Datenschutz und -sicherheit: Wie HR-Softwareanbieter auf die NSA-Affäre reagieren

person writing on brown wooden table near white ceramic mug
Foto von Green Chameleon

Bring Your Own Device (BYOD) versus Firmengerät

Laut der IT-Macher-Umfrage der Zeitschrift Computerwelt halten sich in Österreich Unternehmen, die BYOD zulassen, und diejenigen, die es untersagen, in etwa die Waage. Für Datenschutz- und Datensicherheitsexperten eine bedenkliche Entwicklung. „Aus meiner Sicht ist im österreichischen Top-Management seit den letzten drei Jahren ein starker Trend zu erkennen, auch auf hoch sensible Systeme wie zum Beispiel ERP oder Kennzahlen-Reports mit dem eigenen Smartphone oder anderen Devices jederzeit und überall zugreifen zu wollen. Dies stellt Sicherheitsverantwortliche in IT-Abteilungen aufgrund unterschiedlicher Betriebssysteme und Sicherheitsservices der jeweiligen Devices-Anbieter vor große Herausforderungen“, so Ulrike Hugl von der Universität Innsbruck. Oftmals sei das Management für entsprechende Datenschutz- und Informationssicherheitsbedenken nicht oder nur wenig zugänglich und die Bequemlichkeit der Nutzung der eigenen Geräte stehe im Vordergrund. Ein Problem bei Smartphones bestehe beispielsweise in Apps, die privat vom Nutzer heruntergeladen werden. Gängigen Studien zufolge seien etwa 70 bis 80 Prozent aller Apps in Bezug auf Datenschutz- und Datensicherheitsaspekte mehr als fragwürdig. Das bedeute für IT-Abteilungen, spezielle Firewall-Lösungen finden und implementieren zu müssen. Angriffsziele und -möglichkeiten erweiterten sich progressiv durch den Einsatz von BYOD – vor allem bei Zugriffen auf hochsensible Unternehmensdaten. So offerierten etwa immer mehr Anbieter Smart Home Services mit Smartphone-App- beziehungsweise Internet-basierter Steuerung zur Vernetzung von Haushaltsgeräten. „In Zukunft könnte also nicht nur das für berufliche Zwecke genutzte Smartphone, der Laptop oder der Tablet-PC Angriffsziel oder Ausgangspunkt für ein Datenleck sein, sondern auch der Fernseher, Kühlschrank oder die Waschmaschine des Mitarbeiters“, so Ulrike Hugl.

Hanz Zeger, Obmann der Arge Daten, drückt die Bedrohung durch private Geräte im Firmennetzwerk ebenso drastisch aus: „Bring Your Own Device ist wie ein Trojanisches Pferd im Unternehmen.“ Firmen, die es sich nicht leisten könnten, ihren Mitarbeitern, die mobil damit arbeiten müssen, entsprechende Geräte zur Verfügung zu stellen, könnten sich aus seiner Sicht auch den Sicherheitsaufwand nicht leisten, den es brauche, um ein Fremdgerät gegenüber irgendwelcher „Blödheiten“ abzuschotten. „Ich kann einem Mitarbeiter nicht vorschreiben, was er auf seinem eigenen Gerät zu tun oder zu lassen hat. Aber wenn ein Gerät auf Firmendaten so zugreifen kann, als ob der Mitarbeiter im Haus wäre, dann muss das ein Gerät sein, das die Firma vollständig unter Kontrolle hat.“ Es gebe zwar Device-Management-Software, mit der die meisten Sicherheitsprobleme in den Griff zu kriegen seien, diese seien jedoch kostspielig. Zudem müssten IT-Sicherheitsmitarbeiter 20 verschiedene Smartphones und Betriebssysteme warten. Wenn ein Unternehmen Maßnahmen zu BYOD angehe und Programme installiere, die die Überwachung des Mitarbeiters ermöglichen, sei es zudem wichtig, die rechtliche Zulässigkeit zu prüfen und rechtzeitig den Betriebsrat einzubinden, ergänzt der Rechtsanwalt Axel Anderl.

Ein anderer Aspekt sei zudem das Datenschutzrecht: „Ein Mitarbeiter, der ein Device nutzt, ist als Dienstleister anzusehen, der Daten für seinen Arbeitgeber verarbeitet. Einem Dienstleister sind per Gesetz gewisse Anforderungen auferlegt: Er muss die Datensicherheit garantieren und er muss sicherstellen, dass die Daten jederzeit an den Arbeitgeber zurückgestellt werden können“, so Anderl. Arbeitgeber müssten folglich mit ihren Arbeitnehmern für die Nutzung auf privaten Geräten Dienstleistervereinbarungen schließen und über Unternehmensrichtlinien gewisse Parameter festlegen, wie Arbeitnehmer mit den Daten umzugehen haben. Das beginne beim Passwortschutz des Geräts und berühre auch Haftungsfragen oder Lizenzthematiken. Viele Apps und Programme seien zum Beispiel für den privaten Gebrauch kostenlos, für den geschäftlichen Einsatz aber kostenpflichtig. Deshalb sei es wichtig, eine Internet-Policy zu haben, die klar regle, was ein Mitarbeiter darf und was nicht. Diese sollte dann ergänzt werden um Regeln und Bedingungen zur Nutzung eigener Devices, die man ins Unternehmen mitbringt. Leider hätten viele Unternehmen noch gar keine Internet-Policy, geschweige denn Richtlinien für private Geräte. „Das Thema stellt sich mit Sicherheit irgendwann, nämlich beim ersten ernstzunehmenden Verstoß, bei dem man die Mitarbeiternutzung prüfen muss oder ein Dritter Forderungen erhebt“, mahnt Anderl. Deswegen sei es wichtig, diese Themen proaktiv anzugehen und damit für diesen Fall eine Grundlage zu schaffen, und nicht erst zu reagieren, wenn etwas passiert sei.

——————————————————————————-

Fotocredit:
© Julien Christ | www.pixelio.de (1)
© Thorben Wengert | www.pixelio.de (2)
© Rainer Sturm | www.pixelio.de (3)

Datensicherheit und Datenschutz
mobil und im Homeoffice

Ein weiterer Trend im Bereich Unternehmenssoftware birgt besondere Herausforderungen für Anbieter und Anwender bezüglich des sicheren und datenschutzrechtlich korrekten Umgangs mit Daten. Immer mehr Unternehmen möchten ihren Mitarbeitern die Arbeit im Homeoffice und unterwegs ermöglichen. „Die Erreichbarkeit von Managern, Teamleitern und Außendienstmitarbeitern beschränkt sich nicht mehr nur auf’s Telefonieren oder Checken von E-Mails, sondern auch auf das Bereitstellen von Daten, Abrufen von Facts & Figures und Sicherstellung und Abwicklung der betriebsrelevanten Prozesse“, so Sandor Andorko, Sales Manager bei der P&I GmbH. „Die Produktivitätssteigerung durch den mobilen Einsatz ist beeindruckend und ein Hauptgrund, warum die Nutzer so auf das Thema ‚anspringen‘“, bekräftigt Jürgen Weiss, Applications Sales Manager bei Oracle Austria die Bedeutung dieses Trends.

Die Trends der Branche zwängen Verantwortliche für IT-Sicherheit, sich intensiv damit auseinanderzusetzen, so Hermann Erlach, Sales Director SAP Österreich. „Daten in der Cloud müssen sicher, der Back-End-Zugang von mobilen Geräten möglich sein. Zudem erwarten die Anwender Single-Sign-on-Zugänge (SSO), egal ob die Daten in der Cloud liegen oder mobil darauf zugegriffen werden soll.“ SAP biete dazu ein zentrales Gerätemanagement an, das Schutz von und Kontrolle über Smartphones und Tablets im Unternehmenseinsatz gewährleistet, sowie eine mobile Plattform, um Daten in mobilen Lösungen zu sichern.

Durch die steigende Mobilität der Arbeitnehmer und die immer breiter verteilten Standorte von Unternehmen sei ein externer Zugriff bei vielen Systemen mittlerweile ein ganz zentraler Faktor, bestätigt Matthias Dietrich. „Dass damit die Anforderungen an die Sicherheitsmaßnahmen im Vergleich zu einem völlig abgeschotteten Server ohne jegliche Netzwerkverbindung deutlich steigen, liegt natürlich auf der Hand. Wir arbeiten daher mit modernsten Technologien im Bereich Verschlüsselung, Firewalls und Authentifizierung, um eine höchstmögliche Datensicherheit in Kombination mit dem gewünschten Komfort bei der Arbeit mit den Systemen bieten zu können.“

Druck des Marktes auf die Anbieter

Einige Unternehmer seien beim Thema Datenschutz grundsätzlich sensibler und fühlen sich durch die Aufdeckungen zur NSA-Überwachung in ihrer skeptischen Haltung bestärkt, so Axel Anderl, Partner und Leiter des IT/IP Desk bei der Dorda Brugger Jordis Rechtsanwälte GmbH. „Zu der Frage, in welcher Form Cloud Computing zulässig ist und ob beziehungsweise welche Genehmigungen von der Datenschutzbehörde sie dafür benötigen, gesellt sich die Sorge, dass Dritte sich Zugriff auf ihre Daten verschaffen könnten.“

Wenn man die Datenschutzbestimmungen in Österreich oder Deutschland sehr streng auslege, mache dies die Nutzung von Cloud Computing fast unmöglich, konstatiert Hans Zeger, Obmann der Arge Daten. „Denn in denen steht, dass sich der Auftraggeber einer Auftragsdatenverarbeitung beziehungsweise in Österreich einer Dienstleistungsverarbeitung überzeugen muss, dass der Auftragnehmer den Bestimmungen entsprechend arbeitet.“ Dies könne ein Auftraggeber jedoch nur theoretisch und bestenfalls auch nur bei Firmen im eigenen Land oder in der EU tun, zu denen er hinfahren oder jemanden hinschicken könne, so Zeger. Cloud-Anbieter seien deswegen gefordert, sich stärker als europäische Anbieter zu profilieren, erklärt Hans Zeger. Gerade diejenigen Unternehmen, die Kundendaten nur in Österreich und mit österreichischen Partnern verarbeiten, sollten dies auch glaubwürdig kommunizieren. Es sei schade, in einer abstrakten Debatte um „Cloud ja oder nein“ gleichsam das Kind mit dem Bade auszuschütten, wo es doch so viele unterschiedliche Anbieter und Ansätze gebe.

Der Druck des Marktes sei groß, sichere Cloud-Lösungen zur Verfügung zu stellen, bei denen Kunden zum Beispiel einschränken könnten, dass ihre Daten nur in Europa und bei Safe-Harbour-zertifizierten Anbietern in den USA verarbeitet würden, so Anderl. Dennoch gebe es Anbieter auf dem Markt, die als anderes Extrem ihre Systeme nur nach technischen Gegebenheiten aufstellten, ohne generell oder länderspezifisch auf datenschutzrechtliche und gesetzliche Erfordernisse Rücksicht zu nehmen – mit dem Argument, für die Funktionalität des Services müsse das so sein. Solche Anbieter lösten zwangsläufig rechtliche Probleme aus und wälzten das Risiko von Verstößen gegen Datenschutz- und Compliance-Richtlinien in der Regel auf ihre Kunden ab.

Das Thema Compliance stelle im Zusammenhang mit Cloud Computing durchaus eine Herausforderung für Unternehmen dar, erklärt Ulrike Hugl. So heiße es in der aktuellen „IT-Macher Studie Österreich“ der Computerwelt, dass Business-Abteilungen Cloud-Services aufgrund der hohen Standardisierung und dadurch, dass ihr Einsatz auch ohne umfassende IT-Kenntnisse möglich sei, in eigener Regie in Anspruch nehmen. Als Folge könnten möglicherweise die Compliance-Verhältnisse sukzessive ausgehöhlt werden, weil Fachabteilungen die Compliance-Konformität dieser Dienste oft nicht vollumfänglich prüfen könnten. „Durchaus ein Fakt, das auch Personalverantwortliche betreffen kann“, so Hugl.

Herausforderungen für multinationale
Anbieter und Nutzer

Wenn Daten in oder aus Ländern mit unterschiedlichen Datenschutzvorschriften in die Cloud ausgelagert werden sollen, bereitet dies sowohl Kunden als auch Anbietern einiges an Kopfzerbrechen. Die Vorschriften zum Thema Datenschutz und Cloud-Computing unterscheiden sich in den EU-Mitgliedstaaten und erst recht im nicht-europäischen Ausland. Gerade für international agierende Nutzer und Anbieter ergeben sich daraus Herausforderungen. Zwar sei innerhalb der EU in Bezug auf den Datenschutz bereits ein relativ hoher Grad an Harmonisierung erreicht, erklärt Axel Anderl von Dorda Brugger Jordis Rechtsanwälte. Es gebe jedoch in einigen Staaten wie etwa Österreich oder Polen strengere Zusatzvorschriften und potentiell weitergehende Genehmigungspflichten, die Unternehmen viel Zeit kosteten. Zudem seien in Österreich – anders als in Deutschland – nicht nur die Daten von natürlichen Personen, sondern auch Unternehmensdaten geschützt.

Die befragten Anbieter würden eine Vereinheitlichung der Richtlinien innerhalb der EU durchaus begrüßen, denn Aufträge für Kunden mit europaweiten HR-Prozessen in einem gebündelten Rechenzentrum durchzuführen, könne durchaus zu Herausforderungen führen. Was in einem Land völlig im Rahmen der gesetzlichen Gegebenheiten liege, könne unter Umständen in einem anderen Land jedoch Datenschutzrichtlinien verletzen, so Sandor Andorko, Sales Manager der P&I GmbH.  Besonders hilfreich wäre eine Vereinheitlichung für das Personalmanagement, da Mitarbeiterdaten in den Ländern von Tochterunternehmen und in der Zentrale gespeichert und verarbeitet würden, erklärt Sage-Geschäftsführerin Benigna Prochaska. Einheitliche Richtlinien, die dann für die meisten Länder eher strengere Regelungen bedeuten würden, kämen zudem dem Stellenwert des Themas Datensicherheit bei Unternehmenssoftware entgegen, meint Matthias Dietrich, rexx systems Austria. Anbieter, die nur Minimalstandards erfüllten, hätten es dann schwerer, auf dem Markt zu bestehen.

Oracle begrüße die Bemühungen zur Harmonisierung der Rechtsvorschriften der einzelnen Mitgliedstaaten, da dies die Komplexität der Implementierung von Cloud Services über einzelne Rechtsordnungen hinaus verringern würde, so Sales Manager Jürgen Weiss. Da der Begriff „Cloud” als Überbegriff für eine Mehrzahl von Services und Umsetzungsarten stehe,  könne jedoch eine einzige Vorschrift nicht für alle gleich gut passen. Bei SAP habe man es sich zur Aufgabe gemacht, die Harmonisierung, Standardisierung und Schaffung einheitlicher EU-Richtlinien mit voranzutreiben, berichtet Hermann Erlach, Sales Director SAP Österreich. Dies sei auch unter dem wirtschaftlichen Aspekt für Europa zu betrachten, damit die Wettbewerbsfähigkeit im Vergleich zu den USA oder Asien erhalten bleibe.

Sicherheit in der Cloud gerade für KMU

Auch durch das immer größer werdende Angebot an Cloud-Lösungen seien Unternehmen zunehmend sensibilisiert für den Datenschutz, meint Matthias Dietrich, Sales Manager rexx systems Austria. Gerade in den Anfragen von Interessenten habe das Thema einen hohen Stellenwert. Dabei zögen diese häufig auch die technischen und organisatorischen Möglichkeiten eines Serverbetriebs im eigenen Haus in Betracht. „Nicht selten führt diese Betrachtung dazu, dass ganz bewusst auf ein Hosting der Mitarbeiterdaten in einem professionellen, externen Rechenzentrum gesetzt wird, da die Einhaltung ähnlicher Sicherheitsstandards im eigenen Haus kaum möglich oder zumindest relativ kostspielig wäre“, so Dietrich weiter. Und auch Jürgen Weiss von Oracle betont, dass ja der Vorteil für Klein- und Mittelbetriebe in der Cloud gerade darin liege, dass Anbieter ihnen einen Sicherheitslevel bieten können, den sie mit eigenem Mitteleinsatz nicht herstellen können.

Oracle arbeite eng mit den Personal- und IT-Sicherheitsabteilungen der Kunden zusammen, um basierend auf deren Anforderungen die passende HR-Lösung zu erarbeiten, berichtet Jürgen Weiss. Je professionalisierter der IT- und Sicherheitsbereich beim Kunden, umso höher seien in der Regel die Anforderungen, aber auch um so schneller kämen IT-Sicherheitsabteilung des Kunden und die eigenen Sicherheitsexperten zu dem Ergebnis, wie die Anforderungen erfüllt werden könnten. „Im HR-Bereich ist das Thema Cloud bereits ein Standard und wir können uns an kaum einen Kunden erinnern, der im Bereich HR eine Cloud-Lösung völlig  ausgeschlossen hat“, so Weiss.

Was tun die Anbieter für die
Sicherung der Kundendaten?

Um die Sicherheit der Kundendaten und die Einhaltung der Richtlinien zu gewährleisten, setzen viele der befragten Software-Anbieter auf Transparenz über Speicherorte und Sicherheitsvorkehrungen. Sage habe etwa für die Online-HR-Lösung „meinpersonal.at“ einen ISO-zertifizierten Provider ausgewählt, bei dem der Stand der Technik und das angemessene Schutzniveau mehr als erfüllt würden und Kunden damit die Datenschutzbestimmungen erfüllen, so Geschäftsführerin Benigna Prochaska.

„Als Anbieter von HR-Software sehen wir uns laufend gefordert, sowohl technische Vorkehrungen zu treffen als auch laufend die Einhaltung von nationalen und internationalen Datenschutzbestimmungen zu überprüfen“, erklärt Michael Friedwagner, Geschäftsführer der Infoniqa HR Solutions GmbH. Konkret habe sein Unternehmen 2013 erneut mehrere Rechtsanwälte konsultiert, die die Software auf ihre DSG- und BDSG– Konformität überprüft hätten. „Hinsichtlich Datensicherheit arbeiten wir verstärkt mit den Sicherheitsexperten der IT-Abteilungen und Rechenzentren zusammen.“

Fabasoft lasse Kunden die Wahlfreiheit und die Gewissheit, wo die Speicherung der Daten in der Cloud erfolge, in Österreich, in Deutschland oder in der Schweiz. „An jeder Cloud-Location speichert die Fabasoft-Cloud die Daten synchron in zwei geographisch voneinander getrennten High-Tech-Rechenzentren.“ Dabei würden sowohl die Daten in den Rechenzentren als auch der Transport zu den Endgeräten der Anwender verschlüsselt, erklärt Geschäftsführer Karl Mayrhofer. rexx systems Sales Manager Matthias Dietrich bekräftigt, dass sein Unternehmen nur mit professionellen Rechenzentrumsbetreibern zusammenarbeite, die entsprechend zertifiziert seien. Alle diese Rechenzentren befänden sich innerhalb der Europäischen Union.

Die SAP Business Cloud für Europa werden in zwei SAP-Rechenzentren in Deutschland gesteuert. „Die beiden Data-Center sind ISO-zertifiziert und erfüllen die höchsten Datenschutz- und Sicherheitsstandards der Welt. Penible Zutrittskontrollen und eine im Notfall autarke Energieversorgung schützen die Daten unserer Kunden“, erklärt Hermann Erlach, Sales Director SAP Österreich. Die Wahl zwischen Rechenzentren in der EU, Asien und Nordamerika haben die Kunden bei Oracle. Bereits 1995 habe das Unternehmen Kunden die Verschlüsselung der Datenbanknetzwerkkommunikation, biometrische Verfahren und Datenbankverschlüsselung angeboten, berichtet Jürgen Weiss. Oracle CEO Larry Ellison habe zudem vor kurzem selbst anlässlich der NSA-Affäre Stellung genommen: „Nach unserem besten Wissen wurde in eine Oracle Datenbank in den letzten Jahrzehnten nicht eingebrochen, von niemandem.“

Interessanterweise scheinen Unternehmen häufig Vorbehalte gegenüber der Speicherung ihrer sensiblen Daten in einer Cloud zu haben, den Zugriff ihrer Mitarbeiter mit privaten Geräten auf Firmendaten jedoch zu erlauben oder zu tolerieren, was aus Sicht der Experten ein Sicherheitsrisiko und datenschutzrechtliche Komplikationen bedeute. Hier raten die Experten dazu, dafür ausschließlich Firmengeräte bereitzustellen und mithilfe von entsprechenden Vereinbarungen und Unternehmensrichtlinien die Nutzungsbedingungen zu definieren.

Cloud Computing, Datenschutz und Sicherheit

In Österreich ist die Haltung der Unternehmen gegenüber Cloud Computing aus Sicht vieler Experten immer schon etwas zurückhaltender gewesen als beispielsweise in Deutschland. Zu den Hauptsorgen der Kunden gehört etwa die Frage, wo ihre sensiblen Kunden- und Mitarbeiterdaten gespeichert und verarbeitet werden und ob sie sicher vor dem Zugriff Dritter sind.

„Arbeitgeber stehen vor der Herausforderung, die persönlichen Daten der Mitarbeiter zu schützen und dabei gleichsam die betrieblichen Interessen zu wahren. Dieser Umstand wird durch die rasante technologische Entwicklung in den letzten Jahren nicht gerade einfacher für die Unternehmen“, konstatiert Benigna Prochaska, Geschäftsführerin der Sage GmbH. Die hohe Sensibilität der Personalisten in Bezug auf den Schutz der Mitarbeiterdaten bestätige auch eine Studie der Sage-Gruppe in Zusammenarbeit mit der GfK im April 2013.

Die Frage des Vertrauens in einen Anbieter spiele eine wichtige Rolle – wobei das Vertrauen per se noch keine Aussage zur „Sicherheits- und Schutzqualität“ darstelle, so Ulrike Hugl, Expertin für Datenschutz, Informationssicherheit, Wirtschaftskriminalität und Industriespionage an der Universität Innsbruck. „In Unternehmen wird es für die Auswahl von Cloud-Anbietern und -Diensten immer von den einzelnen Entscheidungsträgern abhängen, inwieweit das Thema Datenschutz und Security aufgegriffen wird oder nicht“, so Hugl weiter.

Wichtige Fragen zu Cloud Computing
vorab durchdenken

Die Hauptsorge der Kunden sei die Frage „Wo sind meine Daten?“, sagt Arge Daten-Obmann Hans Zeger. Aber weitere Fragen seien mindestens genauso wichtig und Unternehmen sollten sich dazu ernsthafte Gedanken machen: „Habe ich die Daten auch wirklich immer verfügbar? Gibt es Back-ups? Oder auch: Was mache ich, wenn mein Internet-Service-Provider ausfällt?“ Entscheider müssten zudem auch die möglichen Folgen von Datenlecks bedenken: „Welche Bedeutung wird den eigenen Unternehmensdaten beigemessen? Welche Relevanz hätte eine etwaige Offenlegung für Dritte beziehungsweise für Geheimdienste wie die NSA? Welches Budget steht zur Verfügung?“, nennt Ulrike Hugl weitere wichtige Fragen. Axel Anderl wundert ebenfalls, dass Unternehmen oft nicht differenzierten, welchen Grad an Sensibilität ihre jeweiligen Daten haben, obwohl die Furcht vor Lecks ihrer sensiblen Kunden- oder Mitarbeiterdaten eine wichtige Sorge der Cloud-Nutzer sei. „Zudem überlegen sich die Leute viel zu selten ein Ausstiegsszenario“, ergänzt Hans Zeger. Daran dächten viele erst sehr spät, aber es sei wirklich entscheidend, sich frühzeitig darüber Gedanken zu machen, wie man seine Daten zurückbekommt, wenn man sie wieder inhouse speichern oder den Cloud-Anbieter wechseln möchte. Solche Strategieänderungen kämen in Unternehmen gar nicht so selten vor, zum Beispiel bei einem Wechsel der Geschäftsführung, berichtet Zeger.

Sebastian Ofer

Chefredakteur bei HRM Research Institute

Melde dich jetzt zum HRM Newsletter an