für die gestohlenen Daten verlangen können, es besteht nach der DSGVO auch eine Meldepflicht für den Angriff – inklusive eventueller Schadensersatzansprüche und rechtlicher Konsequenzen für das Unternehmen. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, kommentierte Bitkom-Präsident Achim Berg die aktuelle Entwicklung im Report „Wirtschaftsschutz 2021“. Nach dem Report sind 9 von 10 Unternehmen bedroht – besonders im Bereich des Mittelstands. Es ist also nicht mehr die Frage, ob es ein Unternehmen trifft, sondern nur noch wann. Höchste Zeit also für Gegenmaßnahmen. Wir stellen 6 Tools und Maßnahmen vor, die Compliance und Datenschutz erhöhen.

Tipp: Erledigen Sie Ihre Anlagenbuchhaltung, Controlling und Warenwirtschaft – Jetzt ERP Programm entdecken

1. Mitarbeiter sensibilisieren

   In jedem Unternehmen gibt es Regelungen und technische Sicherheitsmaßnahmen für Compliance und Datenschutz. Aber durch Verwendung eigener Hardware nach dem Prinzip „Bring your own device“ und den sorglosen Umgang mit diesen Geräten werden sie oft wieder ausgehebelt. Die Mitarbeiter müssen nicht nur die Compliance-Richtlinien kennen, sondern auch im Umgang mit sensiblen Informationen geschult werden. Das betrifft etwa die Handhabung persönlicher Daten in HR oder auch in Sachen Technik.

   Hier ist also zunächst einmal Aufklärung gefragt. Zum Beispiel über einen wöchentlichen Security-Newsletter, Intranet-Meldungen, einen Slack-Kanal oder andere Kommunikationstools. Auch ein Agenda-Punkt im wöchentlichen Team-Call kann hilfreich sein. Die Mitarbeiter sollten die Gefahren kennen, die bei der Kommunikation über das Web auftauchen können. Sogenannte Phishing Mails sind zum Beispiel in der Lage, unbemerkt Trojaner zu installieren, um an Log-In Daten zu kommen. Darum sollten die Mitarbeiter lernen, wie und wo sie sensible Informationen speichern, übertragen und sicher löschen. Schulen Sie Ihre Mitarbeiter in Sicherheits-Basiswissen wie dem Anlegen von sicheren Passwörtern. Erinnern Sie sie regelmäßig daran, Sicherheits-Updates zu installieren und zeigen Sie auch, wie man den Router im Homeoffice absichert.

2. Dokumentenworkflow absichern

   Sicherheit und Compliance gilt nicht nur für digitale Dokumente, sondern auch für Daten auf Papier: Mitarbeiter senden oft Druckaufträge an den falschen oder frei zugänglichen Drucker – und vergessen die Ausdrucke abzuholen. In solch einem Fall sind vertrauliche Dokumente wie zum Beispiel ein Arbeitsvertrag der Belegschaft zugänglich. Werden Informationen unberechtigt gelesen oder preisgegeben, hat das jedoch schwerwiegende Folgen für die gesamte Institution. Unter anderem kann es zu Wettbewerbsnachteilen und finanziellen Schäden kommen. Sogar Gesetzesverstöße sind möglich.

   Ein hilfreiches Gegenmittel ist eine Software, die sich um Dokumentenmanagement kümmert. Es gibt Lösungen, die sich auf die sichere Verwaltung von Dokumenten in Geschäftsprozessen spezialisiert haben. Sie schützen mittels Wasserzeichen, Stempel, Schwärzung und Druckunterbrechung davor, dass sensible Daten in falsche Hände geraten. Nebenbei erhöhen sie die Produktivität, weil Dokumentenfreigabe intern und auch bei Remote-Arbeitern geregelt ist.

3. Verlorene Hardware orten, sperren und löschen können

   Eine der größten Security-Schwachstellen sind menschliche Irrtümer – zum Beispiel, wenn ein Mitarbeiter seinen Firmen-Laptop in der Bahn liegen lässt. Das beste Gegenmittel ist es, auf einen solchen Ernstfall gut vorbereitet zu sein. Dazu empfiehlt es sich, online-basierte Teamschulungen nur über verschlüsselte Verbindungen durchzuführen und mit starken und sicheren Passwörtern zu arbeiten. Letzteres lässt sich auch in einem Großteil der Team-Software durch entsprechende Vorgaben erzwingen. Zudem sollten Mitarbeiter verlorene Geräte umgehend melden. Mit speziellen SaaS-Lösungen wie Drivestrike ist es dann bei Verlust möglich, verlorene Hardware zu orten, zu sperren und per Remote vollständig zu löschen.

4. Infrastruktur und Backups absichern

   Sobald Unternehmensdaten online verfügbar sind und sich ein Unternehmen im Netzwerk befindet, ist es theoretisch von Hackern bedroht. Die Zahl und Raffinesse der Angriffe steigt, gleichzeitig werden aber auch die Abwehrmöglichkeiten immer besser – das Problem ist nur, dass viele Unternehmen bisher kaum welche nutzen. Laut BSI investiert die Hälfte der Unternehmen nur 10 Prozent oder weniger in Sicherheit. Lediglich 11 Prozent der Unternehmen haben vor, ihr Budget zu erhöhen.

   Dabei bieten Spezialisten für Infrastruktur oft auch Lösungen für Datensicherheit. GlobalConnect hat zum Beispiel Schutz gegen die häufigsten Software-Angriffe wie Ransomware und DDoS (Distributed Denial of Service, bei dem der Unternehmensserver überlastet wird) im Angebot – und geht noch einen Schritt weiter. Da auch immer häufiger Backups zum Ziel der Angriffe werden, bietet das Programm Hilfe dabei, die Datensicherung zu schützen – mit einem versteckten Ordner. „Der Ordner ist in den Netzen unserer Kunden nicht sichtbar und somit auch nicht für unerwünschte Besucher. Die Cyberkriminellen denken dann, sie hätten das Backup verschlüsselt, das in Wirklichkeit noch unverschlüsselt existiert und sicher im ‚unsichtbaren‘ Ordner gespeichert ist. Hier werden die Daten für einen mit jedem Unternehmen individuell vereinbarten Zeitraum aufbewahrt”, sagt Claus Munch, Leiter der Backup-Services bei GlobalConnect.

5. Compliance-Management durch KI und Chatbots verbessern

   In der Compliance gibt es viele Grauzonen und viel Unsicherheit. Dadurch wird sie für Manager zur Herausforderung: „Compliance Management fängt schon an, wenn man mit externen Mitarbeitern, Kunden oder Beratern zusammen essen geht. Es gibt sehr viele Regeln, an die man sich aus gutem Grund halten muss – und diese verändern sich auch noch ständig“, erklärt Sascha Wolter, Chief Advisor für UX / Conversational AI bei DB Systel im Interview mit SAGE Advice. KI kann laut Wolter deutlich helfen, die Standardfälle automatisiert zu bearbeiten. Wenn Beratung gefragt ist, können Chatbots helfen, klare und rechtlich verbindliche und sicherheitsrelevant richtige Antworten zu liefern.

6. Meldung von Verstößen vereinfachen

   Verstöße lassen sich nicht vollständig vermeiden. Wenn sie im Verborgenen bleiben, wird der Schaden oft noch größer, als wenn sie schnell beantwortet werden können. Hinweisgeber gibt es oft — die werden aber nicht selten von Hürden wie Telefon-Hotlines mit Öffnungszeiten und langen Warteschleifen abgeschreckt. Mit einer Lösung wie SpeakUp sollen diese Hürden aus dem Weg geräumt werden: Arbeitnehmer können in einem einfachen Tool rund um die Uhr Bedenken melden. So können Unternehmen es den Mitarbeitern ermöglichen, potenzielle Sicherheitslücken schnell und unkompliziert zu kommunizieren.