Gratis
27. Februar 2017 - Arbeitnehmerdatenschutz

Schnittstellen­kontrolle statt Mitarbeiter­überwachung

Viele Datenpannen beginnen mit der Datenübertragung auf ein mobiles Speichermedium oder Endgerät, das später verloren geht. Oder Daten werden gestohlen, indem Angreifer sie über unkontrollierte Schnittstellen kopieren. Die Schnittstellenkontrolle gehört deshalb zur Datenschutzkontrolle dazu. Sie darf aber nicht zur Mitarbeiterüberwachung ausarten.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation Vorsicht, Mitarbeiterüberwachung möglich! (Bild: Mathias Rosenthal / iStock / Thinkstock)

Überblick über Datentransfers: Fehlanzeige!

Unkontrollierte Datentransfers lassen das Risiko für Datenverlust und Datenmissbrauch steigen. Doch viele Unternehmen wissen nicht, auf welchen Wegen welche Dateien das Unternehmensnetzwerk verlassen.

Da ist es nicht verwunderlich, dass die IT-Sicherheit eine vollständige Überwachung aller Mitarbeiter-Aktivitäten wünscht – in der Cloud, im Netzwerk, auf Smartphones und an den lokalen Rechnern.

Keine anlasslose Überwachung

Eine anlasslose Überwachung aller Mitarbeiter-Aktivitäten widerspricht jedoch den Vorgaben im Datenschutz. Deshalb sollten Datenschutzbeauftragte darauf achten,

  • dass die eingesetzten Sicherheitslösungen nicht zu einer anlasslosen Mitarbeiterüberwachung führen und
  • dass das Unternehmen die Protokolle der Netzwerk-Aktivitäten nicht zweckentfremdet.

Schnittstellenkontrolle ist Mittel der Wahl

Statt die Mitarbeiter zu überwachen, sollten Unternehmen besser den Fokus auf Schnittstellenkontrollen legen. Ihre Bedeutung hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont: Das BSI hat einen Mindeststandard nach § 8 BSI-Gesetz (BSIG) zu diesem Thema veröffentlicht.

Der Mindeststandard „Schnittstellenkontrolle“ regelt die Absicherung der Schnittstellen von IT-Systemen. Außerdem macht er Vorgaben zu Einsatz und Eigenschaften entsprechender Softwarelösungen für die Bundesverwaltung.

Für den Datenschutz sind zudem folgende Punkte wichtig:

  • eine Datenschutz-Option, mit der sich die protokollierten Ereignisse anonymisieren lassen, indem sich Angaben zu Benutzern und speziellen Computern herausfiltern lassen. Empfänger von Berichten erhalten dann nicht mehr anlasslos personenbezogene Daten.
  • Sicherheitsfunktionen, um
    • den Einsatz von Speichermedien wie Speicherkarten, USB-Sticks oder DVDs zu kontrollieren und zu begrenzen,
    • unzulässige Endgeräte und Softwareanwendungen im Netzwerk zu blockieren,
    • die Berechtigungen der Mitarbeiter von der aktuellen Netzwerkverbindung abhängig zu machen,
    • Festplatten und mobile Speichermedien automatisch zu verschlüsseln und
    • die Dateitypen, die Mitarbeiter auf ein bestimmtes Medium übertragen dürfen, vorzuschreiben.

Schnittstellenkontrollen setzen Richtlinien voraus

Schnittstellenkontrolle bedeutet nicht, die Schnittstellen zu blockieren, sondern eine produktive Nutzung im Rahmen der Berechtigungen zu ermöglichen.

Deshalb setzen die Kontrollen unabhängig von der konkreten Sicherheitslösung immer interne Richtlinien voraus: Freigaben und Blockaden müssen genau zu den Anforderungen passen, die die Tätigkeit der einzelnen Mitarbeiter mit sich bringt.

Nur so sorgen Schnittstellenkontrollen dafür, den ungewollten Datenabfluss über Schnittstellen ebenso zu verhindern wie eine anlasslose Mitarbeiterüberwachung, ohne die Produktivität zu behindern.

Wie vielfältig die zu überwachenden Schnittstellen sind, zeigt die folgende Checkliste:


Download: Checkliste Schnittstellenkontrolle


Berücksichtigen Sie neben Arbeitsplatzgeräten und mobilen Geräten auch andere Hardware-Komponenten mit Funktionen zur Verarbeitung, Nutzung oder Speicherung personenbezogener Daten. Denken Sie zudem an die immer wichtiger werdenden Cloud-Dienste.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln