Sicherheit in der Kanzlei
Sicherheit in der Kanzlei und im Homeoffice mit sicherer Emailkommunikation
Anlässlich des bald 5. Geburtstags der DSGVO hat am 18.04.2023 eine Onlineveranstaltung zum Thema der sicheren Kommunikation in der Kanzlei stattgefunden.
Was sind die Gefahren und wie sieht eine sichere Kanzlei aus?
Der sichere Umgang mit personenbezogenen Daten und deren Schutz ist ein immer wichtiger werdendes und leider zu oft vernachlässigtes Thema. Es gehen viele Unternehmen und Kanzleien davon aus, dass durch die Ernennung eines Datenschutzbeauftragten das Thema sich erledigt hat. Dies ist nicht der Fall. Die großen Gefahren liegen im heutigen digitalen Zeitalten vor allem in der Netzwerksicherheit. Auch durch den irrtümlichen Glauben „Wer würde uns hacken wollen“ werden die Sicherheitsmaßnahmen oft vernachlässigt. Moderne Cyberangriffe richtet sich häufig nicht auf bestimmte Ziele, sondern nach den am leichtesten zu hackenden Systemen. Dabei spielt die Wirtschaftlichkeit des Angriffs für den Angreifer häufig keine Rolle. Entsprechend gehört zu einer sicheren Kanzleiumgebung unter anderem die Sicherung durch Firewalls, aktuellen Sicherheitsupdates und Patches sowie die regelmäßige Aktualisierung der Serverbetriebssysteme.
Auch der physische Zugang gehört zu diesen Sicherheitsmaßnahmen. Ein Server in der Abstellkammer, der Küche oder sonstigen für jeden sich in der Kanzlei befindlichen Ort, ist ein Sicherheitsrisiko. Hier ist die einfachste und sicherste Variante ein abschließbarer Serverschrank. Dies gilt auch für mobile Datenträger wie Wechselfestplatten für die Datensicherung, USB-Sticks und auch für analoge Datenträger wie die Papierakten.
Sichere Kommunikation im Homeoffice
Während und nach der Coronazeit haben sich viele Kanzleien mehr Gedanken um die Digitalisierung gemacht und haben entsprechende Arbeitsprozesse verbessert und digitalisiert. Auch das Homeoffice ist dadurch ein großes Thema geworden. Hier ist die sichere Kommunikation zur Kanzlei besonders wichtig. Das große Problem, das sich bei diesem Thema stellt, ist der sichere Zugang zu den Kanzleidaten aus dem Homeoffice. Die hierbei unsicherste Möglichkeit ist es, die Papierakten mit nach Hause zu nehmen.
Die beste Lösung hierfür ist der Zugriff auf die Kanzlei via VPN. Allerdings muss hier auch in Betracht gezogen werden, wie die Endgeräte in den Homeofficestandorten sonst noch genutzt werden. Außerdem ist hier eine sichere Netzwerkumgebung genauso wichtig, wie in der Kanzlei. Am eigenen Laptop zuhause in einem ungestützten WLAN-Netz zu arbeiten, stellt hier auch ein großes Sicherheitsrisiko dar. Hierfür sollten allgemeine IT-Richtlinien für Mitarbeiter eingeführt werden.
Wie funktioniert eine sichere E-Mailkommunikation?
Wichtig zu beachten ist, dass selbst eine Einwilligung nicht ausreichend ist, personenbezogene Daten ohne ausreichenden Schutz zu verarbeiten. Daher scheidet beispielsweise die Nutzung von T-Online-Emails oder Gmail-Konten im Rechtsverkehr aus. Es müssen sichere Kommunikationswege genutzt werden, die z. B. durch SSL-Zertifikate verschlüsselt sind. Bei der Verschlüsselung von E-Mails gibt es Standards zur Verschlüsselung, wie beispielsweise TLS oder S/MIME Zertifikate.
In diesem Zusammenhang gab es Nachfragen bzgl. der Kommunikation über Messenger Dienste wie WhatsApp. Daraufhin hat der DSGVO Experte, RA Juri Nickel, welcher den zweiten Teil des Vortrags hielt und ebenfalls für Rückfragen im Anschluss bereitstand, die Auskunft gegeben, dass WhatsApp für die Kommunikation im geschäftlichen Bereich nicht geeignet ist und einen Verstoß gegen die DSGVO darstellen kann. Allerdings gibt es Alternativen, wie andere kleinere Messenger Dienste, welche von sich behaupten, DSGVO konforme Kommunikation anzubieten.
Wie lässt sich der entsprechende Schutzbedarf in der Kanzlei feststellen?
Um nachvollziehen zu können, an welcher Stelle entsprechende Sicherheitsvorkehrungen eingeführt oder verbessert werden müssen, hilft eine sogenannte Schutzbedarfsanalyse. Diese muss an allen Stellen in der Kanzlei durchgeführt werden, bei denen personenbezogene Daten verarbeitet werden. An dieser Stelle ist dann zu überprüfen, wie hoch die Eintrittswahrscheinlichkeit diverser Szenarien ist und wie groß der daraus resultierende Schaden ist. Diese Schutzbedarfsanalysen lassen sich am besten mit Hilfe eines entsprechenden Experten durchführen, da es dazu durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) entsprechende Richtlinien gibt.
Durch diese Analyse und Feststellung lassen sich dann entsprechende Maßnahmen ableiten, die umzusetzen sind. Dies resultiert dann in einer wiederkehrenden Überprüfung der Ist- und Sollsituation, welche sich durch die Fortschreitung der Digitalisierung stetig verändern