Zu Hauptinhalt springen
Our website is also available in English - would you like to switch to this version?Switch to the English version
MADE & HOSTED IN GERMANY
ISO 27001 ZERTIFIZIERT
LEITFADEN Vor diesen Herausforderungen stehen Unternehmen 2024
Jetzt PDF herunterladen
kollaborationsoftware-sicherheit

So findest Du ein Kollaborationstool ohne Sicherheitsrisiken

4 Min. Lesedauer

DSGVO, Hacking-Angriffe, Drittstaatentransfer … Dir raucht bei diesen Begriffen der Kopf und Du lässt deswegen lieber die Finger von Kollaborationstools in der Cloud? Gerade in Branchen, in denen mit sensiblen Daten gearbeitet wird, sind Sicherheit und Datenschutz äußerst wichtige Themen. Sie sollten aber nicht der Grund sein, an veralteten (analogen) Prozessen und Arbeitsweisen festzuhalten. Entscheidend ist, mögliche Sicherheitsrisiken durch das Tool schon bei der Auswahl auszuschließen. Wie Dir das gelingt? Mit unserer Checkliste helfen wir Dir, das sicherste cloudbasierte Kollaborationstool zu finden.

Wovor muss ich meine Daten schützen?

Daten können aus verschiedenen Gründen für Dritte von Interesse sein. In erster Linie gilt es die personen- und unternehmensbezogenen Daten vor Cyberkriminellen zu schützen. Gerade in Branchen mit sensiblen Daten wie Behörden, Banken oder Kanzleien ist dies unerlässlich.

Aber nicht nur Cyberkriminelle wollen an Deine Daten. Auch für Google & Co. ist Dein Nutzerverhalten von Interesse. Mittels Tracking und Retargeting werden Daten gesammelt, ausgewertet und für z. B. für personalisierte Werbezwecke verwendet. Achte daher darauf, keine externen Tracking-Tools wie Google Analytics zu nutzen.

Einen Sonderfall stellen zudem Kollaborationstools dar, deren Anbieter ihren Unternehmenssitz in den USA haben. Hier können US-amerikanische Behörden die Anbieter zur Herausgabe von personen- und unternehmensbezogenen Daten verpflichten. Möglich machen das der Patriot Act und der sogenannte Cloud Act (Clarifying Lawful Overseas Use of Data Act).
Sie erlauben den Behörden den Zugriff auf sämtliche Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern, sofern das Unternehmen seinen Sitz in den USA hat bzw. dem US-amerikanischen Recht unterliegt. Das gilt auch für Tochterunternehmen US-amerikanischer Anbieter mit Sitz z. B. in Deutschland. Die Pflicht zur Herausgabe gilt damit auch für Daten, die außerhalb der USA gespeichert werden. Das Gesetz steht in starkem Kontrast zur europäischen Rechtsauffassung, geregelt in der Datenschutzgrundverordnung (DSGVO).

Du siehst, ganz schön viele haben Interesse an Deinen Daten und sie können ziemlich schnell in die falschen Hände gelangen.

Checkliste zur Auswahl eines sicheren Kollaborationstools

Damit Dir das nicht passiert, achte bei der Auswahl auf die folgenden Prüfpunkte. Findest Du keine Informationen zu relevanten Punkten auf der Website des Anbieters, frage am besten konkret nach!

✅ Sitz des Anbieters
Der Unternehmenssitz des Anbieters ist ein essentieller Prüfpunkt. Zwar müssen alle Anbieter, die Daten von EU-Bürgern verarbeiten, die DSGVO einhalten, gesetzliche Bestimmungen wie den Patriot Act oder den Cloud Act in den USA gibt es in der EU jedoch nicht.

✅ Standort der Server
Auch cloudbasierte Software braucht physische Server. Für Serverfarmen ist dabei neben verpflichtenden Aspekten wie der DSGVO eine ISO 27001-Zertifizierung zu empfehlen.

✅ Auftragsverarbeitung
Du solltest stets die Kontrolle über die Verarbeitung Deiner Daten behalten. Es empfiehlt sich daher, klare Vereinbarungen mit den Auftragsverarbeitern zu treffen. Wirf dabei auch einen Blick auf die Unterauftragsnehmer der Anbieter, die z. B. für das Hosting oder das Versenden von E-Mails eingesetzt werden. Sie sollten ebenfalls ihren Sitz in der EU haben, sodass keine Kontrolle aus dem EU-Ausland ausgeübt werden kann.
Wichtig: Achte auch hier darauf, dass die Muttergesellschaft des Auftragsverarbeiters ihren Hauptsitz in der EU hat und gesetzliche Regelungen aus dem EU-Ausland nicht wirksam sind.

✅ Tracking und Retargeting
Das Sammeln und Auswerten von Nutzerdaten erlaubt es Unternehmen personalisierte Werbung zu schalten. Ein beliebtes Tool für das Tracking ist beispielsweise Google Analytics. Willst Du nicht, dass Deine Daten für Werbezwecke verwendet werden, achte auf Anbieter, die keine externen Tracking Tools nutzen.

✅ Verschlüsselung der Daten
Um Nutzerdaten vor Cyberkriminellen zu schützen, müssen sie mit hochgradig sicheren Technologien verschlüsselt sein. Am besten werden die Daten zwischen dem Endgerät und den Servern mit einer TSL-Verschlüsselung gesichert übertragen.
Auch der Anbieter selbst sollte Deine Daten nicht einsehen können. Eine echte Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur Du und der (berechtigte) Empfänger Zugriff auf die Inhalte hat.

✅ Benutzerauthentifizierung
Ein sicheres Passwort ist unerlässlich. Achte daher darauf, dass der Anbieter genaue Vorschriften für die Passwortstärke und das Änderungsintervall vorgibt. Damit Dein Konto und die Konten Deines Teams noch besser vor unerlaubtem Zugriff geschützt sind, sollte das Tool eine Zwei-Faktor-Authentifizierung anbieten. So entsteht eine zweite Sicherheitsebene im Konto. Beim Einloggen muss neben dem Passwort noch ein zeitbasierter Sicherheitscode z. B. aus einer App eingegeben werden. Benutzerkonten sind auch dann geschützt, wenn Passwörter verloren gegangen sind oder gestohlen wurden.

✅ Back-ups
Regelmäßige Offsite-Back-ups verhindern den Datenverlust in Ausnahmefällen wie Diebstahl oder Hardwareausfall. So gibt es immer eine (relativ) aktuelle Kopie auf einem sicheren Server.

✅ Integrationen
Umfangreiche Integrationsmöglichkeiten klingen erstmal toll, wenn sie jedoch unzureichende Sicherheitsstandards haben, können sie Sicherheitsrisiken bergen. Als Faustregel gilt daher: Je weniger Tools Du integrierst bzw. integrieren musst, desto geringer ist das Risiko. Ein All-in-One Tool wie Stackfield, das alle wichtigen Funktionen vereint, ist hier einer Einzellösung vorzuziehen. Tool-Hopping oder unzählige Integrationen sind dann nicht nötig.

✅ Nutzer- und Rechteverwaltung
Es empfiehlt sich, Daten nicht nur vor außenstehenden Dritten zu schützen. Auf der Plattform selbst sollte ebenfalls die Option bestehen, Informationen nur für bestimmte Nutzer freizugeben. Die Zuweisung von Rollen und Rechten sowie Gastzugänge für Externe sollten im Funktionsumfang des Kollaborationstools beinhaltet sein.

Wie kann ich Angaben der Anbieter zur Sicherheit überprüfen?

Nur auf wohlklingende Formulierungen auf den Websites wie „Datenhaltung nach höchsten Sicherheitsstandards“ oder „Ihre Daten sind bei uns sicher“ solltest Du Dich bei der Auswahl nicht verlassen. Prüfe daher lieber, ob sich die Aussagen belegen lassen. Wichtigstes „Beweismittel“ hierfür sind Zertifikate. Relevant ist für Cloud-Anbieter die ISO 27001 sowie die darauf aufbauenden Zertifizierungen ISO 27017 und 27018.

Auch die Angabe zur Konformität mit der DSGVO ist ein guter Richtwert für die Einhaltung von (gesetzlich vorgeschriebenen) Sicherheitsstandards. Im Gegensatz zu ISO-Zertifikaten ist die DSGVO-Konformität jedoch erst seit sehr kurzer Zeit und bisher nur durch einen Anbieter zertifizierbar.

Welche Kollaborationstools sind nun wirklich sicher?

Ganz schön viele Punkte, die bei der Auswahl eines sicheren Kollaborationstools zu beachten sind… Was auf den ersten Blick viel erscheint, ist schnell sortiert. Beginne z. B. mit dem größten Ausschlusskriterium. Willst Du nicht, dass Deine (Unternehmens)Daten an Dritte z. B. US-Behörden herausgegeben werden? Dann streiche von Deiner Liste potenzieller Tools alle Anbieter mit Unternehmenssitz, Datenhaltung und Unterauftragnehmern außerhalb der EU. Damit fallen bekannte Anbieter wie Asana, Microsoft, Monday.com, ClickUp oder Trello weg.

Legst Du nun noch Wert darauf, dass dein Nutzerverhalten nicht getrackt wird, das Tool eine echte Ende-zu-Ende-Verschlüsselung bietet und es sich um eine All-in-One-Lösung handelt, kommen auch deutsche Anbieter wie Awork, Meistertask oder Factro nicht mehr in Frage. Du siehst, die Auswahl hat sich jetzt schon deutlich verkleinert. Auf Deiner Liste verblieben ist … Stackfield. Denn Sicherheit und Datenschutz haben bei uns wirklich oberste Priorität. Das zeigt sich in den vielen durchdachten Funktionen, die zur Sicherheit Deiner Daten beitragen und den ISO-Zertifizierungen 27001, 27017 und 27018.

Diesen Artikel bewerten?
3 Bewertungen / 4.7 Sterne
LEITFADENVor diesen Herausforderungen stehen Unternehmen 2024
Jetzt PDF herunterladen
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.
Anmelden
Cristian Mudure
Über den Autor:
Cristian Mudure ist der Gründer und CEO von Stackfield. Er liebt digitale Geschäftsmodelle und verbringt seine Freizeit gerne auf dem Tennisplatz.
Kommentarbereich anzeigen (powered by Disqus)