Die wichtigste Firewall ist der Mensch – E-Mail-Konten und Soziale Netzwerke sind Einfallstore für Datenspionage

PrintMailRate-it
Gute Firewalls schützen gegen Viren und Trojaner, doch wenn es die Mitarbeiter sind, die vertrauliche Informationen preisgeben, nützt die beste Firewall nichts. Daher wird die Risikovorsorge bei der elektronischen Kommunikation immer wichtiger. Immer mehr Mitarbeiter kommunizieren per E-Mail und in sozialen Netzwerken, wie Facebook, Twitter, XING oder LinkedIn. Entsprechend größer wird das Einfallstor für Datenspione.
 
Die Daten zu überwachen oder auszuwerten, ist allerdings problematisch. Was technisch noch machbar ist, stößt rechtlich an die Grenzen des Datenschutzes. Aber vor allem müssen Unternehmen, die ihre Daten wirkungsvoll schützen wollen, den Faktor Mensch berücksichtigen. Die Stichworte heißen Social-Media-Guidelines, Datenschutzstrategie und Richtlinien im Umgang mit der elektronischen Kommunikation.
 
Ein wichtiger Angriff aus dem Internet ist das sogenannte Social Engineering. Dabei erschleichen sich Interessenten gezielt das Vertrauen der jeweiligen Wissensträger im Unternehmen. Wo sich Agenten früher leibhaftig das Vertrauen ihrer Opfer erarbeiten mussten, reicht im Zeitalter des digitalen Agentums der vertrauliche Chat auf Facebook, und schon wandert die eine oder andere heikle Info von der einen zur anderen Seite.
 
Wie sieht die Abwehrstrategie aus? Der erste Schritt zur Abwehr ist die Bewusstseinschaffung. „Um unerwünschten Wissenstranstransfer einzudämmen, müssen sich Unternehmen erst einmal bewusst machen, dass ihren Daten Gefahr droht. Erst dann können sie eine Risikostrategie entwickeln”, sagt Rechtsanwältin und Fachanwältin für IT-Recht Dr. Christiane Bierekoven, Leiterin des IT-Kompetenzcenters bei Rödl & Partner in Nürnberg.
 
Die radikalste Lösung: Das Unternehmen verbietet die Nutzung von Social Media. Das läuft allerdings oft anderen Zielen zuwider, etwa dem, dass Mitarbeiter über ihre Präsenz in sozialen Netzwerken das Unternehmen repräsentieren sollen. Die Alternative: Das Unternehmen verbietet seinen Mitarbeitern nur, sich mit der Firmen-E-Mail-Adresse einzuloggen. Möglichkeit drei: Das Unternehmen prüft, welche Risiken drohen, und schult seine Mitarbeiter im Umgang mit den sozialen Netzwerken. „Mit einer abgestimmten Risikostrategie schützen sich Unternehmen am besten davor, wertvolle Daten einzubüßen”, sagt IT-Fachanwältin Bierekoven.
 
Wichtiger Bestandteil solcher E-Mail- und Social-Media-Guidelines sind die Exitregeln. Was passiert mit den E-Mails, den Kontakten und Chatnachrichten, wenn der Mitarbeiter das Unternehmen verlässt? Ein banaler, aber wirkungsvoller Tipp: Der Arbeitgeber stellt den Account für Social Media zur Verfügung und zahlt ggf. anfallende Gebühren, dann gehören ihm die Kontaktdaten, wenn der Mitarbeiter kündigt. Parallel sollte das Unternehmen die Mitarbeiter verpflichten, Kontaktdaten regelmäßig mit dem firmeneigenen CRM(=Customer Relationship Management)-System abzugleichen oder diesen Vorgang automatisieren.
 
Eine weitere wichtige Frage ist die private Nutzung von E-Mail-Konten. Die private Nutzung generell zu verbieten, ist zwar möglich, bedarf jedoch regelmäßiger Überprüfung, damit das Verbot Gültigkeit behält. Erlaubt der Arbeitgeber seinen Mitarbeitern hingegen die private Nutzung des firmeneigenen E-Mail-Kontos, verstößt er gegen das Fernmeldegeheimnis gemäß § 88 TKG (Telekommunikationsgesetz), wenn er die E-Mails liest. Das kann zu Problemen führen, wenn es um Compliance-Verstöße und Internal Investigations geht. Fordert eine Ermittlungsbehörde Einsicht in private Mitarbeitermails, kollidiert die Datenübermittlung mit dem Fernmeldegeheimnis. Das kann die Ermittlungen behindern, da sich der Arbeitgeber (gem. § 206 StGB) strafbar machen kann, wenn er dem Fernmeldegeheimnis unterliegende Daten an Dritte weitergibt. Die Lösung besteht auch hier in einer sorgfältig aufgesetzten Datenschutzstrategie. IT-Fachanwältin Dr. Christiane Bierekoven rät: „Die Unternehmen können zwar die private Nutzung erlauben, sollten sich allerdings in IT-Richtlinien Lese- und Zugriffsrechte für bestimmte, genau zu definierende Fälle einräumen lassen.”
 
zuletzt aktualisiert am 18.09.2013

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu