Datensicherheit, Personalplanung und die digitale Zukunft


Von Kuverts und Uniformen

Richtige Briefe werden seltener – eine Entwicklung im Zeichen der modernen Kommunikation.

Schon seit Jahren werden Kuverts gespart, und der geneigte Schreiber haut in die Tasten. SMS als Telegramme der 90er Jahre, E-Mails als Briefe der vergangenen Generation und schließlich Social Media, Sprachnachrichten und Messenger als adäquate Stillung eines Mitteilungbedürfnisses, das stark ist wie nie zuvor. Mit Verspätung, aber nicht weniger Schwung, kommt die digitalisierte Nachricht auch im geschäftlichen Umgang, dank digitaler Signaturen und Amtsmailadresse sogar auf den Computern der Behörden, an.

Der digitale Nachrichtenverkehr ist der Briefträger, der lange Strecken in kürzester Zeit überwindet, in modernster Uniform daherkommt und einen obendrein wirklich überall erreicht.

In unserer Blogreihe “Das Büro der Zukunft”, werden wir noch über die Verfügbarkeit von Daten schreiben. Nicht nur Zuhause, auch im Büro oder unterwegs wird es immer wichtiger, dass Informationen und Dokumente ständig abrufbar, idealerweise durch mehrere Nutzer einseh- und änderbar sind – wie eine Kettenmail der modernen Arbeitskommunikation. Das ist Teil des Büros der Zukunft und Ausschöpfung der zur Verfügung stehenden Ressourcen. Aber gerade wenn es um E-Mails geht, darf sich der private und muss sich der berufliche Nutzer fragen: Wie sicher ist unsere Post?

Personalplanung Datensicherheit

 

Der Postboten Enkel

Edward Snowden und der plötzliche Riss im Schleier des deutschen Sicherheitsverständnisses waren erst der Anfang. Zugegeben, ein Anfang der einige wachgerüttelt hat und in dessen Folge zukunftsweisende, neue Verfahren zur Verschlüsselung und Datensicherung vorgestellt wurden.

Noch ist es dem privaten Nutzer aber freigestellt, seine eigenen Schlüsse zu ziehen, und im weitesten Sinne ist das sein Recht.

Wie sehr trifft es einen persönlich, wenn die eigenen Mails möglicherweise unverschlüsselt gelesen werden können? Immer wieder kommen nicht nur Nutzer über 40 zum Schluss, man habe ja nichts zu verbergen. Mehr noch, macht man sich nicht verdächtig, wenn man seine Nachrichten schützt – also E-Mails verschlüsselt – und erregt dies nicht die Aufmerksamkeit derjenigen, die explizit nach den digitalen Vermögenswerten suchen? Wer einen Safe sichtbar am Wohnzimmerfenster aufstellt, bewirbt den Inhalt als wertvoll und schützenswert.
Aber man muss erkennen, was für ein Privileg das Recht auf Datensicherheit eigentlich ist. Es ist noch schützenswerter als das Briefgeheimnis. Dieses wird jedem uneingeschränkt eingeräumt, während das Internet schon fast entrückt vom Maßstab normaler Regeln ist. Es ist zwar kein rechtsfreier Raum, aber doch mit besonderen Gefahren und Umständen verbunden. Keiner würde auf die Idee kommen, sein Briefkuvert aus der Sorge nicht zu verkleben, der Briefträger könnte glauben, man verberge etwas.

Es ist Normalität, dass durch Sendeverfolgung, geschützten Postverkehr und die Überprüfung von Postangestellten der traditionelle Nachrichtenservice lückenlos abgesichert wird. Sollte man an die Erben der Briefboten und der Digitalisierung nicht einen mindestens genau so hohen Standard anlegen?

Die Verantwortung der Betriebe

Selbst wenn man sich privat nicht absichern möchte, die Sicherheitsverantwortung als Selbstständiger oder Angestellter wächst mit jeder E-Mail. Es geht hier nicht mehr um die Urlaubsbilder an Muttern oder die Genesungswünsche an den Kommilitonen. Im Unternehmen geht es um Betriebsgeheimnisse, Protokolle, Verträge, Personaldaten, Dienstplanung, Steuerbescheide, Forschungsergebnisse – ein Aktenschrank, den man mal eben durch die Leitung schickt. Im schlechtesten Fall ist der aber so gesichert, als wäre er unverschlossen, mit dem Schild “Vertraulich” auf dem Gehweg. Die Daten sind nicht die einer einzelnen Privatperson, sondern das digitale Gemeingut der Mitarbeiter, Partner und zuletzt auch der Behörden.

Laut des “Sicherheitsmonitor Mittelstand” des Vereins “Deutschland sicher im Netz” (DsiN) ist die Aufklärung über Sicherheitslücken und Vorkehrungen zum notwendigen Schutz dieser Daten nicht nur niedrig, sondern auch rückläufig.
2015 nutzten 96% der erfassten Unternehmen zwar den E-Mail Verkehr für die oben beschriebenen Informationen, E-Mail Sicherheit selbst machte 2014 gerade mal 43% der IT Schutzmaßnahmen aus.

Das sind Zahlen, die nicht überraschen. Jeder ist sich darüber im Klaren, dass die E-Mail aus keinem Lebensbereich mehr wegzudenken ist, am allerwenigstens aus dem beruflichen. Und fast jeder ist sich der Unsicherheiten auf diesem Gebiet voll bewusst und entkommt ihr in den Medien ja auch gar nicht mehr. Trotzdem könnte man meinen, die Erhebungen seien unnötig geworden. Kaum einer liest sie, noch weniger Nutzer nehmen sie wirklich auf, und so scheint es, als habe man E-Mails als notwendiges Übel einfach in die Reihe akzeptabler und unabwendbarer Risiken der modernen Kommunikation aufgenommen.

Deutungshoheit über Sicherheitslücken

Die Desensibilisierung kann man aber nicht jedem Betrieb als Absicht vorwerfen. Nicht alle Unternehmen reißen wissend mit dem Hammer der Digitalisierung Sicherheitslücken in die Datenspeicher ihrer Mitarbeiter.
Es herrscht aber ein Ungleichgewicht, was das Vertrauen in die Sicherheit von E-Mails gegenüber den Alternativen angeht. Irgendwie gibt es das Bewusstsein, dass E-Mails nicht so ganz sicher sind und obendrein “auch keine Mail privat ist” (Focus). Die neuen Alternativen, wie Cloud Computing und Datensicherung auf fremden Servern scheinen aber allein des Alters wegen in den ungeschnürten Kinderschuhen zu stecken – da lässt es sich augenscheinlich schneller stolpern.

Unsere Kunden haben oftmals ein ähnliches Problem, wenn wir ihnen die Möglichkeiten von shyftplan nahelegen.

Das Bewusstsein für die Sensibilität der Daten – Personaldaten, Dienstplan, Stundenkonto, Zeiterfassung, Schichtplan, Urlaubsplaner, Krankenmeldung – ist vorhanden. Es werden auch Schlüsse gezogen und die Sicherheit hinterfragt. E-Mails werden dann aber als Risikofaktor wieder weitgehend ausgeblendet.

Nachgebessert und kaum verbessert

Die theoretische Absicherung scheint ja erst mal gegeben. Deutschland ist eigentlich recht stark im Feld der IT Sicherheit unterwegs und seit den Skandalen um Datendiebstahl wurde auch schnell durch E-Mail Anbieter und Behörden nachjustiert und -gerüstet.

Die E-Mail made in Germany (EmiG) wurde beispielsweise durch große Anbieter als vermeintlich modernstes Mittel mit automatischer Verschlüsselung hinterhergeschoben und den Nutzern als Schutzwall der Zukunft zur Seite gestellt. Leider wird hier ein aufgerüstetes Design als modern verkauft, weil es lange genug in der Abstellkammer der Experten gepflegt wurde. Die Verschlüsselung, die hier genutzt wird, so die Kritiker, sei weder neu noch wirklich sicher. Die meisten Nutzer kennen sich einfach zu schlecht aus, um das zu erkennen.
Denn man nutzt keine End-to-End Verschlüsselung, dass heißt nur der Weg zwischen den Stationen ist abgesichert und verschlüsselt. Aber in Zwischenzentren und vor und nach dem Weg sind die Daten noch immer recht leicht an- und aufgreifbar.

Am Sicherheitsproblem wurde nachgebessert, letzten Endes kaum etwas verbessert. Zwar hat der digitale Brief nun ein Kuvert, das aber unverschlossen bleibt.
Bemüht man wieder das Bild des Postboten, sieht das folgendermaßen aus: Der Postbote hat den Brief in einem Kuvert erhalten und bringt ihn vom Sender zu einer Zentrale. Im Sortierzentrum liegt er offen zwischen anderen Briefen, wird schließlich weitergeleitet und dem Empfänger mit offener Lasche vor die Haustür gelegt.

Die Sicherheit ist damit nicht mehr als ein Anstrich. Die Außenwirkung beruhigt erst einmal, bleibt aber im Detail unbedeutend.

Gut gemeinte Fehler

Wir begegnen bei shyftplan der falschen Abwägung von Sicherheit recht häufig, können sie aber auch gut nachvollziehen.

shyftplan verwaltet sensible Daten für viele Unternehmen verschiedener Branchen und unterschiedlicher Größen. Der Dienstplan, die Einsatzzeiten im Schichtplan und Urlaubsplaner sind bei genauer Betrachtung massive Verlustwerte im Datenvermögen.
Krankentage und Kontaktdaten oder der Lohnanspruch eines Mitarbeiters spiegeln eine vertrauliche Beziehung zwischen Arbeitgeber und Arbeitnehmer wieder. Die Unternehmensstruktur selbst, Arbeitsbereiche und Einsatzorte, Personalkosten eines Betriebes und die Steuerdaten sind ferner für jene interessant, die einem Unternehmen schaden wollen.

Trotzdem wird vieles davon noch bevorzugt als E-Mail verschickt, was nicht nur von der Verschlüsselung her ein Problem ist. Denn meist können diese Daten als Mail nicht einmal voll genutzt werden. In der weiteren Verwendung durchlaufen sie verschiedene Programme und müssen dazu auf Festplatten gespeichert werden, die meist auch ungeschützt sind. Am Ende stehen weitere E-Mails in verschiedenen Postfächern und auf weiteren, ungesicherten Geräten.

Das Sicherheitsrisiko wird durch wenig Aufklärung im Betrieb und Augenwischerei in der Öffentlichkeit oft nicht erkannt.
Mails sind die Briefe der Zukunft. Noch mangelt es ihnen aber an einer Einhaltung des Briefgeheimnisses und einem vertrauenswürdigen Postboten.

Personalplanung Datensicherheit

 

Nicht den Boten bestrafen, aber ihn umgehen?

Naturgemäß wird sich das Büro in Zukunft noch stärker auf den digitalen Verkehr stützen. Außer E-Mails wird die interne Kommunikation auch über Messenger wie Slack oder Hipchat stattfinden. Die bringen, ähnlich wie die Außenkommunikation durch Social Media, noch ihre ganz eigenen Risiken mit sich. E-Mails bleiben die Basis, eben die Briefe unter den digitalen Nachrichten.
Bis der Mailverkehr sicherer oder die Sicherheit schlicht anders betrachtet und umgesetzt wird, sollte man die Alternativen im Auge behalten, die bereits heute zahlreich sind.

Den eigentlichen Zugang auf einen kleinen Kreis von Nutzern zu beschränken und die Daten trotzdem sicher zu verwahren, sind eine solche Option, die shyftplan ermöglicht und unterstützt.

Wichtige Daten, vom Schicht- und Dienstplan über die Personaldaten zu den Lohnansprüchen, werden von uns nicht per E-Mail versandt. Sie können alle im System genutzt werden, ohne den Weg der E-Mails zu gehen und auf dem Weg abgegriffen zu werden.
Es gehen keine Daten verloren, während sie auch nicht auf anderen Festplatten durch unsere Kunden hinterlegt werden. Unsere Server sind sicherer als E-Mail Fächer, gerade weil es deutsche Server sind.

Als Serverstandort ist Deutschland tatsächlich sicher. Neben Anforderungen an Verschlüsselung und Sicherheit, die hier hoch gehalten werden, ist auch der staatliche Zugriff auf Gerichtsbeschlüsse beschränkt.

Exportierbar bleiben die Daten weiterhin, aber unsere Kunden entscheiden, wann dies passiert und in welchem Format.
Wir wollen den Boten, das E-Mail System, nicht bestrafen und auch nicht den Finger in die Wunde legen, die andere gerissen haben. Statt aber ständig E-Mails zu versenden und sich anschließen Sorgen zu machen, bieten wir eine Alternative an, die auf anderem Wege die Daten und Informationen verpackt.
Für unsere Kunden bedeutet das, ein Wegfall der Sicherheitslücke E-Mail, die auf anderem Wege schwer zu schließen ist.


Wenn du daher an deiner Datensicherheit arbeiten willst und nach Alternativen zum Mailverkehr in deinem Betrieb suchst, gehe auf www.shyftplan.com.

Natürlich beraten wir dich auch gerne zu unseren Standards und wie du deine Personalplanung nicht nur effektiver, sondern auch sicherer gestaltest.

Das Büro der Zukunft – Datensicherheit in der Personalplanung
Tagged on: