FONDS professionell Österreich, Ausgabe 4/2019

Makler zum Kunden ist mir so eine Lösung noch nicht untergekommen. Hier wird meist noch auf E-Mail gesetzt. E-Mails werden aber meist unverschlüsselt versendet und liegen dann unter Umständen auch noch lang auf Servern außerhalb der Geltungsbereichs der DSGVO, was aus rechtlicher und technischer Sicht ein Problem ist.“ Im ersten Schritt emp- fiehlt der IT-Spezialist dazu, sensible Daten grundsätzlich nur verschlüsselt zu übertragen. Wer dies per E-Mail mache, könne zu versen- dende PDFs beziehungsweise komprimierte Dateien (ZIP-Files) verschlüsseln. Der Schlüs- sel müsse allerdings dementsprechend lang sein und unbedingt auf einem anderen Weg übermittelt werden. Wer Cloud Services zur Datenspeicherung beziehungsweise zur Über- tragung nutze, sollte grundsätzlich europäi- sche Dienste verwenden und die Daten nur für begrenzte Zeit in der Cloud speichern. Bei der Frage, welche Cloud-Dienstleister geeig- net seien, helfe die Wirtschaftskammer. Mit dem von der Kammer ins Leben gerufenen Gütesiegel „Austrian Cloud“ werden Anbieter ausgezeichnet, die Daten nur im Inland spei- chern. Bisher finden sich bereits 28 Unterneh- men mit einem entsprechenden Gütesiegel in der Firmensuche der Wirtschaftskammer. Einen Lösungsansatz liefert auch Millner selbst mit seinem Dienst s-transfer.at. Das Tool ermögliche eine DSGVO-konforme und sichere Datenübertragung. Die Daten werden dabei auf österreichischen Servern zwischen- gespeichert und nach spätestens sieben Tagen gelöscht. So wird ein „Datenfriedhof“ vermie- den, der Angriffspunkt einer Cyberattacke werden könnte. Außerdem prüft s-transfer alle transferierten Daten auf Schadprogramme wie Viren, Würmer und Trojaner. Gedanken muss man sich auch über die dauerhaft sichere Aufbewahrung von Kunden- daten machen, auch die Frage, wer Zugriff auf die Daten habe, sei zu klären „Nicht jeder Mitarbeiter benötigt immer Zugriff auf alle relevanten Kundendaten“, meint Millner. Der Datenschutzexperte betont, dass es beim Thema IT-Sicherheit keineswegs nur um die Einhaltung von Formalismen gehe. Im Ernstfall könne es zu einer massiven Beein- trächtigung der Aufgabenerfüllung kommen – „etwa wenn Ransomware alle Daten ver- schlüsselt, man erpresst wird und keinen Zugriff mehr auf Kundendaten hat“. Nach Einschätzung von Dolzeal wird die Bedrohung dennoch vielfach unterschätzt: „Das ist auch kein Wunder, schließlich haben viele ganz andere Sorgen und sind wegen der vielen anderen ebenso umfangreichen regu- latorischen Vorgaben überlastet. Es geht der- zeit daher in erster Linie darum, die Berater für dieses Thema zu sensibilisieren. Vielen wird die Notwendigkeit, in diesem Bereich tätig zu werden, leider erst bewusst, wenn etwas passiert. Dabei kann man schon mit relativ einfachen Maßnahmen gegensteuern.“ Zwar weisen Dolezal wie auch Millner darauf hin, dass es keinen 100-prozentigen Schutz gegen Cyberkriminalität gebe. Man sollte, so Millner, allerdings zumindest die offensicht- lichen „offenen Scheunentore“ schließen. Die wichtigsten zehn Punkte, um die Eintritts- wahrscheinlichkeit eines Vorfalls zu mini- mieren, hat Millner daher zusammengefasst (siehe Kasten). GEORG PANKL | FP DI( FH) Wolfgang Millner, Rentea: „Sensible Daten sollten grundsätzlich nur verschlüsselt übertragen werden.“ Andreas Dolezal: „Das Thema IT-Sicherheit wird leider immer noch auf die leichte Schulter genommen.“ 10 Tipps vom Profi zum Thema IT-Sicherheit 1. Meine Systeme (Laptop und Handy) mit Virenscan- nern ausstatten. Die meisten E-Mail-Provider bieten zu geringen Mehrkosten einen Virenscanner für E-Mails an. 2. Die Browser-Sicherheitseinstellungen streng setzen (auch wenn es oft nervt, es schützt ein wenig vor ungewollten Klicks). 3. Sichere Passwörter und Passwortmanager (Browser-Plug-ins oder auch Keepass) verwenden und diese mit einem sicheren Masterpasswort ver- schlüsseln. Das Masterpasswort sicher außerhalb des Systems aufbewahren. 4. Sensible Daten grundsätzlich nur verschlüsselt über- tragen. E-Mail ist kein sicheres Übertragungsmedium. Im Prinzip kann ich auch PDFs oder ZIPs verschlüs- seln und dann per E-Mail schicken. Der Schlüssel soll- te sehr lang sein und unbedingt auf einem anderen Weg übertragen werden. 5. Sensible Daten nur kurz auf Systemen die vom Internet aus verfügbar sind ( Cloud-Systeme, aber auch E-Mailserver ) belassen. 6. Wo immer möglich unbedingt eine 2-Faktor-Authen- tifizierung verwenden. 7. Nicht auf alles klicken, was in der Mailbox landet: Falls ein E-Mail täuschend echt aussieht, trotzdem die Absendeadresse prüfen. 8. Den Bildschirm immer sperren, wenn ich nicht davor sitze. Gerade in Gemeinschaftsbüros wird mit dieser einfachen Sache oft fahrlässig umgegangen. 9. Ein regelmäßiges Back-up auf einem separaten, sicher verwahrten Speichermedium erstellen. 10. Einen Notfallplan haben, falls etwas passiert (Mel- depflichten aus Datenschutzgesetzgebung, Informa- tion betroffener Kunden, wer kann helfen, die Syste- me wieder instandzusetzen, usw.). Quelle: Rentea » Wir sind immer noch kilometerweit davon entfernt, dass eine breite Masse die Pflichten der DSGVO erfüllt. « Andreas Dolezal, Unternehmensberater   www.fondsprofessionell.at | 4/2019 249