Tipps zur Datensicherheit
Das Folgende betrifft überwiegend Betriebe mit mehreren Mitarbeitern, wobei die Konstellation „Chef + Halbtagskraft“ schon ein solcher Betrieb ist. Einige Punkte, z.B. die Datenträgerverschlüsselung, betreffen Sie aber auch, wenn Sie alleine arbeiten. In diesen Bereich gehört auch das Thema Einbruchssicherheit, das wir hier aber nicht weiter behandeln wollen – Sie als Versicherungsvermittler kennen sich damit wahrscheinlich besser aus als wir!

Rechtevergabe

Grundsätzlich empfehlen wir Ihnen, die Rechtevergabe an Ihre Mitarbeiter zu überprüfen, sowohl auf Windows- bzw. Netzwerkebene als auch in POLARIS selbst. PCs, die ohne Eingabe eines Passworts hochgefahren werden können, oder von mehreren Mitarbeitern gemeinsam verwendete Zugangsdaten waren noch nie eine gute Idee, aber spätestens ab dem 25. Mai wäre es ein grober Verstoß gegen die Bestimmungen!

Die größte Gefahr für den Datenschutz sind Mitarbeiter, die menschliche Fehler machen, die aber in zum Glück sehr seltenen Einzelfällen auch böswillig und mit krimineller Energie handeln. In letzterem Fall haben Sie den Feind im Haus, und es ist schwer, eine perfekte Datensicherheit zu erzeugen - ein solcher Mitarbeiter könnte z.B. auch Passwörter ausschnüffeln. Sie sollten aber trotzdem versuchen, die Rechte Ihrer Mitarbeiter auf das für die Arbeit Notwendige einzuschränken.

Das ist kein Zeichen von mangelndem Vertrauen, sondern dient der Sicherheit. Zu einen schützen Sie Ihre Mitarbeiter auch vor eigenen Fehlern, zum anderen kann jedes Mitarbeiterrecht im Fall einer Sicherheitslücke auch von Unbefugten genutzt werden.

Passwörter

Eng mit der Rechtevergabe verbunden sind die Passwörter. POLARIS ist nicht über das Internet zugänglich, ein Angreifer kann also nicht massenweise Passwörter automatisiert durchprobieren. Beim manuellen Probieren beendet sich das Programm jeweils nach drei Fehlversuchen, was viel Zeit kostet. Die Anforderungen an ein POLARIS-Passwort sind deshalb viel geringer als bei Windows oder gar bei web-basierten Applikationen. Wir planen dennoch für eine der zukünftigen Versionen, eine Komplexitätsvorschrift einzuführen, die jedoch vom Anwender selbst konfiguriert werden kann. Dass Sie auch für eine lokale Software wie POLARIS keine Passwörter wie „1234“, „passwort“, Ihr Geburtsdatum oder den Namen ihres Lieblingskinds oder -kaninchens verwenden sollten, versteht sich hoffentlich von selbst!

Bildschirmsperren

Bedenken Sie, dass ein hochgefahrenes Computersystem eine bei vorübergehender Abwesenheit des Mitarbeiters eine Sicherheitslücke ist. Achten Sie deshalb darauf, dass Bildschirmsperren mit Passworteingabe eingerichtet sind, die sich nicht erst nach 30 Minuten aktivieren, sondern möglichst schon früher (wie früh, müssen Sie entscheiden; uns ist völlig klar, dass eine Minute Aktivierungszeit zu knapp ist)! Etwas Ähnliches planen wir auch für POLARIS, aber bis es soweit ist, sollten Sie POLARIS beenden, wenn Sie Ihren Arbeitsplatz für längere Zeit verlassen und – aus welchen Gründen auch immer – keine Bildschirmsperre möglich oder erwünscht ist.

Datenträgerverschlüsselung

Für transportable Datenträger (USB-Sticks, externe Festplatten, aber auch Tablets und Laptops) wird eine Verschlüsselung empfohlen oder sogar vorgeschrieben. Die Gefahr, dass ein USB-Stick verloren geht oder ein Laptop gestohlen wird, ist nämlich wesentlich größer als die, dass jemand in Ihrem Büro einbricht und Computer oder Festplatten mitnimmt! In beiden Fällen dürfte zwar das Interesse an der Hardware größer sein als das an Ihren Daten (außer Sie arbeiten für einen Geheimdienst!), aber man weiß ja nie.

Eine Verschlüsselung kann zum Beispiel mit Hilfe der in Windows integrierten BitLocker-Funktion geschehen (enthalten ab den Versionen Windows 7 Ultimate bzw. Windows 8 Professional). Wir werden in absehbarer Zukunft auch die POLARIS-Datenbanken selbst verschlüsseln und/oder, was ohnehin geplant war, den Umstieg auf eine SQL-Datenbank anbieten. Bis zum 25. Mai hat dies leider nicht mehr geklappt, so dass für die Sicherheit von POLARIS im Moment vor allem auch die Sicherheit der Windows-Umgebung und der Datenträger von Bedeutung ist.

Selektionsmodul

POLARIS-intern sollten Sie sich insbesondere mit dem Recht für das Selektionsmodul befassen. In der Praxis haben wir zudem festgestellt, dass erstaunlich viele Mitarbeiter Administrator-Rechte haben (dafür aber der eine oder andere Chef nicht!), womit natürlich auch das Recht auf die Selektion verbunden ist. Einige unsere Kunden haben panische Angst davor, dass unbefugte Mitarbeiter Einsicht in Provisionsdaten bekommen, aber aus datenschutzrechtlicher Sicht ist der Umgang mit der Selektion viel problematischer: Mit nicht allzu viel Aufwand kann ein Mitarbeiter nämlich Ihren gesamten Kundenstamm nebst Vertragsübersicht in Excel-Tabellen übertragen und mit nach Hause nehmen! Diese potentielle Sicherheitslücke würde und wird auch dann weiter bestehen, wenn die POLARIS-Datenbanken verschlüsselt sind.

Datendiebstahl

Verhindern können Sie einen Datendiebstahl über einen Arbeitsplatzrechner nur, wenn dort weder Internet, noch USB-Port, noch CD-Brenner zur Verfügung stehen. Ohne Internet und E-Mail ist die Arbeit in einem modernen Versicherungsmaklerbetrieb jedoch unmöglich, und PCs ohne USB-Ports gibt es nicht mehr – schon weil Maus, Tastatur, Scanner, Drucker und Kaffeetassenwärmer an solchen hängen. Sie müssen sich also nicht die Mühe machen, alle CD-Brenner auszubauen!

Replikation

Bei der Replikation sollte noch mehr als bisher darauf geachtet werden, dass jeder Empfänger eines Replikats nur die für Ihn wichtigen Daten erhält. Auf Vermittler eingeschränkte Replikate enthalten physisch nur einen Teil der Datenbank, so dass aus ihnen auch mit geklauten Passwörtern keine verbotenen Daten herausgelesen werden können. Das mit der Version 3.90 eingeführte Datenverarbeitungsprotokoll ist in Replikaten grundsätzlich nicht enthalten.

Beachten Sie, dass Sie mobile Datenträger, z.B. externe Festplatten oder USB-Sticks, verschlüsseln müssen, wenn Sie diese zum Übermitteln der Replikations-Datenbanken verwenden (siehe oben)!

Aus Sicherheitsgründen empfehlen wir – wie schon bisher – intensiv arbeitende externe Mitarbeiter, über eine Terminal-Server-Lösung anzubinden. Beachten Sie jedoch, dass auch die externe Erreichbarkeit Ihres Servers ganz unabhängig von POLARIS ein Sicherheitsrisiko darstellen kann, wenn z.B. Sicherheitsupdates nicht eingespielt oder leicht zu erratende Passwörter verwendet werden.

Datensicherung

Regelmäßig durchgeführte Datensicherungen waren immer schon wichtig. Doch war ein Datenverlust bisher nur ein großes Ärgernis, das mit viel Zeitaufwand zum Nacharbeiten verbunden war, könnte er spätestens nach der neuen DSGVO auch zu einem rechtlichen Problem werden, z.B. weil Sie Ihrer Dokumentationspflicht nicht mehr nachkommen können. Egal, wie man es im Einzelfall rechtlich beurteilt, das Fehlen von Datensicherungen würde einem Außenstehenden auf jeden Fall dokumentieren, dass Sie nicht sehr sorgfältig mit Ihren Daten umgehen!

Drucken

Abschließend noch ein Tipp zum Thema Drucken. Auch ein harmloser Drucker ist nämlich ein Risiko für den Datenschutz, insbesondere wenn Sie ihn mit anderen Mitarbeitern teilen. Sie dürfen nämlich nicht einfach einen Druckbefehl geben, dann gemütlich zur Kaffeemaschine gehen und dann erst zum Drucker, denn in der Zwischenzeit könnte eine unbefugte Person Ihren Ausdruck sehen oder gar lesen!

Stellen Sie vor dem Drucken also erst einmal sicher, dass alle Türen zwischen Ihrem Rechner und dem Drucker geöffnet sind und der Weg auch sonst hindernisfrei ist. Gehen Sie dann zurück zu Ihrem Rechner, drehen Sie sich in Richtung Drucker, nehmen Sie die Startposition für einen Sprint ein und geben Sie dann erst den Druckbefehl! Wenn Ihr Drucker nicht deutlich schneller ist als unserer, sollten Sie in der Regel dort eingetroffen sein, bevor der Ausdruck fertig ist.

Und, Spaß beiseite, es gibt genau aus diesem Grund tatsächlich Drucker, die ein Dokument erst dann drucken, wenn sich derjenige am Gerät identifiziert hat, der den Druckbefehl gegeben hat.

Copyright © Gallwitz Softwareentwicklung Königsbrunn
Entwicklung & Design Frontscape GbR