Die Einhaltung von Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und des kalifornischen Verbraucherschutzgesetzes (CCPA) erfordert eine andere Sicherheitsstrategie für Remote-Mitarbeiter. Lesen Sie weiter, um mehr über die fünf Best Practices von Splashtop zur Einhaltung von Richtlinien für Ihre Remote-Mitarbeiter zu erfahren.
Tele-Arbeit wird uns auch weiterhin begleiten. Laut einer aktuellen Schätzung von Gartnerwerden 51 Prozent der Wissensarbeiter Anfang 2022 ihre Arbeit aus der Ferne erledigen – und diese Zahl ist angesichts des jüngsten Anstiegs der Omicron-Variante auf der ganzen Welt realistischerweise höher.
Die Einhaltung von Vorschriften wird bei Tele-Arbeit schwieriger. Sehen Sie sich die Ergebnisse dieses kürzlich erschienenen Artikels des Security Magazine an, in dem die Ergebnisse der Apricorn Global IT Security Survey 2021 unter mehr als 400 IT-Sicherheitsexperten in Nordamerika und Europa erörtert wurden. Die Studie befasste sich mit Sicherheitspraktiken und -richtlinien für Tele-Arbeit in den letzten 12 Monaten. Verschiedene Ergebnisse fassen die Risiken sehr gut zusammen:
60 % der Befragten geben an, dass die durch COVID-19 verursachten Telearbeitsbedingungen zu Datensicherheitsproblemen in ihren Organisationen geführt haben.
38
% gaben an, dass die Datenkontrolle sehr schwierig zu handhaben warTrotz Bedenken hinsichtlich der Datenkontrolle gaben fast 20 % zu, dass ihre Arbeitsgeräte von anderen Mitgliedern ihres Haushalts benutzt wurden
Die Einhaltung der Datenschutzbestimmungen für Tele-Arbeiter war für IT-Teams noch kein Schwerpunkt. In einem Artikel von Healthcare IT News aus dem Jahr 2021 wurde darauf hingewiesen, dass nur 2 von 10 IT-Teams angaben, angemessene Tools und Ressourcen bereitgestellt zu haben, um Mitarbeiter bei der langfristigen Arbeit von zu Hause aus zu unterstützen. Dieser Mangel an Vorsorge birgt das Risiko, dass Unternehmen gegen Verbraucherdatenschutzgesetze, insbesondere die DSGVO und den CCPA, verstoßen.
Die Auswirkungen der Nichteinhaltung
Wenn sich herausstellt, dass ein Unternehmen Verbrauchern potenziellen Schaden zugefügt hat, indem es seine personenbezogenen Daten (PII) nicht ordnungsgemäß schützt, kann dies zu erheblichen Bußgeldern, Kundenverlusten und erheblichen Markenschäden führen. Sicherlich erinnern sich die meisten Menschen an hochkarätige Fälle wie die EU, die Amazon und H&M wegen Nichteinhaltung der DSGVO mit Geldbußen in Höhe von 746 Millionen Euro bzw. 35 Millionen Euro belegte. Dennoch verhängte die EU in nur 3 Jahren mehr als 800 Bußgelder im gesamten Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich (das die DSGVO-Regeln auch nach dem Brexit beibehält).
Ja, kleinere Organisationen werden bestraft. Nehmen Sie zum Beispiel den schwedischen Gesundheitsdienstleister Capio St. Göran.Seine Marke trug Schaden davon und musste eine DSGVO-Geldbuße in Höhe von 2,9 Millionen € nach einer Prüfung in einem seiner Krankenhäuser zahlen.Die Prüfung ergab, dass das Unternehmen keine angemessenen Risikobewertungen anwandte und keine effektiven Zugriffskontrollen eingeführt hat. Infolgedessen hatten zu viele Mitarbeiter Zugriff auf sensible personenbezogene Daten.
Dieselbe Art der Durchsetzung gilt für Organisationen aller Größen gemäß dem kalifornischen CCPA. In einem TechTarget-Artikel vom September 2021 wird darauf hingewiesen, dass der Bundesstaat Kalifornien kürzlich Bußgelder gegen ein Autohaus, eine Lebensmittelhandelskette, eine Online-Dating-Plattform und eine Tiervermittlungsagentur verhängt hat – wohl kaum die Titanen der modernen Industrie.
Fazit: Wenn Sie Remote-Teams verwalten, müssen Sie mehrere Schritte unternehmen, um Ihre Sicherheitsrichtlinien und -praktiken so anzupassen, dass sie die Datenschutzgesetze einhalten.
Zum Glück hat Splashtop Tausenden von Organisationen ermöglicht, remote zu arbeiten. Hier sind die 5 bewährten Best Practices von Splashtop in Bezug auf Compliance bei der Telearbeit.
Was Datenkonformität unter DSGVO und CCPA bedeutet
Sowohl die DSGVO als auch der CCPA verlangen, dass Unternehmen persönliche Daten vertraulich und sicher behandeln. Geschäftsprozesse, die personenbezogene Daten verarbeiten, müssen mit Sicherheitsvorkehrungen zum Schutz von Daten konzipiert und aufgebaut werden (z. B. durch Pseudonymisierung oder vollständige Anonymisierung, sofern zutreffend). Organisationen, die Daten kontrollieren, müssen Informationssysteme unter Berücksichtigung des Datenschutzes entwickeln.
Ähnlich wie die DSGVO definiert Kapitel 55 des California Consumer Privacy Act von 2018 (CCPA) personenbezogene Daten als Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, beschreiben, vernünftigerweise mit diesem in Verbindung gebracht werden können oder vernünftigerweise (direkt oder indirekt) mit diesem in Verbindung gebracht werden könnten, wie z. B. ein echter Name, ein Alias, eine Postanschrift, eine eindeutige persönliche Kennung, eine Online-Kennung, eine Internetprotokolladresse, E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerscheinnummer, Führerschein Nummernschild, Reisepassnummer oder andere ähnliche Identifikatoren.
Die Vorschriften gelten für Mitarbeiter jeder Organisation, unabhängig davon, ob sie im Büro oder remote arbeiten. Das ist besonders wichtig – es spielt keine Rolle, wo auf der Welt die Mitarbeiter arbeiten. Die Vorschriften gelten, wenn die durch die Vorschriften geschützten Verbraucher in der EU-Zone, dem Vereinigten Königreich und/oder Kalifornien leben. (Beachten Sie, dass zahlreiche andere Länder, wie Brasilien, Südafrika, Südkorea, Japan und viele andere, von 2019 bis 2021 ebenfalls ähnliche Vorschriften eingeführt haben.)
Best Practice Nr. 1: Ihre Cybersicherheitsrichtlinie aktualisieren, um die Realität der „Tele-Arbeit“ widerzuspiegeln
Die obigen Daten zeigen, dass viele Mitarbeiter mit Fragen der Datensicherheit und des Datenschutzes von Datensubjekten nicht vertraut sind und nicht erkennen, wie ihre Handlungen zu einer Datenschutzverletzung führen könnten, die die personenbezogenen Daten offenlegt, die Ihr Unternehmen schützen muss.
Der beste Weg, Mitarbeiter zu informieren, ist die Erstellung und Verbreitung einer Cybersicherheitsrichtlinie, die die Mitarbeiter darüber informiert, wie sie die Daten Ihres Unternehmens schützen können. Die gute Nachricht ist, dass es sich bei Ihrer IT-Sicherheitsrichtlinie um ein einfaches Dokument handeln kann. Darin sollten die Gründe für ihre Existenz erläutert werden und die spezifischen Sicherheitsprotokolle (in nicht technischer Sprache) dargelegt werden, die alle Mitarbeiter befolgen sollten. Es sollte auch eine Kontaktquelle (E-Mail-Adresse oder Telefonnummer) für Mitarbeiter bereitstellen, die zusätzliche Hilfe beim Verständnis benötigen.
Best Practice Nr. 2: Mitarbeiter schulen und sicherstellen, dass die IT sie unterstützen kann
Mitarbeiter sind oft das schwächste Glied in Sachen Cybersicherheit. Regelmäßige Sicherheitsschulungen helfen dabei, die Mitarbeiter darüber auf dem Laufenden zu halten, wie sie das Unternehmen vor böswilligen Angriffen schützen können.
Konto- und Passwortrichtlinien:
Allen Benutzern werden ihre eigenen Logins zugewiesen und über sichere Passwörter und Zwei-Faktor-/Multi-Faktor-Authentifizierung Zugriff gewährt.
Datensicherheitskontrolle:
Zu den Datensicherheitskontrollen gehören rollenbasierter Zugriff nach dem Prinzip der geringsten Rechte, Zugriffsüberwachung, Kontoüberprüfung/Inventarisierung und Protokollierung. Das bedeutet, dass alle Benutzer ein Minimum an Datenzugriff haben.
Zugriffskontrolle:
Zugriffskontrollen verwalten den elektronischen Zugriff auf Daten und Systeme und basieren auf Berechtigungsstufen, wichtigen Parametern und einer klaren Aufgabentrennung für Personen, die auf das System zugreifen.
Reaktion auf Sicherheitsvorfälle:
Die Verfahren zur Reaktion auf Sicherheitsvorfälle ermöglichen es einer Organisation, Ereignisse im Zusammenhang mit Splashtop-Diensten und Informationsressourcen zu untersuchen, darauf zu reagieren, diese zu mildern und darüber zu informieren.
Best Practice Nr. 3: Daten während der Übertragung und im Ruhezustand verschlüsselt halten
Erwägungsgrund 83 der DSGVO verlangt, dass personenbezogene Daten geschützt werden – sowohl bei der Übertragung als auch bei der Speicherung. Daten können jedes Mal übertragen werden, wenn jemand darauf zugreift, zum Beispiel wenn sie von einem Website-Server zu einem Benutzergerät übertragen werden. „Daten bei der Speicherung“ (data at rest) bezieht sich auf Daten im Speicher, z. B. Daten auf der Festplatte eines Geräts oder einem USB-Flashlaufwerk.
Verschlüsselung und Zugangskontrolle – die beiden Schlüssel, um den Datenschutz aufrechtzuerhalten, wenn Ihre Mitarbeiter aus der Ferne arbeiten.
Verschlüsselung:
Splashtop verschlüsselt alle Benutzerdaten während der Übertragung und während der Speicherung, und alle Benutzersitzungen werden sicher mit TLS eingerichtet. Die Inhalte, auf die innerhalb jeder Sitzung zugegriffen wird, werden immer mit 256-Bit-AES verschlüsselt.
Zugriffskontrolle:
Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Berechtigungsstufen, wichtigen Parametern und einer klaren Aufgabentrennung für Personen, die auf das System zugreifen.
Splashtop vermeidet bewusst die übermäßige Erfassung von Daten – etwas, das zu viele Unternehmen ohne einen legitimen Geschäftsdienstleistungsgrund tun. Wir passen uns leichter an die Vorschriften an, indem wir KEINE sensiblen Daten/Informationen sammeln. Wir sammeln, speichern und verarbeiten nur begrenzte personenbezogene Daten wie Benutzername (E-Mail), Passwort und Sitzungsprotokolle (für Kunden zur Überprüfung, Fehlerbehebung usw.), und Splashtop verkauft keine Kundeninformationen gemäß den Richtlinien der DSGVO und des CCPA.
Best Practice Nr. 4: Behandeln Sie geografiespezifische Daten in einem eigenen Stack
Wenn Ihr Unternehmen Benutzer in einer regulierten Zone bedient, ist es am sichersten, einen für jede regulierte Zone spezifischen Daten-/Technologie-Stack zu erstellen. Splashtop nutzt einen EU-Stack mit Sitz in Deutschland. Dadurch wird sichergestellt, dass Datenübertragungen im Zusammenhang mit EU-Bürgern innerhalb der Souveränität der EU bleiben (eine strenge Regel der DSGVO).
Best Practice Nr. 5: Einen sicheren Fernzugriff verwenden
Wer remote arbeitet, verwendet in der Regel VPNs und das Remote Desktop Protocol (RDP), um auf die Apps und Daten zuzugreifen, die für die Arbeit benötigt werden. Das hat Cyberkriminelle dazu veranlasst, schwache Passwortsicherheit und VPN-Schwachstellen auszunutzen, um auf das Unternehmensnetzwerk zuzugreifen und Informationen und Daten zu stehlen.
Die Fernzugriffslösung von Splashtop basiert nicht auf einem VPN. Darüber hinaus folgt sie einem Zero-Trust-Ansatz. Wenn Mitarbeiter aus der Ferne auf ihren Bürocomputer oder ihre Arbeitsplatzcomputer zugreifen, tun sie dies über eine spezielle Splashtop-Verbindung. Eine Verbindung, die nicht Teil des Unternehmensnetzwerks ist. Das bedeutet, dass sie die Daten (z. B. Word-Dokumente) nur auf ihrem Remote-Desktop anzeigen und bearbeiten können. Daten verlassen niemals das Unternehmensnetzwerk. IT-Sicherheitsverantwortliche haben bei Splashtop auch die Wahl, sowohl die Dateiübertragungs- als auch die Druckfunktionen zu aktivieren oder zu deaktivieren. Diese Optionen werden aus Compliance-Gründen dringend empfohlen, existieren aber bei einer RDP/VPN-Strategie nicht.
Der Fernzugriff von Splashtop bieten noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. Diese modernen Sicherheitsmaßnahmen gibt es in der VPN-Architektur nicht.
Vorbeugen ist einfacher als Heilen
Wie diese Best Practices zeigen, können Sie fünf gängige Schritte unternehmen, um sich ohne großen Aufwand an Datenschutzvorschriften anzupassen. Da Telearbeit auch weiterhin bestehen bleiben wird, überwiegen die Vorteile des Schutzes von Verbraucherdaten in Ihrer Umgebung der verteilten Belegschaft bei Weitem die negativen Auswirkungen, wenn festgestellt wird, dass sie „nicht konform“ sind.