Viele Tools und Kommunikationslösungen, die im Unternehmensalltag zum Einsatz kommen, basieren auf Lösungen großer US-amerikanischer Cloud-Provider. Das Problem hierbei ist, dass es keine Rechtsgrundlage gibt, um personenbezogene Daten – beispielsweise Name, Standort und Kontaktinformationen der kommunizierenden Personen – in den USA oder von US-Unternehmen verarbeiten zu lassen. Der sogenannte transatlantische Datentransfer wäre nur zulässig, wenn die USA als Drittland ein angemessenes Datenschutz-Niveau vorweisen könnte (Artikel 44 DSGVO) – oder ein sogenannter Angemessenheitsbeschluss (Artikel 45 DSGVO) vorläge. Beides ist nicht mehr gegeben, seit der Europäische Gerichtshof (EuGH) auch das Privacy Shield-Abkommen 2020 für ungültig erklärte.
Doch es geht nicht nur um den Schutz personenbezogener und unternehmenskritischer Daten, sondern auch um die Gewährleistung des Organisationsbetriebs und der Kommunikation – insbesondere in Krisen- und Notfallsituationen. Laufen bestimmte Dienste einer Organisation in der Cloud großer US-Konzerne, sind Alternativen als eine Art Sicherheitsnetz nötig, um bei einem Ausfall dieser Cloud-Strukturen – ganz gleich ob durch höhere Gewalt, menschliches Fehlverhalten oder gezielte Attacken – wichtige Prozesse wie die interne Kommunikation aufrechterhalten zu können. Hier geht es gezielt darum, digital resilient und souverän zu sein. Denn dann kann auch in Krisensituationen oder im Fall von Cyberattacken im eigenen Unternehmen die volle Funktionsfähigkeit der Software-Lösungen gewährleistet werden. So ist der interne Informationsfluss zu keiner Zeit unterbrochen und die Organisation bleibt weiter handlungsfähig.
Ein Plus an Sicherheit gewinnen Unternehmen, wenn Sie mit dem Zero-Trust-Modell zusätzliche Sicherheit in ihre IT-Infrastruktur integrieren. Die Prämisse des Modells ist: Kein Tool, keine Plattform, kein User ist sicher. Deshalb werden jede Anforderung, jeder Zugriff und jede Anfrage an das System so geprüft, als käme sie aus einem offen zugänglichen Netzwerk. Bevor also ein Zugriff gewährt wird, gilt es diesen vollständig zu authentifizieren, zu autorisieren und zu verschlüsseln sowie die Identität und den Zustand des Endgeräts zu überprüfen. Umfassende Business Intelligence (BI) und Analytics erkennen zudem Anomalien in Echtzeit und wehren sie ab. Dies macht es Cyberkriminellen erheblich schwerer, die Kommunikationslösung als Einfallstor zu nutzen.
Mit dem Ziel die eigenen Daten bestmöglich zu schützen und die Kommunikation auch im Krisenfall sicherzustellen, müssen Unternehmen ihre bestehende (wie auch jede neu in Erwägung gezogene) Kommunikationslösung und deren Hosting-Anbieter hinsichtlich Datenschutz und -sicherheit überprüfen und sich folgende Fragen stellen.
Im Hinblick auf das Hosting:
Bezüglich Datenschutz und -sicherheit:
Lassen sich diese Fragen für eine konkrete Kommunikationslösung bejahen, besteht aus datenschutzrechtlicher Sicht und im Hinblick auf Datensicherheit und -souveränität eine gute Grundlage. Natürlich muss anschließend auch die Funktionalität der Lösung überzeugen, darunter Standard-Funktionen wie beispielsweise Echtzeit-Messaging, Videotelefonie und die Einbindung mehrerer Endgeräte. Aber auch business-relevante Aspekte – etwa eine einfache Administrationsoberfläche und Nutzerverwaltung, Alarmierungen und Status-Nachrichten sowie die Möglichkeit, organisationsübergreifend zu kommunizieren und auch Drittsysteme anzubinden. Schließlich ist es auch die Qualität von Kommunikationsprozessen, welche die digitale Resilienz und Souveränität fördert.
Nicht allen Unternehmen ist aktuell bewusst, auf welcher rechtlichen und technologischen Grundlage sie ihre Kommunikationslösungen betreiben. Nicht selten fehlt die Transparenz seitens der Lösungsanbieter, auch hinsichtlich der Erklärungen zu Datenschutz und Sicherheitsstandards. Dies sorgt für eine bedenkliche Abhängigkeit der Unternehmen von diesen Anbietern. Dabei trägt jedes Unternehmen rein rechtlich selbst die Verantwortung für die Datenverarbeitung. Folglich sollte es souverän steuern können, dass die Verarbeitung von personenbezogenen und unternehmenskritischen Daten den gesetzlichen Anforderungen und eigenen Ansprüchen genügt. Wenn es um Datensouveränität geht, gibt es keine Kompromisse.
Tobias Stepan
ist Geschäftsführer von Teamwire. Zuvor setzte er als Berater Wachstums- und Sanierungsprojekte bei Hightech-Unternehmen um und baute das Europa-Geschäft des amerikanischen IT-Start-ups Servo bis zum Exit an die japanische Kii Corporation auf.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…