DEKRA: kostenlose Selbst-Bewertung der IT-Sicherheit

Die Expertenorganisation DEKRA befasst sich mit Datenschutz in Corona-Zeiten. Cyberangriffe und Phishing haben wegen Corona stark zugenommen. DEKRA bietet den Unternehmen eine kostenlose Selbst-Bewertung der IT-Sicherheit und des Datenschutzes mittels eines Fragebogens an.

DEKRA: Informationen zu Datenschutz und IT-Sicherheit in Corona-Zeiten

DEKRA (Deutscher Kraftfahrzeug-Überwachungs-Verein e.V.) hat sich seit dessen Gründung 1925 zu einer umfassenden Expertenorganisation entwickelt. Im Jahr 2019 erzielte die DEKRA mit 44.000 Mitarbeitern in rund 60 Ländern einen Gesamtumsatz von mehr als 3,4 Milliarden Euro, gut 220 Millionen durch Beratung. Aktuell werden verschiedene Informationen zu Datenschutz und IT-Sicherheit in Corona Zeiten angeboten sowie eine kostenlose Selbsteinschätzung.

Zunächst muss man wie üblich bestätigen, dass man mit der Datenschutzregelung einverstanden ist. DEKRA legt unter anderem folgendes fest:

  • DEKRA erfasst und speichert die einem Computer zugewiesene IP-Adresse, um die abgerufenen Inhalte der Website an den Computer der Kunden zu übermitteln. Mit Google Analytics lassen sich Daten, Sitzungen und Interaktionen über mehrere Geräte hinweg einer pseudonymen User-ID zuordnen und die Aktivitäten eines Nutzers geräteübergreifend analysieren.
  • DEKRA verspricht, Daten weder an Dritte zu verkaufen, noch anderweitig zu vermarkten.
  • Die Kunden können die Einwilligung zur Datennutzung jederzeit mit Wirkung für die Zukunft widerrufen.

Fragebogen IT-Sicherheit von DEKRA: Selbsteinschätzung nach fünf Kriterien

Anhand des zur Verfügung gestellten Fragebogens kann man dann die Einschätzung selbst vornehmen: Von „Das haben wir noch nicht berücksichtigt“ bis „Implementierung ist umgesetzt“, wird dokumentiert und gemessen (kontinuierliche Optimierung). Wenn man die ganzen Seiten mit den Antworten speichert, ergibt sich ein Überblick über die Situation im Unternehmen. In größeren Unternehmen ist zu empfehlen, das Verfahren für einzelne Abteilungen oder Gruppen von Mitarbeitenden durchzuführen und diese mit einzubeziehen. Zum Beispiel sind folgende Fragen zu beantworten:

  • Haben Sie die geänderten Arbeitsabläufe und IT-Prozesse mit einem Datenschutzbeauftragten abgestimmt?
  • Haben Sie sich informiert inwieweit eine Erhebung über Aufenthalte von Mitarbeitern in Risikogebieten datenschutzkonform durchgeführt werden kann?
  • Sind Löschfristen festgelegt und integriert das Löschkonzept die im Zuge der Covid-19 erhobenen personenbezogen Daten?

Besonders wichtige Fragen in Bezug auf Datenschutz im Heimbüro sind:

  • Haben Sie Ihre Mitarbeiter informiert, für welche Zwecke geschäftliche Arbeitsgeräte im Homeoffice genutzt werden dürfen und dass die Familie keinen Zugriff darauf haben sollte?
  • Haben Sie Ihre Mitarbeiter informiert, auf eine ungestörte und möglichst abgeschlossene Arbeitsumgebung zum Schutz von Unternehmensinterna auch im Homeoffice zu achten?
  • Haben Sie sichergestellt, dass die Organisation regelmäßig Sicherheitschecks innerhalb der IT durchführt, auch wenn sich die IT-Abteilung im Homeoffice befindet?

Sicherheitskonzept ist Chefsache

Für Arbeitgeber stehen hilfreiche Tipps und Empfehlungen zur Verfügung, wie sie die Krise besser meistern können. Darin findet man auch Empfehlungen, welche Kompetenzen die Leiter verschiedener Fachgebiete haben sollten. Die Entwicklung eines Firmenreglements für Sicherheit in Krisenzeiten sollte prinzipiell die Geschäftsleitung veranlassen und die Anweisungen koordinieren.

Das Krisenmanagement verläuft im Prinzip folgendermaßen:

  • Zunächst ist die eigene Situation zu analysieren, nachher sind Ziele zu definieren. Die Gefährdungsbeurteilung hilft, Risiken für Beschäftigte und andere Personengruppen zu identifizieren und wirksame Schutzmaßnahmen vorzubereiten. Dabei sind die Bedürfnisse der Beschäftigten zu berücksichtigen, z.B. Kinderbetreuung.
  • Die Sozialpartner und Betriebsräte sollten in den Prozess von Anfang an einbezogen werden.
  • In der Abstimmung mit Kunden kann die Geschäftsleitung die erforderlichen Leistungen klar definieren und Prioritäten setzen.
  • Eigene Lieferanten und Partner sollten ebenfalls frühzeitig informiert und eingebunden werden, ob und welche Einschränkungen auf Ihrer Seite bestehen und welche Leistungen von Lieferanten benötigt werden, z.B. zusätzliche Hygienemaßnahmen.
  • Die Wirksamkeit der Maßnahmen ist zu bewerten. Wurde beispielsweise der Einbau von Scheiben oder Folien zwischen Beschäftigten und Kunden festgelegt, kann man die betroffenen Beschäftigten direkt befragen. Sofern objektive Messungen möglich und sinnvoll sind, sollten diese immer Vorrang vor subjektiven Einschätzungen haben, dann kann man, wenn nötig, Verbesserungen vornehmen.
  • Kommunikation über Ziel und Sinn der Maßnahmen ist mit allen Beteiligten notwendig, nicht nur mit Beschäftigten, sondern auch mit Lieferanten und Kunden.
Schlagworte zum Thema:  IT-Sicherheit, Cyberkriminalität, Datenschutz