Mobiles Arbeiten, das gab es beim IT-Dienstleister DATEV bereits vor Corona. Das Nürnberger Unternehmen sei gut vorbereitet gewesen, als es die meisten seiner 8.400 Mitarbeiter ins Home-Office schicken musste, sagt Rudi Kramer, der stellvertretende Datenschutzbeauftragte. Mit Firmenlaptops und Firmensmartphones konnten sich die Angestellten auch vor Corona schon über verschlüsselte Leitungen ins Firmennetz einwählen.
Größerer Schutz bei sensiblen Daten wichtig
Das klingt banal, ist für die Sicherheit aber enorm wichtig. Denn die Kunden von DATEV sind Anwaltskanzleien, Steuerberater und Wirtschaftsprüfer - also Firmen, mit besonders sensible Daten, die die Mitarbeiter auf ihren Geräten mit nach Hause nehmen.
Deswegen hat das Unternehmen auch ein besonderes System für den Datenzugriff geschaffen. Wichtig sei dabei, dass DATEV die Informationen nach ihrem Schutzbedarf klassifiziert habe. Das heißt, die Beschäftigten wüssten, welche Informationen weniger schutzwürdig und welche sind mit einem größeren Schutzbedarf versehen seien, so Kramer.
Kein Ausdruck von Kundendaten zuhause
Und dieser Schutz hat praktische Konsequenzen: Kundendaten etwa dürfen Zuhause nicht ausgedruckt werden, damit sie später nicht im Papiermüll landen. Bei der Zugfahrt darf nicht alles am Telefon besprochen werden. Und viele Laptops haben Blickschutzfolien, damit dem Mitarbeiter niemand über die Schulter guckt.
Michael Will, Präsident des Landesamts für Datenschutzaufsicht, hat wichtige Regeln zusammengestellt, nach der sich alle Unternehmen richten sollten. Nur die Daten, die tatsächlich für den jeweiligen Arbeitsplatz benötigt werden, sollten über das Internet verfügbar sein. Es sollten klare Sicherungen wie Passwörter vergeben werden, es sollte überhaupt die IT, die das Haus verlässt, eigenständig gesichert sein. Das heißt eine Vollverschlüsselung von Smartphones, von Computerfestplatten, müsse gewährleistet sein.
Firmen um Datenschutz bemüht - aus Eigeninteresse
Wills Behörde sitzt in Ansbach und kontrolliert die Einhaltung des Datenschutzes bei privaten Wirtschaftsunternehmen. Sie geht Hinweisen auf Verletzungen nach und kann auch bei den Firmen vorbeifahren, um zu kontrollieren. Rund 6.000 Beschwerden geht Michael Will jedes Jahr nach. In der Regel sind die Firmen aber um den Datenschutz bemüht, auch aus eigenem Interesse.
Laut dem Präsidenten des Landesamts für Datenschutzaufsicht sei es in bayerischen Unternehmen allerdings bislang nicht gehäuft zu Datenschutzverletzungen gekommen, die Bußgelder nach sich gezogen hätten. Schwachpunkt in Bayern ist – laut Will – der Internethandel. Dort würden immer wieder Kundendaten geklaut. Das liege allerdings nicht am mobilen Arbeiten.
Home-Office verstärkt Risiken für Unternehmen
Dass Home-Office die Risiken für Unternehmen verstärkt hat, glaubt hingegen Sabine Rathmayer. Sie ist Professorin an der Hochschule der Bayerischen Wirtschaft, wo sie den Studiengang Cyber-Security leitet. Gerade dort, wo Home-Office zu Beginn der Pandemie ganz plötzlich eingeführt wurde, gebe es bis heute große Sicherheitsprobleme.
Viele Firmen seien nicht wirklich gut eingerichtet, denn es sei ihnen teilweise gar nicht bewusst, auf was man alles achten müsse, sagt Rathmayer. Etwa auf Leitungsverschlüsselung über einen so genannten VPN-Tunnel. Oder auf datenschutzkonforme Vereinbarungen mit Anbietern von Video-Konferenz-Programmen und Clouds, damit sensible Daten nicht auf Servern außerhalb der EU landeten.
Einfallstor für Hacker: Alte Smart-Home-Geräte
Außerdem könnten sich Hacker zum Beispiel über alte Smart-Home-Geräte Zugriff verschaffen und Kundendaten ausspähen. So war es auch bei einer Firma, die Rathmeyer anschließend beraten hat: Erst nach Monaten sei aufgefallen, dass diese Daten teilweise im Darknet frei zur Verfügung gestellt wurden. Manchmal würden sie auch verkauft. Das sei nach Rathmayers Erfahrung für das Unternehmen natürlich der allerschlimmste Fall.
- Zum Artikel: Cyberkriminalität: So hoch sind die Schäden wirklich
Cyberkriminalität: Schäden in zweistelliger Milliardenhöhe
Gerade Klein- und Mittelständler tun sich schwer beim Thema Datensicherheit. Ein Problem, das auch bei der Vereinigung der Bayerischen Wirtschaft bekannt ist. "Jedes Jahr entstehen der deutschen Wirtschaft durch Cyberkriminalität Schäden in zweistelliger Milliardenhöhe", sagt Hautgeschäftsführer Bertram Brossardt. Jedes zehnte mittelständische Unternehmen werde Opfer eines Cyberangriffs.
Deswegen empfiehlt er auch kleinen Firmen: Geld investieren und die Systeme professionell absichern lassen. Denn letztlich sei der Datenschutz immer ein Wettlauf mit denjenigen, die gegen Recht verstoßen und sich die Daten entsprechend beschaffen wollen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht's zur Anmeldung!