Rechtssichere E-Mail-Archivierung als Managed Service nutzen

E-Mail-Archivierung darf aufgrund der geltenden gesetzlichen Anforderungen in keinem Unternehmen fehlen. Aber auch über die rechtlichen Aspekte hinaus bietet das Hosting einer E-Mail-Archivierung zahlreiche weitere technische und wirtschaftliche Vorteile.

Geltende rechtliche Anforderungen zwingen Unternehmen E-Mails über viele Jahre hinweg vollständig, manipulationssicher und jederzeit auffindbar (revisionssicher) aufzubewahren. Kommt die Geschäftsführung dieser Pflicht nicht nach, drohen empfindliche Sanktionen. Mit einer gehosteten Archivierungslösung können Unternehmen diese Anforderungen zuverlässig erfüllen und gleichzeitig die sonst üblichen Zeit- und Kostenaufwände bei der Einführung und dem Betrieb einer E-Mail Archivierungslösung umgehen, ohne dabei Kompromisse bei der Sicherheit, Vertraulichkeit und Verfügbarkeit der Daten eingehen zu müssen.

 

 

Welche Vorteile bietet cojama‘s Archivierungslösung?

Ein wesentlicher Vorteil einer E-Mail Archivierung ist die rechtliche Sicherheit, denn jede E-Mail, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird, muss über viele Jahre hinweg aufbewahrt werden. Zudem kann mit Compliance Archive das Risiko von Datenverlust, das durch technische Fehler wie defekte PST-Dateien oder das Löschen von E-Mails besteht, ausgeschlossen werden. Darüber hinaus stellt das stetig wachsende E-Mail Volumen für viele Unternehmen eine Herausforderung dar. Steigende Storage-Anforderungen und immer komplexer werdende Backup- und Restore-Prozesse belasten die IT. Durch die Auslagerung von E-Mails in Compliance Archive kann diese Entwicklung nachhaltig vermieden werden.

Als Archivierungslösung besonders macht Compliance Archive der schnelle und komfortable Zugriff auf E-Mails aufgrund der Suchfunktion und des One-Click-Restores. D.h. alle Microsoft-Anwender können über eine nahtlose Integration in Microsoft Outlook auf die archivierten E-Mails zugreifen und diese extrem schnell durchsuchen. Der Zugriff kann dabei auch über die gewohnte Ordnerstruktur erfolgen. Außerdem ist Compliance Archive keine Einbahnstraße. Ihre Daten können zu jeder Zeit vollständig, ohne Informationsverlust und in Standardformaten wieder exportiert und Ihrem Unternehmen übergeben werden.

 

Welche Leistungen übernimmt cojama für Sie?

cojama begleitet Sie fachmännisch und Schritt für Schritt durch einen kurzen Einrichtungsprozess und übernimmt fortan für Sie den Betrieb des Archive als Managed Service. Hierunter fällt:

  • Archivierung der ein- und ausgehenden E-Mails nach GoBD
  • Anlage der Exchange-Benutzer im Archivsystem
  • 24-Stunden-Überwachung aller Dienste und Kommunikationswege
  • Technischer Support per E-Mail und telefonisch Mo-Fr von 9.00 bis 18.00 Uhr – kostenfrei

 

Welche Funktionen stellen wir Ihnen zur Verfügung?

  • Archiv-Zugriff via Outlook-PlugIn, Webbrowser oder Client-Software
  • Schnelle Volltextsuche innerhalb des Archivs
  • Wiederherstellung von E-Mails mit einem Click
  • SSL verschlüsselter Zugriff mit der Identität des Exchange-Postfachs
  • Festlegung der Aufbewahrungsdauer für die Organisation
  • Administrator-Zugang zur Verwaltung des Archivs
  • Vergabe von Berechtigungen auf Benutzer-Archive
  • Auditor Zugang für eine Archivübergreifende Suche
  • Import vorhandener Daten, z. B. in Form von PST-Dateien
  • Mac-User können Compliance Archive über den Web Access plattformunabhängig verwenden

 

Nutzen Sie die Möglichkeit, und lassen Sie sich noch heute ausführlich und unverbindlich von unserem Support-Team beraten.

0661/ 90 249 222 | hosting@cojama.com

Outlook signieren

Einbindung eines S/MIME Zertifikats in Outlook

Was ist S/MIME?

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard zur E-Mail-Verschlüsselung, über den sichergestellt wird, dass die gesendete E-Mail tatsächlich von Ihnen stammt und nicht manipuliert wurde. Dies gewährleistet den Datenschutz der versendeten E-Mails und verhindert, dass Unbefugte an Ihre sensiblen Daten gelangen können. Um Ihre E-Mails zu verschlüsseln, benötigen Sie ein S/MIME-Zertifikat. Wie Sie dieses erfolgreich in Outlook einbinden können, zeigen wir Ihnen in unserem neuen Blogbeitrag.

Exportieren des Zertifikats via Firefox:

Nachdem Sie Ihr Zertifikat erfolgreich heruntergeladen und installiert haben, gehen Sie bitte wie folgt vor, um dieses aus dem Browser zu exportieren.

Firefox Einstellungen öffnen  Firefox Datenschutz Sicherheit

Wählen Sie „Einstellungen -> Datenschutz & Sicherheit -> Zertifikate anzeigen…“.

Firefox Zertifikat exportieren

Wählen Sie hier das S/MIME-Zertifikat aus und sichern Sie dieses in einen beliebigen Ordner auf Ihrem PC.

Bitte notieren Sie sich das beim Export vergebe Kennwort, dieses wird in einem späteren Schritt noch einmal benötigt.

Einbindung des Zertifikats in Outlook:

Wählen Sie in Outlook „Datei => Optionen => Trust Center => Einstellungen für das Trust Center…“:

Outlook Optionen Outlook Trust Center

Im Bereich „E-Mail-Sicherheit“ finden Sie im Abschnitt „Digitale IDs“ den Punkt „Importieren/Exportieren…“:

Outlook Import Export

Bitte wählen Sie hier das neue S/MIME-Zertifikat aus und geben das Passwort ein, welches Sie während des Exportvorgangs in Firefox vergeben haben:

Outlook SMIME

Nachdem das Zertifikat nun erfolgreich in Outlook importiert wurde, können Sie dieses im Bereich „Verschlüsselte E-Mail-Nachrichten“ unter dem Punkt „Einstellungen“ hinterlegen:

Outlook Einstellungen

Sollten Sie mehrere S/MIME-Zertifikate besitzen, können Sie an dieser Stelle festlegen, welches Zertifikat standardmäßig hinterlegt werden soll:

Outlook Zertifikate

Vergeben Sie einen passenden Namen, um das Zertifikat leichter zuordnen zu können, und wählen Sie dann als Signaturzertifikat das importierte Zertifikat aus:

Zertifikat Name

Damit ist Ihr S/MIME-Zertifikat erfolgreich in Outlook hinterlegt, und ausgehenden Nachrichten werden fortan verschlüsselt und digital signiert versendet.

Möchten Sie eine Nachricht von einer anderen Adresse versenden, für die Sie kein gültiges S/MIME-Zertifikat hinterlegt haben, können Sie die Signatur im Bereich „Optionen => Berechtigung => Signieren“ entfernen:

Outlook signieren

Beim Empfänger wird eine mit S/MIME signierte Mail mit einem Signaturzeichen– Symbol gekennzeichnet und mit dem Textbezug „Signiert von …“ versehen:

SMIME Kennzeichnung

Safe-Harbor-Abkommen gekippt Grafik

Safe-Harbor-Abkommen durch EuGH gekippt – was jetzt?

Safe-Harbor-Abkommen gekippt Grafik

Datenschützer und am Datenschutz Interessierte jubeln und feiern einen weiteren Teilerfolg, die Wirtschaft befürchtet Einschnitte – welche Auswirkungen hat das Urteil für Unternehmen?

Die Klage des Österreichers Max Schrems gegen die irische Datenschutz-Aufsichtsbehörde war erfolgreich – und könnte nachhaltig die Wirtschaft beeinflussen. So oder ähnlich sind die ersten Reaktionen auf das Urteil des EuGH zum Safe-Harbor-Abkommen. Realistische Einschätzungen für die Folgen der Rechtsprechung lassen sich zum jetzigen Zeitpunkt kaum erahnen. Die Tragweite ist für Firmen wie für Verbraucher noch weitgehend unbekannt.

Um was geht es?

Anstoß für das Urteil war die Tatsache, dass Daten, welche durch Facebook in Europa erfasst, aber in Amerika gespeichert werden, durch die US-Sicherheitsbehörden uneingeschränkt eingesehen und erfasst werden können. Link für Interessierte: http://www.europe-v-facebook.org/DE/de.html.

Grundlage für dieses Vorgehen ist der sogenannte „Patriot Act“, in welchem dieses Verhalten bei Sicherheitsbedenken für die USA gebilligt wird und aus Sicht der amerikanischen Behörden legitim ist. Im Zuge des NSA-Abhörskandals und nicht zuletzt durch die Veröffentlichungen des „Whistleblowers“ Edward Snowden geriet das Thema Datenschutz mehr und mehr in den Blickpunkt der Gesellschaft. Ein neuer Höhepunkt ist das aktuelle Urteil.

 

Die möglichen Auswirkungen

Unternehmen können sich nun nicht mehr auf das Safe-Harbor-Abkommen als Grundlage für die Speicherung der Daten in den USA berufen. Große amerikanische Firmen, welche die vorrangige Marktmacht auf verschiedenen Gebieten innehaben, verlassen sich jedoch nicht mehr nur auf dieses Abkommen. Sie werden mit ihren Rechtsabteilungen sicherlich andere gangbare Regelungen (BCR , EU-Standardvertragsklauseln) finden, personenbezogene Daten mehr oder weniger rechtssicher in die Vereinigten Staaten übertragen zu können.

Inwieweit die EU oder die Datenschutzaufsichtsbehörden einzelner Länder diese Regelungen beanstanden werden, bleibt abzuwarten. Die deutschen Aufsichtsbehörden werden sich dazu demnächst verbindlich äußern.

Kleinere Unternehmen, welche amerikanische Produkte vertreiben und bei denen die Speicherung der Daten in den USA erfolgt, sind jedoch zum Handeln gezwungen: Entweder sie treffen neue vertragliche Regelungen mit ihren amerikanischen Dienstleistern oder Kunden könnten ihnen möglicherweise verloren gehen.

Die Kunden sind auf jeden Fall von jetzt an in der Pflicht, bei ihren Dienstleistern zu prüfen, ob die personenbezogenen Daten rechtskonform in die USA transferiert werden.

Die Entwicklung auf dem Markt, dessen Landschaft sich definitiv verändern wird, ist mit Spannung zu erwarten. Ebenso wird die Fassung eines neuen Safe-Harbor-Abkommens von den betroffenen Unternehmen und von Datenschützern mit höchster Aufmerksamkeit verfolgt und wird ein aktuelles Thema bleiben.

Dem Kunden bleibt also momentan bei der Auswahl eines geeigneten Dienstleisters nur übrig, sich intensiv mit den geltenden Datenschutzbestimmungen für die angebotenen Produkte zu beschäftigen, im Zweifelsfall zu prüfen, ob eine ggf. stattfindende Übertragung von personenbezogenen Daten in die Vereinigten Staaten rechtskonform durchgeführt wird und dies alles zu dokumentieren, falls die zuständige Datenschutz-Aufsichtsbehörde oder interessierte Betroffene nachfragen.

 

Unsere Lösung für Sie

Alternativ kann der Kunde natürlich auch einen Anbieter auswählen, der seine Infrastruktur und alle angebotenen Dienstleistungen vollständig in Deutschland betreibt und demzufolge auch in der Lage ist, mit dem Kunden für die Dienstleistung eine Auftragsdatenverarbeitungsvereinbarung abzuschließen.

Bei cojama bekommen Sie genau das:

Cloud-Computing und Datenschutz: Wie bekommt man beides unter einen Hut?

Interview zum Datenschutz

Fragen an den Datenschutz-Beauftragten (DSB):

Herr Spaeing, die Firma ds-quadrat hat sich auf die Beratung für Datenschutz und Datensicherheit spezialisiert. ds² wurde 2001 gegründet und hat sich seit dem zu einer renommierten Unternehmensberatung in diesem Bereich entwickelt.

Dabei betreuen Sie Unternehmen und andere Organisationen verschiedener Branchen. Mit mehreren Projektbüros in ganz Deutschland bietet ds² Unternehmen und Institutionen ein erfahrenes Team bestehend aus Wirtschaftsexperten, Wirtschaftsinformatikern und Juristen.

Sie selbst leiten die Zweigstelle in der Lutherstadt Wittenberg und betreuen uns als Cloud-Computing Anbieter seit fast fünf Jahren.

Wie kann man Cloud-Computing als Unternehmen nutzen und dennoch dafür sorgen, dass die Themen Datenschutz u. Datensicherheit angemessenen berücksichtigt werden?

Cloud Computing ist kein komplett neues Thema. Meist waren ähnliche Dienstleistungen auch früher schon am Markt unter anderen Bezeichnungen verfügbar. Immer mussten diese Dienstleistungen (Outsourcing, Software-as-a-service), wenn es (auch) um die Verarbeitung personenbezogener Daten ging, über gesetzlich im BDSG geforderte Auftragsdatenverarbeitungs-Vereinbarungen geregelt werden.
Wenn heutzutage ein Unternehmen Cloud Computing nutzen will, um Daten zu verarbeiten und wenn dabei nicht ausgeschlossen werden kann, dass personenbezogene Daten verarbeitet werden (erst dann ist es ein Datenschutzthema), dann sollte dieses Unternehmen darauf achten, dass der Cloud Computing-Anbieter auch eine entsprechende Auftragsdaten-Vereinbarung anbietet und dass die dazugehörigen technische und organisatorische Maßnahmen (TOMs, hier werden unter anderem Maßnahmen für die Datensicherheit definiert) angemessen sind.

Welche Bedeutung hat es, ob sich die Systeme in Deutschland, der EU oder einem Drittland befinden?

Wichtig ist an dieser Stelle anzumerken, dass Auftragsdatenverarbeitung nur innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie von 1995 erlaubt ist. Wenn also der Cloud Dienstleister nicht aus der EU kommt, kann es sich nicht um eine ADV handeln. Dann wird es datenschutzrechtlich deutlich anspruchsvoller. Und es liegt die Vermutung nahe (je nach dem Land, in dem der Dienstleister agiert), dass dort das Datenschutzniveau nicht dem europäischen Anspruch genügt. Schon der europäische Anspruch entspricht nicht immer dem Niveau, das wir im Zweifelsfall in Deutschland haben wollen. In Abhängigkeit von der Sensibilität der personenbezogenen Daten kann es also eine gute Wahl sein (wenn alles andere auch passt) sich für einen Anbieter aus Deutschland zu entscheiden, da bei diesem am Ehesten vermutet werden kann, dass er sich komplett an deutsche Gesetze hält.

Was können Sie Unternehmen bzw. Organisationen grundsätzlich raten, wenn diese Interesse an einer Cloud Lösung haben?

Es muss sichergestellt sein, dass der Anbieter datenschutzkonform arbeitet.

Wenn es ein deutscher Anbieter ist, muss er sich an die deutsche Datenschutz-Gesetzgebung (Bundesdatenschutzgesetz, Landesdatenschutzgesetz, …) halten.

Wenn es ein Anbieter aus dem EU-Raum ist, muss sichergestellt sein, dass dieser sich an die in dem jeweiligen Land geltenden Datenschutzgesetze, die alle auf der EU-Datenschutz-Richtlinie basieren, hält und die Anforderungen des deutschen Bundesdatenschutz-Gesetzes ebenfalls erfüllt.

Herr Spaeing, welche Voraussetzungen muss ein Cloud-Computing Anbieter mindestens erfüllen, damit er die Themen Datenschutz und Datensicherheit für seine Kunden zufriedenstellend abgedeckt hat?

Der Anbieter muss dem Kunden eine ADV-Vereinbarung anbieten, und er muss dem Kunden garantieren, dass er dessen Vorgaben bzgl. der technisch-organisatorischen Maßnahmen (TOMs) erfüllt.

Welche Rolle spielt dabei die Frage nach einem Datenschutzbeauftragten beim Cloud-Computing-Anbieter?

Wir Datenschutzbeauftragte haben den gesetzlichen Auftrag auf die Einhaltung der Datenschutz-Gesetze hinzuwirken. Deswegen ist es durchaus ein Gütekriterium, wenn ein Cloud Computing-Anbieter einen Datenschutzbeauftragten hat, denn daran kann man absehen, dass das Thema Datenschutz von dem Anbieter mit hoher Wahrscheinlichkeit ernst genommen wird.

Wichtig ist hierbei, dass der Auftraggeber als sog. verantwortliche Stelle (gem. BDSG) auch überprüft, ob der beim Dienstleister bestellte Datenschutzbeauftragte die an ihn gestellten Anforderungen effektiv erfüllen kann. Hiermit meine ich: Ist der Datenschutzbeauftragte entsprechend ausgebildet, hat er die Möglichkeit, sich regelmäßig in diesem Fachgebiet weiterzubilden und wird er von dem Dienstleister in der Ausübung seiner Pflichten so unterstützt, wie das BDSG es fordert.

Welche Bedeutung haben die Eigentümerstruktur oder Konzern-Verflechtungen des Dienstleisters?

Grundsätzlich haben Eigentümerstruktur oder Konzernverflechtung des Dienstleisters keinen wesentlichen Einfluss auf das Datenschutz-Niveau des Dienstleisters.

Natürlich ist heutzutage gerade im Zusammenhang mit den bekannt gewordenen Geheimdienst-Skandalen eine durchaus wichtige Überlegung, welches Recht für den Dienstleister gilt. Es kann wahrscheinlich nicht ausgeschlossen werden, dass ein Unternehmen, welches einer amerikanischen Konzern-Mutter gehört, sich auch amerikanischem Recht unterwerfen muss. Es ist heutzutage allgemein bekannt, dass das amerikanische Datenschutz-Niveau an das europäische nicht heran reicht. Der Auftraggeber ist aber an deutsches Recht gebunden und muss im Zweifelsfall sicherstellen, dass der Dienstleister sich vollständig an deutsches Recht hält.

Ein zweiter Aspekt kann die Frage der Kontinuität des Dienstleisters sein, denn in größeren Konzernen kommt es häufiger zu Umstrukturierungen und dabei könnte durchaus auch mal der Dienstleister auf der Strecke bleiben. Bei den deutschen kleinen und mittleren Unternehmen (KMU) ist über die letzten Jahrzehnte regelmäßig Konstanz in der Firmenführung festzustellen gewesen.

Sehen Sie generell einen Vorteil in der Beauftragung eines Cloud-Computing-Anbieters?

Lassen Sie mich zur Beantwortung dieser Frage ein wenig ausholen:

Die Frage ob ich einen externen Anbieter mit der Erbringung einer Dienstleistung beauftrage oder diese Tätigkeit selbst ausführe, stellt sich ja auch bei der durch mich angebotenen Dienstleistung des Datenschutz-Beauftragten.

Unternehmen müssen einen Datenschutz-Beauftragten bestellen. Hierbei ist es ihnen freigestellt, einen Mitarbeiter zum internen Datenschutz-Beauftragten zu bestellen oder diese Dienstleistung über einen externen Anbieter in Anspruch zu nehmen. Beides kann Vorteile haben.

Wenn das Unternehmen den Mitarbeiter ordentlich qualifiziert und ihm alle benötigten Ressourcen zur Verfügung stellt, wird dieser interne Datenschutzbeauftrage seine Aufgabe gesetzeskonform und sicherlich auch gut erfüllen.

Das BDSG hat den Unternehmen aber auch die Möglichkeit gegeben, einen externen Dienstleister als Datenschutzbeauftragten zu bestellen. Ich z. B. bin nur als Datenschutz-Berater und bestellter Datenschutzbeauftragter tätig.

Meine Kunden gehen also davon aus, dass ich – weil ich mich ja nur mit dem Thema Datenschutz beschäftige – entsprechende Expertise und Erfahrung im Bereich des Datenschutzes habe.

Genau das Gleiche gilt grundsätzlich für alle anderen Dienstleistungen.

Natürlich kann ein Unternehmen z. B. einen Mailserver (Exchange-Server) im eigenen Haus betreiben. Dazu benötigt es dann finanzielle Ressourcen (Kauf der Hard- und Software) und natürlich auch qualifizierte Mitarbeiter, die diesen Server betreiben und ihn gegen alle bestehenden Gefahren und Risiken angemessen absichern. Das kann so problemlos funktionieren.

Oder das Unternehmen beauftragt einen Spezialisten, der nur diese oder zumindest nur wenige gleichartige Dienstleistungen anbietet, und überzeugt sich natürlich beim Auswahlprozess davon, dass dieser Dienstleister auch die entsprechende Expertise und Erfahrung hat. Hier fallen dann zwar regelmäßige Kosten an, aber letztendlich bleibt es einer individuellen Prüfung vorbehalten, ob diese Variante nicht über alles gesehen die bessere und günstigere Lösung ist.

cojama hat sich nach einer ausführlichen Prüfung für einen externen Datenschutzbeauftragten entschieden.

Herr Spaeing, vielen Dank, dass Sie sich die Zeit für die Beantwortung unserer Fragen genommen haben.

Das Interview führte Marco Großmeilert, Koordinator des Datenschutzes bei der cojama Infosystems GmbH, Fulda und Mitglied der Geschäftsleitung

Wussten Sie schon… wie Sie Ihre Daten besser schützen können?

Datenschutz und Datensicherheit werden immer wichtiger. Schützen Sie Ihre Daten!

Datenschutz und Datensicherheit werden immer wichtiger. Schützen Sie Ihre Daten!

Die Themen Datenschutz und Datensicherheit werden immer wichtiger.
Seitdem Hacker Angriffe und Datendiebstahl immer häufiger in den Medien thematisiert werden und die Möglichkeiten der Überwachung durch die NSA Affäre bekannt wurden, machen sich immer mehr Nutzer Gedanken über die Sicherheit Ihrer Daten.
Doch oft suchen Sie die Problemquellen nur beim Anbieter und lassen Ihre eigene Unachtsamkeit beim Datenschutz außer Acht. Wir informieren Sie rund ums Thema Datenschutz und zeigen Ihnen was Sie selbst für die Sicherheit Ihrer Daten tun können.

Das Bundesdatenschutzgesetz (BDSG):

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden, inkl. deren Übermittlung an Dritte. Es setzt die Datenschutzrichtlinie (Richtlinie 95/46/EG) um.
Dieses besagt zusammengefasst:

Es gel­ten die Grund­sätze der Daten­ver­mei­dung und der Daten­spar­sam­keit nach § 3a BDSG: mög­lichst keine oder so wenig wie mög­lich an per­so­nen­be­zo­ge­nen Daten erhe­ben, ver­ar­bei­ten oder nutzen.

Ein wesent­li­cher Grund­satz des BDSG ist das sog. “Ver­bots­prin­zip mit Erlaub­nis­vor­be­halt”.
Die­ses besagt, dass die Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten im Prin­zip eigent­lich ver­bo­ten ist. Diese ist jedoch erlaubt, wenn ent­we­der gesetz­li­che Ver­pflich­tun­gen vor­lie­gen, sie zur Durch­füh­rung eines Ver­trags­ver­hält­nis­sen erfor­der­lich sind oder wenn die betrof­fene Per­son aus­drück­lich (zumeist schrift­lich) ihre Zustim­mung (§13 Abs.2 ff).

Die dann zum Ein­satz kom­men­den Ver­fah­ren der Ver­ar­bei­tung sind vom inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten zu prü­fen, oder (wenn ein sol­cher nicht vor­han­den ist) bei der zustän­di­gen Auf­sichts­be­hörde anzei­ge­pflich­tig. Je nach Sen­si­ti­vi­tät der Daten hat eine Vor­ab­kon­trolle stattzufinden.

Datenschutz durch den Provider:

Jeder Provider in Deutschland hat sich an das BDSG zu halten.
Weiterhin bieten die meisten seriösen IT Dienstleister die Bereitstellung Ihrer Dienste über ein zertifiziertes Rechenzentrum nach Zertifikaten wie ISO 27001:2005 an. Diese Zertifikate gewährleisten höchste internationale Standards hinsichtlich Gebäudesicherheit, Brandschutz, Stromversorgung, Klimatisierung und Zuverlässigkeit der Prozesse.
Eine weitere, jedoch noch nicht so etablierte Möglichkeit, die Kundendaten zu schützen, besteht darin, für seine Dienstleistungen über das Internet verschlüsselte https–Verbindungen zu ermöglichen.
Weiterhin ist jedes Unternehmen, das mit personenbezogenen Daten arbeitet, nach dem BDSG verpflichtet, einen Datenschutzbeauftragten zu beschäftigen. Dieser kann als Mitarbeiter der Organisation oder als ein externer Datenschutzbeauftragter engagiert werden. Seine Aufgaben liegen darin zu prüfen, ob das BDSG eingehalten wird, sowie die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverabeitungsprogrammen.

Was können Sie selbst tun?

  1. Wichtigste Voraussetzung: Passwörter geheim halten
  2. Sichere Passwörter erstellen
  3. Passwörter regelmäßig ändern
  4. Aktuelle Antivirensoftware verwenden
  5. E-Mails verschlüsseln/signieren
  6. Verschlüsselungsprogramme wie PGP verwenden
  7. Regelmäßige Datensicherungen durchführen
  8. Bewusstes Surfen im Internet
  9. Bewusster Umgang mit Daten in sozialen Netzwerken

Wie erstelle ich ein sicheres Passwort?

Zum Erstellen eines sicheren Passworts gibt es ein paar übliche Methoden um es Angreifern erheblich zu erschweren ein Passwort zu knacken:

– Verwenden Sie keine echten Wörter, nicht einmal dann, wenn Sie etwa das „i“ durch eine „1“ oder das „E“ durch eine „3“ ersetzen
– Passwörter sollten mindestens aus acht Zeichen bestehen.
– Nicht verwenden sollte man Namen von Familienmitgliedern, Haustieren, Freunden, Lieblingsstars oder deren Geburtsdaten
– Ebenso ungeschickt sind Begriffe aus Wörterbüchern und gängigen Varianten und Wiederholungs- oder Tastaturmuster: also nicht „asdfgh“ (Tastenfolge auf der Tastatur), „1234abcd“ oder Ähnliches.
– Wenig Sinn hat auch das Anhängen einer Ziffer oder eines Sonderzeichens ans Ende eines im Übrigen unsicheren Kennwortes, also zum Beispiel „Schatzi4“.

Ein sicheres Passwort ist also: Mind. acht Zeichen lang, beinhaltet Umlaute, Sonderzeichen, Zahlen, sowie Groß- und Kleinschreibung. Dabei gilt es jedoch zu beachten, keine wirklichen Wörter zu verwenden.
Ein guter Tipp: Merken Sie sich einen Satz und setzen Sie das Passwort dann aus den ersten Buchstaben eines jeden Wortes zusammen.

Um Ihnen das Erstellen von sicheren Passwörter zu erleichtern gibt es verschiedene kostenlose Browserdienste wie z.B. https://www.passwort-generator.com, die Ihnen beim Erstellen helfen.
Natürlich ist es nicht einfach sich all die verschiedenen Passwörter zu merken, doch auch hierfür gibt es Programme wie „Password Safe“ oder „KeePass“, für die Sie sich nur ein einziges Passwort merken müssen.

Für cojama sind Datenschutz und Datensicherheit von Cloud-Diensten weit mehr als nur die Einhaltung rechtlicher Vorschriften.
Dazu gehören außerdem die Schulung und Sensibilisierung der Mitarbeiter, sowie die Auswahl unserer Partner und Lieferanten um ein hohes Niveau an Datensicherheit zu gewährleisten. Da uns die Sicherheit Ihrer Daten sehr wichtig ist, bieten für unsere Dienstleistungen, wie Hosted Exchange, Hosted SharePoint oder Hosted Terminalserver, sowie für unsere Homepage eine gesicherte https–Verbindung an.

Datenschutz bei BYOD und BYOC

BYOD & BYOC liegen im Trend

BYOD & BYOC liegen im Trend

Mit dem stets fortschreitenden digitalen Wandel eröffnen sich auch immer neue Möglichkeiten.
Der aktuelle Trend geht laut einer Studie der Beratungsgesellschaft Ernst & Young immer mehr in Richtung BYOD (BringYourOwnDevice) und auch BYOC (BringYourOwnCloud) und wird sich in den kommenden Jahren immer stärker etablieren.

Ob Notebook, Smartphone oder Tablet: Mit den stetig neu und weiterentwickelten Innovationen der IT Branche stellt sich auch für Unternehmen immer mehr das Thema BYOD in den Mittelpunkt.
Viele Mitarbeiter wünschen, mit ihren eigenen Endgeräten arbeiten zu können und auch temporäre Mitarbeiter oder Präsentatoren bringen oft ihre eigenen Geräte mit.
Diese müssen meist zumindest temporär ins Firmen Netzwerk aufgenommen werden, um alle relevanten Funktionen bereitstellen zu können.
Dies schafft jedoch natürlich auch Sicherheitslücken und stellt den Datenschutz vor große Herausforderungen.

BYOD hat sich etabliert

Dieses Prinzip wird schon seit einigen Jahren vor allem in Bildungseinrichtungen wie Schulen, Universitäten und anderen Institutionen mit ständig wechselnden Nutzern betrieben, um hohe Anschaffungskosten zu sparen.
Dabei gilt es, die privaten mobilen Endgeräte wie Laptops, Tablets oder Smartphones möglichst einfach und sicher in die Netzwerke zu integrieren.

Laut der Studie „Privacy Trends 2014: Privacy protection in the age of technology“ von Ernst & Young wird schon im Jahr 2018 auch ein Großteil der Erwerbstätigen ihre privaten mobilen Endgeräte zu Arbeitszwecken nutzen.
Wenn die Angestellten ihr Arbeitswerkzeug selbst bereitstellen, spart dies natürlich Anschaffungskosten für den Arbeitgeber.

Außerdem können sie so, wenn nötig, auch jederzeit von unterwegs oder im Homeoffice aus arbeiten. Dieses sogenannte Bring Your Own Device – Prinzip stellt Unternehmen allerdings beim Thema Datenschutz auch vor Herausforderungen. So darf bei der Kontrolle der eingesetzten Endgeräte die Privatsphäre der Nutzer nicht verletzt werden.

Lösungen hierfür können z.B. ein extra dafür eingerichtetes Gast-Netzwerk oder ein strikt in privat und beruflich aufgeteiltes Mobilgerät mit getrennten Arbeitsoberflächen sein. In jedem Fall sollte s der Arbeitgeber klare Richtlinien zur Thematik erstellen, um seinen Mitarbeitern die gewünschten Möglichkeiten zu bieten und trotzdem rechtlich abgesichert zu sein.

Auch das Thema BYOC wird Unternehmen langfristig beschäftigen

Mit Bring Your Own Cloud (BYOC) ist es möglich, dass Mitarbeiter in persönlich erstellten Clouds Dateien an ihre Kollegen freigeben, um gemeinsam an Projekten arbeiten zu können.
Auch hier kann es schnell zu Problemen mit dem Datenschutz kommen, da bisher nur ein Viertel der Unternehmen gegen die damit einhergehenden datenschutzrechtlichen Risiken gewappnet sind.
Doch durch diese Arbeitsformen ergeben sich auch tolle Möglichkeiten.
Anstatt Bring-Your-Own-Cloud-Konzepte grundsätzlich zu verbieten, sollten Richtlinien für einen sicheren Umgang mit BYOC entwickelt werden.

Wichtige Kriterien und Leistungen bei der Wahl des Cloud-Providers

Anforderungen an Cloud Computing-Anbieter steigen

Die Tatsache, dass viele Unternehmen nach den Abhör- und Datenschutzskandalen Cloud Computing-Lösungen kritischer gegenüberstehen, ist keine Neuigkeit. Interessenten fordern verständlicherweise eine höhere Transparenz in datenschutzrechtlichen und prozessspezifischen Aspekten. Laut der aktuellen KPMG-Studie „Cloud-Monitor 2014“ ist das Vertrauen der Unternehmen in ihre Dienstleister seit den Datenschutzskandalen gesunken. Diese Entwicklung können wir aus eigenen Beobachtungen nicht bestätigen. Keiner unserer Kunden löste aus datenschutzrechtlichen Gründen das Vertragsverhältnis auf oder äußerte Bedenken. Auch der Wert von 61 % erscheint uns, verglichen mit den IT-Dienstleistern und TK-Providern, als zu hoch.

Vertrauen in Cloud-Anbieter

Fakt ist jedoch, dass die Anforderungen an Cloud-Provider in den nächsten Jahren immer weiter steigen werden. Laut dem Cloud-Monitor 2014 sind aktuell für Unternehmen vor allem der Standortfaktor, die Integrationsfähigkeit und die rechtlichen Aspekte von enormer Bedeutung.

Wichtige Kriterien und Leistungen bei der Wahl des Cloud-Providers

Dass der in der Umfrage genannte angebliche Vertrauensverlust von uns nicht festgestellt wurde, kann dadurch begründet werden, dass cojama mit seiner 100 % Deutschland-Strategie alle für Unternehmen wichtigen Kriterien und Leistungen erfüllt:

  • Der Sitz der cojama Infosystems GmbH ist in Deutschland.
  • Das Rechenzentrum befindet sich in Frankfurt am Main und damit ausschließlich in Deutschland.
  • Die IT-Infrastruktur im Rechenzentrum ist im Besitz von cojama und wird von cojama selbst betrieben.
  • Alle Datenschutz-Maßnahmen unterliegen zu 100 % den deutschen Datenschutzgesetzen. Alle Datenschutzunterlagen sind jederzeit verfügbar. Der Vertrag für Auftragsdatenverarbeitung (ADV) gehört bei cojama zum Tagesgeschäft.
  • Die Cloud-Lösungen wie Hosted Exchange 2013, Hosted SharePoint, Hosted Terminalserver oder Dedizierter Server können an die individuellen Bedürfnisse der Unternehmen oder Organisationen angepasst werden.
  • cojama gibt keine auf ihren Systemen gespeicherten Kundendaten ohne richterlichen Beschluss an Dritte weiter.

Die Entwicklung der steigenden Anforderungen betrachten wir positiv und sehen die NSA-Vorfälle als Chance, dass ein besserer Datenschutz-Standard deutschlandweit etabliert wird. Als Cloud Computing-Anbieter sind wir sehr gespannt, wie sich das deutsche Datenschutzniveau und die Anforderungen der Unternehmen in den nächsten Jahren national entwickeln werden. Um auch unseren Beitrag für diese Datenschutz-Entwicklung zu leisten und unseren Interessenten etwaige Bedenken zu nehmen, arbeiten wir eng mit einem externen Datenschutzbeauftragten zusammen und engagieren uns innerhalb unserer GDD-Mitgliedschaft.

cojama-Leitfaden zum sicheren Umgang mit Zugangsdaten

Wussten Sie schon,… wie man sich durch sicheren Umgang mit Zugangsdaten vor unberechtigten Zugriffen schützen kann?

Wie die Tagesschau bereits am Mittwoch, den 22.01.2014, berichtete, war dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit Dezember 2013 der Diebstahl von Online-Zugangsdaten bekannt. Das BSI entdeckte laut eigener Auskunft 16 Millionen gestohlene digitale Identitäten und bietet einen Sicherheitstest auf der eigenen Webseite an. Mit diesem BSI-Sicherheitstest kann festgestellt werden, ob die eigene E-Mail-Adresse vom Datenklau betroffen ist.

Cloud-Dienste sind meist weltweit über das Internet erreichbar. Dies macht sie so attraktiv und flexibel nutzbar. Allerdings erfordert diese Tatsache auch ein gewisses Sicherheitsbewusstsein bei der Anwendung. Der Schutz der Informationen, die z.B. in Hosted Exchange-Postfächern, SharePoint-Arbeitsbereichen oder anderen Systemen gespeichert sind, hängt in erster Linie vom richtigen Umgang mit Ihren Zugangsdaten ab. Durch den richtigen Umgang können Sie sich vor unberechtigten Zugriffen schützen.

cojama-Leitfaden zum sicheren Umgang mit Zugangsdaten

Die folgenden Regeln sollen Ihnen helfen, Fehler zu vermeiden und das Ihrige dazu beizutragen, zu jedem Zeitpunkt ein hohes Sicherheitsniveau zu halten:

 

Umgang mit Zugangsdaten

Der Benutzername (E-Mail-Adresse) ist die Identität des Anwenders. Er ist also fest mit der Person des Anwenders verknüpft. Das bedeutet, dass ein Benutzername auch nur von einem Anwender verwendet werden sollte. Die Weitergabe des Kennwortes an andere Personen sollte in jedem Fall vermieden werden.

Darüber hinaus empfehlen wir, spätestens nach sechs Monaten das Kennwort zu ändern. Ein neues Kennwort sollte sich ausreichend stark vom alten unterscheiden (z.B. nicht nur durch Erhöhung einer Ziffer geändert werden).

Des Weiteren darf das persönliche Kennwort in keinem Falle auf Anfragen von außen hin herausgegeben werden. Sollten Sie per E-Mail dazu aufgefordert werden, beispielsweise Ihr Hosted Exchange-Kennwort herauszugeben, so tun Sie dies bitte in keinem Fall. Es handelt sich hier um einen sog. Phishing-Angriff.

 

Gestaltung von Kennwörtern

Die Länge und Komplexität des verwendeten Kennworts entscheidet darüber, wie lang es dauert, dieses durch automatisiertes „Ausprobieren“ von Zeichenfolgen zu knacken. Bei der Einhaltung der folgenden Empfehlung kann es mit den aktuellen technischen Möglichkeiten unter Realbedingungen als nahezu unmöglich angesehen werden, das Kennwort in einer angemessenen Zeit zu ermitteln.

Dabei wurde noch nicht berücksichtig, dass sich der Benutzer nach mehrmaliger Falscheingabe des Passworts automatisch für eine gewisse Zeit sperrt.

  • Verwenden Sie eine Länge von zehn, besser mehr Zeichen
  • Kombinieren Sie Groß- / Kleinbuchstaben, Ziffern und Sonderzeichen
  • Vermeiden Sie triviale Zeichenfolgen (z.B. Test123)

 

Mobile Endgeräte

Da auf Smartphones das Kennwort für den Abruf des bspw. Exchange-Postfachs gespeichert wird, sollte nach einem Verlust des Gerätes das Postfach-Kennwort zeitnah geändert werden. Nutzen Sie Apps von anderen Anbietern, sollten Sie gleichermaßen vorgehen.

ActiveSync, der Kommunikationsstandard für die Anbindung mobiler Endgeräte an Exchange, bietet zudem die Möglichkeit, das Smartphone über das Mobilfunknetz zu löschen. Diese Funktion wird von vielen Handheld-Betriebssystemen unterstützt und kann über Outlook Web App (OWA) ausgeführt werden.

 

Bereitstellung von Lösungen für Anwendergruppen

Beim Rollout von zentral gehosteten Lösungen für Anwendergruppen ist vorab zu planen, wie die Benutzer ihre neuen Zugangsdaten erhalten sollen. Im Hinblick auf die Sicherheit sollte folgendes beachtet werden:

Nachdem Daten in neu angelegte Postfächer oder SharePoint-Seiten migriert wurden, sollten weder allgemeine noch trivialen Kennworte mehr verwendet werden.

Sofern nicht von Anfang an individuelle komplexe Passwörter konfiguriert wurden, sollten die Anwender vor dem ersten Einfügen von Daten ihr Kennwort ändern.

Cloud Computing Nutzungsmodelle

Nutzungsmodelle beim Cloud Computing

Vielen unter den Lesern wird es ähnlich ergehen: Man blättert durch Artikel von Fachzeitschriften, Blog-Beiträgen oder aktuellen Cloud Computing-Studien und stößt auf die Begriffe Private Cloud, Public Cloud oder sogar Hybrid Cloud. Doch was versteht man unter diesen Begriffen und wie sind sie voneinander abzugrenzen? Wir möchten Ihnen als Leser die einzelnen Bezugsmodelle hier nun kurz erläutern:

Private Cloud:

Betreiben Unternehmen, Einrichtungen oder Organisationen eigene Rechenzentren bzw. eine physische Infrastruktur oder mieten eigens für sie eingerichtete Server von dritten Anbietern, spricht man von Private Cloud. Bei Private Cloud nutzt ausschließlich das Unternehmen oder die Organisation die eigens eingerichtete Software oder bereitgestellten Ressourcen und kontrolliert diese in der Regel auch. Dritte nach §3 Abs. 8 Satz 2 BDSG (Bundesdatenschutzgesetz) haben somit keinen Zugriff auf die Cloud-Infrastruktur.

Public Cloud:

Nutzen mehrere Unternehmen, Einrichtungen oder Organisationen gemeinsam die IT-Infrastruktur eines dritten Anbieters, handelt es sich um Public Cloud. Die Anwendungen oder zugeteilten Ressourcen sind unter den Nutzern getrennt und somit dem spezifischen User direkt zugeordnet. Als Praxisbeispiel hierfür kann das Produktsortiment von cojama genannt werden. E-Mail-Lösungen wie Hosted Exchange 2013 oder Collaborations-Software wie Hosted SharePoint werden für jeden einzelnen User durch unsere qualifizierten cojama Mitarbeiter eingerichtet. Jedem Kunden werden somit individuelle Ressourcen zugeteilt, welche im zertifizierten Hochverfügbarkeits-Rechenzentrum in Frankfurt am Main zentral betrieben werden.

Bei einer Public Cloud lohnt sich ein gründlicher Vergleich zwischen den Cloud-Providern hinsichtlich des Datenschutzmanagements. Die Möglichkeit, einen Vertrag für eine Auftragsdatenverarbeitung (ADV) abzuschließen, muss gegeben sein. Darüber hinaus sollte der Cloud-Computing-Anbieter nicht nur auf einen externen Datenschutzbeauftragten verweisen können, sondern auch in der Lage sein, dem Kunden alle erforderlichen Unterlagen zum Thema Datenschutz und Datensicherheit aushändigen zu können. Dazu zählen unter anderem die technischen und organisatorischen Maßnahmen (TOMs) und das Öffentliche Verfahrensverzeichnis.

Cloud Computing Nutzungsmodelle

Hybrid Cloud:

Bei Hybrid Clouds handelt es sich um eine Mischform aus der Private Cloud und der Public Cloud. Dabei wird oft der größere Teil der Infrastruktur und der Anwendungen in der Private Cloud und der geringere Teil in öffentliche Clouds ausgelagert.

Zwei wichtige Gründe sprechen für die Hybrid Clouds:

1) Wenn die interne, sprich private Cloud ausgelastet ist und kurzfristig kein Ausbau möglich ist, greifen Unternehmen meist auf öffentliche Clouds, um Lastspitzen zu kompensieren. Mit einer Public Cloud lassen sich also die begrenzten Kapazitäten einer Private Cloud mühelos und unkompliziert erweitern.

2) Der zweite Grund bezieht sich auf die Nutzung von sensitiven Daten.

Schutzbedürftige Daten, insbesondere personenbezogene Daten Dritter oder Betriebs- und Geschäftsgeheimnisse wollen Unternehmen innerhalb der Private Cloud verwalten. Weniger sensitive Daten werden in die Public Clouds ausgelagert.¹

Unternehmen und Organisationen haben oft noch Bedenken hinsichtlich der Speicherung sensibler Daten in der Public Cloud. cojamas Produkte unterliegen beispielsweise hohen Datenschutz- und Datensicherheitsrichtlinien, wodurch wir bereits einigen Unternehmen und Organisationen etwaige Bedenken nehmen konnten. cojama verschafft allen Kunden durch die Bereitstellung von Datenschutz- und Datensicherheitsdokumenten eine Transparenz über interne Prozesse. Kunden können darüber hinaus auf Wunsch einen Vertrag zur Auftragsdatenverarbeitung mit uns abschließen. Unsere eigenen Beobachtungen und Erfahrungen zeigen: Wenn ein zuverlässiges und transparentes Datenschutzmanagement betrieben wird, dann sind Unternehmen auch eher bereit, z.T. auch sensitive Daten in die Public Cloud von cojama auszulagern.

(¹Vgl. Dr. Mark Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 70 f., Institut für Wirtschaftsrecht, Band 14, 2012, Kassel)