Datensicherheit in remoten Entwicklungsteams
Datensicherheit ist eines der wichtigsten Sorgenkinder von Geschäftsinhabern, die mit remoten Entwicklern arbeiten. Trotzdem nehmen viele Mitarbeiter Sicherheitsmaßnahmen als Bürokratie oder gar als Macke wahr, weil sie keinen Sinn darin sehen, sich übervorsichtig gegenüber einem Fall zu verhalten, der noch nie eingetreten ist.
Um ein akzeptables Maß an Datenschutz sicherzustellen, sollten Sie ein paar Ratschläge befolgen. Diese Informationen sind besonders nützlich für Unternehmen, die mit Teams zusammenarbeiten, die sich auf verschiedene Standorte verteilen. Nehmen Sie Datenschutz nie auf die leichte Schulter – Sie wissen nicht, wann Ihre sensiblen Daten einer echten Bedrohung ausgesetzt sein könnten.
Generell gibt es zwei Aspekte der Datensicherheit, die zu beachten sind: vorbeugende Maßnahmen, die die Möglichkeit von Datenschäden minimieren, und reaktive Maßnahmen, die Protokolle für konkrete Sicherheitsvorfälle festlegen.
Vorbeugende Maßnahmen
Informationssicherheit beginnt mit der physischen Sicherheit von Büro und Netzwerk.
Alle Standorte, an denen sensible Kundendaten verarbeitet werden, sollten ein Minimum an physischer IT-Sicherheit beziehungsweise Objektschutz aufweisen. Hierzu zählen beispielsweise Zugangskontrollsysteme zum Schutz vor Fremdzugriff und ein gesichertes Netzwerk. Wenn Sie also mit einem neuen Anbieter zusammenarbeiten, vergessen Sie nicht, vorab einige Fragen über Netzwerksicherheit zu stellen:
- Wie ist das Netzwerk aufgebaut?
- Welche WiFi-Netzwerke gibt es?
- Ist es möglich, ein VLAN (ein lokales Netzwerk) für ein Team zu erstellen, sodass andere Teams keinen direkten Zugriff darauf haben?
- Haben Sie einen Gastzugang und wie wird er aktiviert?
- Speichern Sie irgendwelche Daten?
- Speichern Sie alle Daten in Ihrem Serverraum oder in einer Cloud?
Alle diese Fragen helfen Ihnen zu erkennen, wie ernst das Unternehmen Sicherheit nimmt. Keine Panik, wenn Sie ein Anfänger in Sachen Netzwerksicherheit sind. Ein seriöser Dienstleister muss bereit sein, entsprechende Fragen zu beantworten. Wenn Ihnen jemand sagt, dass solche Informationen vertraulich sind, oder Ihnen aus anderen Gründen keine Antworten geben will, ist dies ein starkes Zeichen dafür, eine mögliche Zusammenarbeit zu überdenken.
Viele Unternehmen verwenden einen "Eine-Infrastruktur-Ansatz" und lassen alle ihre Entwicklungsteams in einer Infrastruktur arbeiten. In einem solchen Fall behalten Sie 100 Prozent Kontrolle über alle Prozesse und Daten und sind überhaupt nicht von Ihrem Technologiepartner abhängig, auch wenn Sie ihm vertrauen.
Der administrative Teil soll Prozesse, Verfahren und Richtlinien umfassen, die die Informationssicherheit sicherstellen. Das Unternehmen muss über ein gut organisiertes Sicherheitssystem verfügen, von Zugangsregelungen bis zu den Verhaltensregeln für E-Mail-Versand, Arbeitsstationen, Software-Installationen und Upgrades.
Gut definierter Incident-Management-Plan (IMP)
Ein Incident-Management-Plan definiert die Abfolge von Operationen im Falle außergewöhnlicher Situationen. Zum Beispiel wenn Daten gestohlen wurden, eine Datenschutzverletzung eingetreten ist, es einen Datenverlust gegeben hat oder ein Computervirus eine Infektion verursacht hat.
Darüber hinaus sollte jedes Unternehmen einen Kontinuitätsplan für seine Operationen in anderen Notfallsituationen haben. Dazu gehören Überschwemmungen, Feuer, Strom- oder Internetausfall oder andere Vorfälle, die den normalen Betrieb beeinträchtigen können.
In jedem Fall sollten kritische Informationen geschützt sein. Die Verfahren um Datensicherheit zu entwickeln und schriftlich festzuhalten machen nur 30 Prozent der Arbeit aus, während die Mammutaufgabe darin besteht, alle Mitarbeiter über die Verfahrensregeln und deren Einhaltung zu unterrichten.
Dieses Training kann je nach Position der Mitarbeiter variieren. Die meisten Mitarbeiter in der Verwaltung zum Beispiel müssen nicht wissen, wie Entwickler im Produktionsprozess mit Kundendaten umgehen sollen. Daher sind Sicherheitstrainings auf allen Ebenen auch ein wichtiger Bestandteil eines effektiven Notfallmanagements. Die Einweisung neuer Mitarbeiter ist ebenfalls von zentraler Bedeutung für die Sicherheit eines Unternehmens. Sobald eine neue Person ihre Arbeit im Unternehmen beginnt, muss sie bereits am ersten Tag mit allen wichtigen Regeln vertraut gemacht werden.
Um zu erfahren, wie ein IT-Dienstleister mit Notfallsituationen umgeht, können Sie beispielsweise solche Fragen stellen:
- Was tun Sie, wenn eines Ihrer Geräte mit einem Virus infiziert wurde oder wenn ein Computer durch einen Virus verschlüsselt wurde?
- Haben Sie Backups und wie funktioniert bei Ihnen die Wiederherstellung?
Das Prinzip der Datenminimierung einhalten
Ich empfehle, einem remoten Team nicht mehr Informationen zur Verfügung zu stellen, als es zu einem bestimmten Zeitpunkt benötigt. Wenn ein Team beispielsweise an einer Entwicklung eines bestimmten Produktes arbeitet, ist es nicht erforderlich, Zugriff auf das Repository eines anderen Produkts zu gewähren, das sich als nächstes in der Warteschlange befindet.
Unter der Berücksichtigung der DSGVO sollte auf Live-Daten aus der Produktion verzichtet werden, wenn sie sich durch Dummy-Daten ersetzen lassen. Dies betrifft insbesondere Projekte, in denen die Verarbeitung personenbezogener Daten und remote Entwicklung stattfinden.
Wenn es nicht möglich ist, Datenaustausch zu vermeiden, ist es empfehlenswert, einen Vertrag zur Auftragsdatenverarbeitung zwischen den verarbeitenden Parteien zu unterzeichnen.
Richtlinien für die Kennwortänderung
Das Entschlüsseln von Passwörtern ist von zentralem Interesse für Cyberkriminelle. Von Passwörtern wie dem Namen einer Stadt, eines Haustieres oder einer Lieblingssache wird abgeraten. Ein sicheres Passwort besteht aus einer Kombination aus Groß- und Kleinbuchstaben, mindestens einem Symbol und Zahlen. Es sollte zudem mehr als zehn Zeichen lang sein.
Ein definiertes Verfahren für eine periodische Kennwortänderung, das sowohl die Komplexität eines Kennworts als auch die Häufigkeit der Änderung anspricht, verringert das Risiko, Opfer einer erfolgreichen Passwort-Entschlüsselung zu werden.
Minimierung gedruckter Informationen
Drucker sind eine Quelle für den Verlust vertraulicher Daten aus Ihren Büros. Daher sollte deren Verwendung sorgfältig überwacht werden. Gewähren Sie Mitarbeitern, die einen Drucker nicht zwingend verwenden müssen, keinen Zugriff auf einen und vermeiden Sie das Drucken von Dokumenten/Materialien so weit wie möglich. Neben Relevanz für Informationssicherheit leisten Sie so auch einen kleinen Beitrag zum Umweltschutz.
Definieren Sie eine Bring-your-own-device-Richtlinie (BYOD)
Heutzutage finden sich bei jedem auch am Arbeitsplatz persönliche Geräte, die leistungsfähiger als eine Workstation sein können, angefangen von Smartphones bis hin zu Tablets oder Laptops. Aus dieser Perspektive sollten Sie sich überlegen: Erlauben Sie deren Verwendung für arbeitsbedingte Zwecke oder beschränken Sie die Mitarbeiter auf Firmengeräte?
Wenn Sie die Verwendung persönlicher Geräte für arbeitsbedingte Zwecke zulassen, sollten Sie auch eine Bring-your-own-device-Richtlinie entwickeln, die deren Verwendung ohne schädliche Auswirkungen auf Daten regelt.
Es gibt spezielle Software, die den Zugriff auf Daten von persönlichen Geräten beschränkt. Falls Entwickler mit vertraulichen Daten (wie persönlichen Informationen) arbeiten, könnte Ihre Richtlinie beispielsweise den Zugang zu USB-Anschlüssen auf persönliche Geräte regeln. Dieser kann mit bestimmten Programmen (Mobile-Device-Management-Software) deaktiviert werden, um sicherzustellen, dass Entwickler während der Arbeit mit privaten Daten keine Speicherkarten verwenden können.
Reaktive Sicherheitsmaßnahmen
Dazu gehören Vorgänge, die vom Unternehmen durchgeführt werden, nachdem bereits eine Notfallsituation wie ein Datenleck oder andere Schäden aufgetreten sind, die den üblichen Arbeitsablauf behindern. In der Praxis werden vorbeugende Maßnahmen wie Incident-Management und Business-Continuity-Pläne als reaktive Sicherheitsmaßnahmen angewendet.
Somit sind die präventiven Maßnahmen für Informationssicherheit eng mit den reaktiven verknüpft. Ich würde Unternehmen, die Wert auf Sicherheit legen, empfehlen, ihre Anstrengungen auf die Entwicklung und Unterstützung von Präventionsmaßnahmen zu fokussieren. Auf diese Weise stellen Sie sicher, dass reaktive Maßnahmen nur auf Papier bestehen.
Fazit
Der Aufbau eines 100 prozentigen Sicherheitssystems in Ihrem Unternehmen ist ein erstrebenswertes Ziel, das bisher noch keinem Unternehmen vollständig gelungen ist.
Schlussendlich ist ein gesundes Gleichgewicht zwischen Ausgaben für Sicherheit und den Kosten ihrer Abwesenheit wichtig. Sie können natürlich viel Geld in die Sicherheit von Statistiken über Mitarbeiterfluktuation oder Umsatz investieren. Sollten beispielsweise lediglich Konkurrenten solche Daten erhalten, entsteht ihnen ein vergleichsweise geringer Schaden und die normale Arbeit des gesamten Unternehmens wird auch nicht beeinträchtigt. Wenn Sie hingegen mit persönlichen Daten, Informationen aus dem öffentlichen Sektor, Gesundheitsdaten, geistigem Eigentum oder Finanzinformationen arbeiten, sollten Sie größtmögliche Schutzmaßnahmen anwenden.
Bei der Entwicklung einer unkomplizierten App sind keine astronomisch teuren Sicherheitsmaßnahmen erforderlich. Es kommt also darauf an, zu erkennen, wie kritisch welche Informationen sind und welche Datenschutz-Maßnahmen in Ihrer jeweiligen Geschäftssituation angemessen sind.