Vertrauliche Sitzungsdaten
hub highlights 2018

23.03.2019
Tablett mit Konferenzsoftware von Sherpany, © Sherpany

Dass Daten vertraulich bleiben, ist gerade bei Sitzungen zu sensiblen Themen von grösster Bedeutung.

Für Sherpany als Anbieter von Software für Sitzungsmanagement ist Sicherheit also höchstes Gebot. Wir sprachen mit Roman Bühler, einem der Gründer des Unternehmens, über Bedenken der Kunden und Lösungsansätze.

hub: Welche Sicherheitsbedenken haben Manager, wenn es um die Digitalisierung ihres Sitzungsmanagements geht?

Roman Bühler: Die Bedenken sind abhängig von der Perspektive und der Situation der befragten Person und ihrer Organisation. Der CEO eines Finanzinstituts fokussiert sich auf andere Risiken als der CIO eines Industrieunternehmens. Generell nehmen wir im Markt folgende Überlegungen wahr:

  • Der Trend zur Digitalisierung bringt, unabhängig vom Sitzungsmanagement, neue Herausforderungen für die bisher analog ausgeführten Businessprozesse mit sich. Die zusätzliche Dimension der IT erwirkt zwar eine erhebliche Effizienzsteigerung, birgt aber durch das Miteinbeziehen neuer Stakeholder auch andere Risiken. Diese müssen in einer abteilungs- oder auch unternehmensübergreifenden Zusammenarbeit evaluiert und verstanden werden.
  • Des Weiteren ist der unbefugte Zugriff auf Informationen eine zentrale Thematik in der Informationssicherheit. Dabei ist es irrelevant, ob eine Lösung analog, digital, inhouse oder ausgelagert ist. Je sensitiver die Information, desto grösser die Sorge um deren Vertraulichkeit. Während man für den Zugriff auf analoge Dokumente physisch vor Ort sein muss, sind digitale Informationen potenziell von überall zugänglich. Dies resultiert darin, dass sich das Zugriffskonzept erheblich verändert und die Vertraulichkeit entsprechend aufwändiger geschützt werden muss.
  • Redet man von Informationssicherheit, fällt generell schnell das Key-Wort Malware. Malware ist der Oberbegriff für eine Vielzahl von Schadprogrammen wie beispielsweise Viren, Ransomware oder Trojaner. Alleine im Jahr 2017 wurden vom Antiviren-Software-Hersteller Avira pro Tag über 4 Millionen Viren identifiziert und blockiert. Im Gegensatz zu analogen Objekten sehen sich die digitalen Gegenstücke einer neuen Bedrohungslage ausgesetzt: Neu kämpfen sie nicht gegen Wasser, Diebstahl oder Brand, sondern gegen Hacker und Viren.
  • Die letzte zentrale Sorge bei der Digitalisierung des Sitzungsmanagements ist der physische Speicherort der Daten. Wenn vor der Digitalisierung die Informationen physisch und lokal verteilt und kontrolliert wurden, sind sie jetzt in einem internen oder externen Datencenter gespeichert. Wo das Datencenter steht, spielt vor allem aus einer Compliance-Perspektive eine wichtige Rolle. Denn der Standort bestimmt zu einem grossen Teil, welche Gesetze und Regulationen auf die Informationen anwendbar sind. Befindet sich das Datencenter beispielsweise in den USA, können sich die Behörden auf rechtlichem Weg Zugang zu vertraulichen Kundendaten verschaffen.

hub: Welche dieser Sorgen sind begründet?

Bühler: Grundsätzlich sind alle Sorgen nachvollziehbar. Deren Einschätzung aber hängt von der jeweiligen Implementierung der digitalen Sitzungsmanagementlösung ab (Auswahl des Tools, Bedürfnisse der Firma, Art der Prozesse). Aus der Sicht von Sherpany adressieren wir die Bedenken unserer Kunden mit verschiedenen technischen und organisatorischen Massnahmen.

Durch eine proaktive und enge Zusammenarbeit mit unseren Kunden, externe Zertifizierungen sowie die Ermöglichung von Audits geben wir unseren Kunden transparent Einblicke in unsere Prozesse und Strukturen.

Unbefugter Zugriff wird seitens Sherpany auf zwei Ebenen verhindert. Durch Massnahmen wie Autorisierung, Authentisierung sowie starke Verschlüsselung wird die Vertraulichkeit der Informationen technisch sichergestellt. Dies wird mittels regelmässiger Security-Tests überprüft und bestätigt. Zusätzlich haben wir Best-Practice-Konzepte wie das 4-Augen- oder das Need-to-Know-Prinzip in unsere Sicherheitsprozesse implementiert, welche die Effektivität und Effizienz der technischen Massnahmen überwachen und sicherstellen.

Betreffend Malware ist Sherpany als eine auf Sicherheit fokussierte SaaS-Lösung entsprechend bestens geschützt. Wir arbeiten mit komplexen und spezialisierten Enterprise-Lösungen, welche nicht nur Angriffe selber verhindern, sondern auch Anomalien innerhalb der Infrastruktur erkennen und entsprechende Massnahmen auslösen. Zusammen mit dem Know-how unserer hoch qualifizierten Spezialisten garantieren wir einen effektiven Schutz gegen diesen Angriffsvektor.

Die Schweiz ist durch ihre politische Stabilität, die zuverlässige öffentliche Infrastruktur und die attraktive Gesetzgebung ein idealer Ort für die physische Speicherung unserer Daten. Aus diesem Grund haben wir zwei Top-Notch-Datenzentren im Grossraum Zürich dafür ausgewählt. Diese verfügen über zahlreiche angese­hene Zertifizierungen und garantieren Best-Practice-Sicherheitsvorkehrungen.

hub: Was sind überhaupt die grössten Sicherheitsrisiken beim Sitzungsmanagement?

Bühler: Diese Frage kann wiederum nicht generell beantwortet werden, da Sitzungen unterschiedliche Ausprägungen haben können. Die Lösung von Sherpany unterstützt Aufsichtsrats- und Leadership-Sitzungen. Dabei werden sehr sensible Dokumente an die Teilnehmer und ihre Endgeräte verteilt. Dementsprechend ist hier die Vertraulichkeit dieser Dokumente mit dem höchsten Risiko behaftet, und darum ist die Entwicklung und der Betrieb eines hochsicheren Service eine unserer Kernkompetenzen.

hub: Die Daten von Sitzungen werden oft an viele Adressaten verteilt. Was kann man tun, um die Sicherheit zu gewährleisten?

Bühler: Um ein hohes Level an Sicherheit zu bieten, ist es wichtig, sich nicht ausschliesslich auf technische Massnahmen zu fokussieren. Bei Sherpany verfolgen wir unser eigens entwickeltes Drei-Schichten-Modell für Informationssicherheit. Die erste Schicht besteht aus den technischen Massnahmen. Diese beinhalten die „üblichen Verdächtigen“ wie beispielsweise Antivirus, Firewalls, komplexe Passwörter oder Verschlüsselung.
Unter der zweiten Schicht verstehen wir organisatorische Massnahmen wie Kontrollprozesse, Security-Policies und Audits. Diese ergänzen die technischen Vorkehrungen und ermöglichen somit einen soliden Grundschutz. Die dritte Schicht dreht sich um den Faktor Mensch. Sie beinhaltet Massnahmen, die Mitarbeiter befähigen, aus einer Security-Perspektive die richtigen Entscheidungen zu treffen. Dazu zählen das Anstellen der richtigen Talente sowie deren Aus- und Weiterbildung und regelmässige Initiativen, welche die Security-Awareness fördern und festigen.

Dieses Modell hat sich in der Vergangenheit als effektiv und effizient erwiesen. Daher empfehlen wir, einen ganzheitlichen Ansatz zu fahren und so die Informationssicherheit von einem IT-Problem zu einem Businessziel zu transformieren.
 

Roman Bühler, Sherpany © SherpanyRoman Bühler

ist Mitgründer von Sherpany, einer in Europa marktführenden Plattform für sichere Management & Board Collaboration. Als studierter Jurist wechselte Roman Bühler nach der Gründung von Sherpany im Jahr 2010 in den Vertrieb seiner Firma, wo er heute noch tätig ist. Er berät und betreut Mittelständler bis Grosskonzerne im DACH-Raum rund ums Thema digitale Sitzungsorganisation und Entscheidungsfindung in deren Führungsgremien. 

FOTOS: Sherpany

58

Kommentare