Forschung

Homeoffice und Onlinekonferenzen

14. April 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Roger Kamm.

Homeoffice Knackpunkt: die Qual der Wahl für Onlinekonferenzen

Im Zuge der Coronavirus-Krise werden landauf und landab möglichst viele Mitarbeitende ins Homeoffice geschickt. Was früher verpönt, von vielen Vorgesetzten mit Misstrauen gesehen und als nicht kontrollierbare Arbeitsweise bezeichnet wurde und somit nicht oder nur sehr selten erlaubt wurde, wird nun als neues Heilmittel gepriesen und ohne Bedenken genehmigt. Mehr noch, man drängt förmlich möglichst Jeden und Jede ins Homeoffice. Es werden weder Kosten noch Mühe gescheut, um Hardware sowie Software für das Homeoffice anzuschaffen. Dabei muss allerdings berücksichtigt werden, dass im Homeoffice die persönlichen und schnell organisierten Meetings und Besprechungen nicht mehr wie gewohnt stattfinden können.

Als Alternativen bieten sich Online- oder sogenannte Webkonferenzen an. Unternehmen, die sich nicht schon frühzeitig mit diesem Thema beschäftigt und entsprechende firmenweite Richtlinien und Lösungen bereitgestellt haben, stehen nun vor einer grösseren Herausforderung. Gerade bei mehr als ein bis zwei Tagen pro Woche im Homeoffice, vergrössert sich der Bedarf nach den neuen Kommunikationsformen enorm. Die Vielfalt der Angebote ist gross, beinahe unüberschaubar, einige sind sogar gratis und verlockend einfach im Gebrauch.

Allerding muss man sich bewusst sein, dass diese Angebote nur vermeintlich gratis sind, denn schlussendlich muss alles irgendwie bezahlt werden. Die Ausgaben von Herstellern und Vertreibern dieser Produkte müssen durch integrierte Werbung, Webtracking oder im schlimmsten Fall durch Sammlung und Weitergabe von Daten wieder eingenommen werden. Auf der anderen Seite muss das eigene Unternehmen die Kontrolle über seine Daten und somit den Datenschutz jederzeit aufrechterhalten können, ist also entsprechend gefordert.

Zoom im Kreuzfeuer

In letzter Zeit sind verschiedene Berichte[1] und Untersuchungen zu dem sehr beliebten Webkonferenztool ZOOM[2] im Netz aufgeschaltet worden, die zur Vorsicht im Umgang mit diesem Tool raten. Wer sich ausgiebig informieren möchte, welche digitalen Produkte für die Zusammenarbeit vorhanden sind und wie sie bewertet wurden, findet dies auf der Webseite[3] des Datenschutzbeauftragten des Kantons Zürich. Hier werden die Produkte ausführlich beschrieben und bewertet.

Ebenfalls auf dieser Seite findet sich das Merkblatt «Analyse einer Auswahl von Kommunikationssoftware», das neun Produkte in sicherheitsrelevanten Bereichen gegenübergestellt. Der Umgang mit sensitiven Daten muss im Zentrum des Bewusstseins stehen. Es spielt keine Rolle, mit welchem Tool Benutzer und Benutzerinnen unterwegs sind, sie sind für die Daten, die über solche Kanäle fliessen, verantwortlich.

Deshalb müssen die Mitarbeitenden mittels Awareness und Vorschriften dazu angeleitet bzw. verpflichtet werden, richtig mit den Medien umzugehen. Hierzu gehört sicherlich die Begrenzung der eingesetzten Tools auf möglichst ein Einziges, das firmenweit benutzt wird. Somit können Verhaltens- und Arbeitsregeln, die an das ausgewählte Tool angepasst sind und für alle Benutzerinnen und Benutzer gelten, auf- und umgesetzt werden.

In diesen Regeln sollten mindestens folgende Aspekte enthalten sein:

  • Nur die Verwendung der erlaubten Tools (besser nur ein spezifiziertes Tool) festsetzen.
  • Meeting-IDs immer mit verschlüsselten Mails an die Teilnehmenden versenden.
  • Keine Aufzeichnungen der Meetings durchführen, da man nicht weiss, wo diese Daten anschliessend überall gehostet und verwendet werden.
  • Bei Desktop- und Dokument-Sharing keine sensitiven Daten zeigen oder teilen. Also keine Personendaten etc. 

Zoom in der Krise ja, aber nur mit Global Data Processing Addendum

Auch bei schnellem und unbürokratischem Einsatz von Web-Tools während der Corona-Krise ist es wichtig, gegenseitige Datenschutzvereinbarungen abzumachen. Bezüglich ZOOM hat der Datenschutzbeauftragte des Kantons Zürich Folgendes geschrieben: « Zoom kann nur während der Corona-Krise eingesetzt werden. Voraussetzung ist, dass das Global Data Processing Addendum unterzeichnet und an Zoom retourniert wird.»

Inwieweit dieses Vertragsdokument anschliessend umgesetzt wird und ob es funktioniert, ist nicht nachvollziehbar. Wie eingangs erwähnt, macht es für jedes Unternehmen Sinn, sich mit der Thematik sehr genau auseinanderzusetzen und entsprechende Grundlagen zu erarbeiten, zur Verfügung zu stellen und umzusetzen. Hierzu gehört nebst einem guten Vertragswerk und klaren Zusagen des Herstellers, bzw. Anbieters des Produktes auch eine eigene «Zusatzvereinbarung zum Datenschutz und zur Datensicherheit». In dieser werden die Pflichten des Anbieters aus eigener Sicht definiert. So können hier die erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung gefordert werden und dass diese jederzeit nach länderspezifischen Gesetzen (Bsp. Artikel 32. DSGVO) eingehalten werden.

Auch müssen die technischen und organisatorischen Massnahmen erfüllt werden, die etwa so lauten könnten:

  • Die gesamte Kommunikation muss auf verschlüsselten Kanälen stattfinden.
  • Gewährleistung der Vertraulichkeit, so dass keine vom Anbieter eingesetzten Mitarbeitenden auf die Kommunikationsdaten zugreifen, sie abgreifen, anderweitig speichern oder benutzen dürfen.
  • Gewährleistung der Integrität, indem keine Kommunikationsdaten verfälscht oder manipuliert werden.
  • Der Einsatz von Tracking und Verhaltensaufzeichnungen sollen nicht erlaubt sein.

Fazit und Alternative für Onlinekonferenzen

Die Auswahl des Anbieters eines Web-Onlinekonferenz-Tools hat somit sehr viel mit Vertrauen und gegenseitigem Respekt zu tun. Von Anbietern, die sich strikt weigern, eine Zusatzvereinbarung abzuschliessen, sollte man unbedingt die Finger lassen. Auch muss man sich vom Gedanken lösen, alles gratis und ohne Nebeneffekte erhalten zu können. Da macht es mehr Sinn, ein wenig Geld zu investieren, beispielsweise für SWYX. Gerade für kleinere Unternehmen, die nicht in der Lage sind, für eine professionell gehostete Skype-for-Business-Lösung eine grössere Summe auszugeben, ist SWYX sicherlich eine sehr gute Alternative.

Autor: Roger Kamm (Informations Sicherheits Officer SVA Aargau und Gründer der AROCS)


[1] https://www.heise.de/security/meldung/Videokonferenz-Software-Ist-Zoom-ein-Sicherheitsalptraum-4695000.html

[2] https://www.heise.de/newsticker/meldung/Online-Konferenz-Slack-Teams-Zoom-Co-effiziente-Kollaboration-in-Unternehmen-4695424.html

[3] https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html#title-content-internet-datenschutzbeauftragter-de-themen-digitale-zusammenarbeit-jcr-content-contentPar-textimage_2


CAS Cybersecurity und Information Risk Management

Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datenkontrolle, Datenschutz, Homeoffice, Onlinekonferenzen

zurück zu allen Beiträgen
×