Kommunizieren via E-Mail und Telefon? Entscheidungen nur in persönlichen Meetings? Nicht nur haftet dieser Vorstellung etwas der Hauch von Gestern an, auch ist es aus Gründen der Effizienz keine ernsthafte Option mehr.
Sicherheitslücke Mensch
Doch was ist, wenn diese neue Arbeitsweise mit einem Risiko kommt das viele (noch) gar nicht erkannt haben? Ein Risiko, welches im Zweifel die Existenzgrundlage des Unternehmens bedroht? Im Rahmen des Forum International de la Cybersecurity (FIC 2021) in Lille konnte Manuel Bohé, CEO der Concepture Gruppe, dieses Thema zusammen mit Boris Lecoeur (Direkter Général Cloudflare France), Sébastien Jeanjean (Co Founder, Tixeo) und Paul Giraudon (CTO, Jamespot) unter der Moderation von Luména Duluc (Déléguée générale du Clusif) diskutieren.
Alles im Griff – oder doch nicht?
Wir haben uns so sehr an cloudbasierte Lösungen, wie Office 365, G-Workspace, Salesforce, etc. gewöhnt, dass ein Arbeiten ohne diese Werkzeuge heute für viele kaum noch denkbar ist. Im Laufe der Pandemie und mit den Erfahrungen aus den ersten Monaten des Arbeiten in Home Offices, haben wir uns eingelassen auf virtuelle Whiteboards, Aufgaben- und Projektmanagement-Plattformen, Online Chat, Enterprise Social Networks und natürlich auch auf Videokonferenzen.
Doch nun stellt sich die Frage, welchen Unternehmen wir hier eigentlich Kernelemente unserer Operativen Geschäftsprozesse anvertrauen? Unternehmen verlagern de facto Prozesse, welche sie in der Vergangenheit selbst beherrscht haben in die Hände anderer. Nicht immer klar sind dabei die Umstände, unter welchen dieses geschieht.
Zulässigkeit der Nutzung – das DSGVO-Dilemma
Nach dem EUGH Urteil „Schrems II“ hatte das European Data Protection Board den Auftrag erhalten, konkrete Vorschläge zur Umsetzung des EU-US Datentransfers zu erarbeiten. Seit dem 18. Juni 2021 liegen diese Vorschläge nun in der finalen Fassung vor. Neben vielen anderen Punkten findet sich hierin auch eine deutliche Aussage zur Speicherung von Personenbezogenen Daten in Clouddiensten. Da der Zugriff von US-Behörden nicht ausgeschlossen werden kann …
… ist die Speicherung nur zulässig, wenn die Daten kryptografisch geschützt sind
… und der Schlüssel ausschließlich beim Datenexporteur liegt.
Zum heutigen Zeitpunkt gibt es jedoch keine technische Möglichkeit, diesen Forderungen nachzukommen.
Zumindest dann nicht, wenn die Software ihre Funktion behalten soll. Denn hierfür benötigen alle derzeit populären Anbieter schlicht die Möglichkeit „clear text“ zu verarbeiten. Hierunter fallen Anbieter wie Salesforce, Monday.com, Atlassian, Smartsheet oder Wrike, oder auch solche Anbieter,
welche gerne für die Kollaboration in Dokumenten genutzt werden – wie z.B. Office 365 oder G-Workspace.
Es gibt heute schlicht noch keine Möglichkeit, umfangreiche Datenbankinhalte einerseits unter einen kryptografischen Schutz zu stellen und andererseits für die tägliche Arbeit zugänglich zu halten.
„Das „Schrems II-Urteil“ und der daraus resultierende Wegfall des Privacy Shields hat die Praxis vor ein massives Problem gestellt. Die neuen Standardvertragsklauseln sind regelmäßig nur nach einer individuellen Risikoanalyse anzuwenden. Die Empfehlungen der EDSA (europäischer Datenschutzausschuss) fordern von den Verantwortlichen für die Risikoanalyse schwer zu leistende Anforderungen. Wenn die Aufsichtsbehörden hier nicht nachbessern und den Unternehmen verbindliche und in der Praxis umsetzbare, sich am risikobasierten Ansatz der DSGVO orientierende Richtlinien an die Hand geben, wird dies es für Unternehmen außerhalb der EU zunehmend schwer machen, am Markt innerhalb der EU mitzuwirken.“
Friedericke Scholz
Rechtsanwältin & Datenschutzbeauftragte
Unter diesen Umständen bleibt die Nutzung von u.A. US-SaaS Anbietern unzulässig. Und auch wenn wir uns mit Google, Microsoft und anderen so sehr vertraut gemacht haben – der Einsatz ihrer Cloud-Dienste ist mit einem Risiko verbunden. Unternehmen die sich bewusst für deren Einsatz entscheiden, sollten sich über das Risiko klar sein, hierfür von einer Datenschutzaufsichtsbehörde eine Bußgeldforderung zu erhalten.
Dem entgegen stehen Startups mit knappen finanziellen und personellen Ressourcen, die sich häufig auf kleine Teams oder einzelne Entwickler verlassen müssen und so manchmal eben auch die Geschwindigkeit der Entwicklung der Sicherheit vorziehen. Und natürlich sind deren Applikationen auch nicht sonderlich attraktiv für White Hats, weil hier für den Fund einer Schwachstelle weder eine große Aufmerksamkeit in der Szene oder gar in der Öffentlichkeit zu erwarten ist und in der Regel von den Firmen auch keine oder zumindest keine attraktive Prämie gezahlt wird. Prinzipiell sind auch kleine und mittelständische Unternehmen in der Lage, Anwendungen mit einem hohen Sicherheitsniveau zu entwickeln und zu betreiben. Aber eben nur dann, wenn Sicherheit eine entsprechend hohe Priorität bekommt. Und ob das bei einem Anbieter der Fall ist, sollte mit einem gründlichen und fachkundigen Blick geprüft werden. Alleine eine Zertifizierung nach ISO/IEC 27001 ist hier für sich stehend nicht aussagekräftig genug.
