Interview: Datenschutz & Datensicherheit „praktisch gedacht“

Georg Beham, MSc, ist Partner von Grant Thornton Österreich und im Bereich Advisory tätig. Zu seinen Beratungsschwerpunkten gehören u.a. die Themen Digitalisierung, Cyber-Security, Datenschutz, IT-Audit sowie der Bereich IT-Forensic.

Im Gespräch mit INARA ging es um Datenschutz und Datensicherheit bei der Nutzung von E-Mail-Accounts und Social Media durch Managern im beruflichen wie auch im privaten Bereich. Dabei gab Beham Einblicke in seinen Erfahrungsschatz und wartete mit zahlreichen nützlichen Tipps auf.

INARA: Worauf müssen Manager besonders aufpassen?
Georg Beham, MSc: Datenschutz und Datensicherheit betreffen jeden End User. Wie jemand seine privaten Daten schützt, ist grundsätzlich seine Sache. Im beruflichen Bereich sind Datenschutz und Datensicherheit jedoch ein absolutes MUSS. Besonders heikel wird es, wenn Endgeräte sowohl für Firmen- als auch für Privatzwecke verwendet werden.

Zudem haben Manager eine Vorbildfunktion und arbeiten mit vertraulichen und sensiblen Daten, die besonders schützenswert sind. Dieser Verantwortung können sie aber nur dann gerecht werden, wenn sie sich in der Materie einigermaßen gut auskennen. Ich sage bewusst „einigermaßen“, weil ich weiß, dass nicht alle IT-Freaks mit einer starken intrinsischen Motivation sind. Das ist aber auch gar nicht nötig. Wichtig ist zu wissen worum es geht und die wesentlichen Grundregeln zu beherrschen und anzuwenden.

INARA: Klingt einfach. Ist es aber in der Praxis dann nicht doch viel komplizierter?
Beham: Es ist in der Tat einfach. Jeder, der Daten verarbeitet, also Dokumente verfasst, abspeichert, archiviert oder Mails sendet und empfängt, hat ein Interesse, dass diese Daten nicht verloren gehen bzw. gestohlen oder geleakt werden. Es liegt also auf der Hand, dass er den Zugang zu diesen Daten durch ein Passwort absichert. Das weltweit am häufigsten verwendete Passwort ist „123456“, also ein sehr schwaches und äußerst hackeranfälliges. Die auf den weiteren Plätzen folgenden wie „password“ oder „1111“ sind um nichts besser. Mein Appell daher: Wählen Sie ein individuelles Passwort, aber keinen Namen und kein Geburtsdatum.

Viele Firmenpolicies geben vor, dass Passwörter alle zwei Monate oder einmal im Quartal zu ändern sind. Das ist sinnvoll, aber gerade Manager haben damit häufig ein Problem und weisen ihre IT an, die Aktualisierungsfunktion zu deaktivieren. Das hat leider eine äußerst negative Vorbildwirkung zur Folge!

Genauso wichtig wie ein starkes Passwort ist das regelmäßige Aktualisieren von Virenschutz, Betriebssystem und sonstigen Anwendungen.

INARA: Gibt es einen grundsätzlichen Unterschied im Datenumgang zwischen Firmen- und Privataccounts?
Beham: Firmen sind hier grundsätzlich besser aufgestellt. Wie bereits erwähnt, ist die berufliche Nutzung von privaten Endgeräten, also Smartphones, iPads, Laptops etc. äußerst problematisch. Hier sollten spezielle Bring-Your-Own-Device Regeln vereinbart und geschult werden.

Erwähnen möchte ich in diesem Zusammenhang freie Mitarbeiter, Konsulenten und im Besonderen Aufsichtsräte, Beiräte, Vorstände von Verbänden etc. Bei diesen Berufsgruppen verschwimmt die Grenze zwischen beruflicher und privater Nutzung elektronischer Daten oftmals.

Ich staune immer wieder, wie viele Aufsichtsratsmitglieder über ihre privaten Accounts ihre Aufsichtsratskorrespondenz abwickeln. Ich möchte damit keinesfalls unterstellen, dass die angesprochenen Personen nicht gewissenhaft mit ihren Electronic Devices umgehen, aber in puncto Datenschutz und Datensicherheit sind sie gegenüber gut organisierten Unternehmen allemal im Hintertreffen.

INARA: Wie steht es um die Sicherheit, wenn in Social Media oder über private Mail Accounts kommuniziert wird?
Beham: Ich stelle Ihnen eine Gegenfrage: Wissen Sie, ob es für Hacker leicht ist, über gefakte Facebook-, XING- oder LinkedIn-Kontaktanfragen in Accounts einzudringen?

Es ist viel leichter, als man annehmen könnte.

Jedes Unternehmen muss sich sehr gut überlegen, inwieweit es den Zugriff auf Social Media vom Unternehmen aus zulässt. Ich weiß, es ist schwierig, das zur Gänze zu unterbinden, vor allem kann der Mitarbeiter dies ja von seinem Smartphone und anderen privaten Systemen aus machen. Es sollte eine klare Social Media Richtlinie geben, was erlaubt ist und was nicht. Des Weiteren sollte durch Schulungen aufgeklärt werden, worin die Risiken bestehen.

Ich komme wieder auf die Aufsichtsräte mit ihren eigenen Accounts zurück. Viele wollen sich gar nicht in ein Firmennetz integrieren lassen, weil sie Einschränkungen befürchten. Wir dürfen aber nicht vergessen, dass heutzutage auch viele Aufsichtsräte Social Media Kontakte pflegen und damit, ob sie es wollen oder nicht, das Tor für Angreifer öffnen. Manche Unternehmen beauftragen uns dann, im Rahmen sogenannter „Speer Phishing Attacken“ ihren Aufsichtsorganen durch simulierte Social Media-Nachrichten zu zeigen, wie leicht ihre Accounts geknackt werden können.

Das prominenteste Beispiel für die Nutzung von privaten Accounts und den Risiken dabei ist sicherlich Hillary Clinton. Sie nutzte in ihrer Funktion als Außenministerin ihren privaten Mail-Account. Dieser wurde gehackt, die Daten geleakt und ein beispielloser Skandal ausgelöst.

INARA: Wie kann Otto Normalverbraucher erkennen, ob eine Mailnachricht echt ist?
Beham: Da gibt es durchaus ein paar „Prüfungshandlungen“: Zunächst sollte man sich fragen, ob ein Mail mit dem angegebenen Betreff erwartet wird. Dann ist zu überprüfen, ob es sich beim Mailtext um übliche Formulierungen handelt oder ob es ungewöhnliche Sprachwendungen gibt. Weiters ist die Absenderadresse zu checken. Ist sie bekannt oder unbekannt? Gibt es Auffälligkeiten, wie z.B. unüblich aneinandergereihte Buchstaben? Sind etwaige Links verdächtig? Je kleiner das Display, desto schwieriger gestaltet sich diese Überprüfung.

INARA: Welchen Rat geben Sie Aufsichtsräten mit?
Beham: Tun und fragen. Was meine ich damit? Jeder Aufsichtsrat ist gut beraten, alles zu befolgen, was wir vorher angesprochen haben. Damit aber nicht genug. Er muss dem Vorstand auch die richtigen Fragen stellen können, um zu wissen, ob im Unternehmen alle Datenschutz- und Datensicherheitsprozesse state-of-the-art sind. Das gehört zu seinen Kernaufgaben.

INARA: Aufsichtsräte werden sich also auch mit der Datenschutz-Grundverordnung befassen müssen?
Beham: Sie werden nicht umhin kommen, das zu tun. Verantwortlich für den Datenschutz im Unternehmen ist eindeutig der Vorstand. Aber angesichts der hohen Strafdrohung sollte das Datenschutz-Risiko Teil des Unternehmensrisikoberichts sein. Der Aufsichtsrat sollte hier ein Auge darauf haben.

Autorin: Brigitta Schwarzer

Mehr zu Georg Beham und Grant Thornton Österreich: https://www.grantthornton.at/grant-thornton-unitreu/