Angriffssimulationstraining und Interessensabwägung
In der heutigen digitalen Welt ist die Sicherheit von Unternehmens- und personenbezogenen Daten von größter Bedeutung.
Dabei bedarf es nicht nur einer technischen Absicherung und deren regelmäßigen Überprüfung durch Schwachstellenscans und Penetrationstests, sondern auch der Sensibilisierung der Anwender und Beschäftigten.
Häufig ist der Mensch, ein Einfallstor für Hacker oder Malware, um System und Daten zu kompromittieren. Um die Sicherheit zur gewährleisten, ist die Durchführung von Angriffssimulationstrainings ein effektiver Weg.
Diese Trainings steigern die Sensibilität der Mitarbeitenden und schulen zur Bandbreite der Cyberangriffe.
Ziel ist es dabei, die Mitarbeiter spezifischen Angriffen auszusetzen und sie auf das Erkennen und richtige Handhaben zu trainieren. Hierbei kann es sich um Spam, Phishing Angriffe per E-Mail oder speziell präparierte, potenziell schadhafte Dateien in Anhängen handeln. Währenddessen wird das Verhalten des Nutzers auf den Umgang mit dem Problem bewertet.
Das Verhalten kann dabei unterschiedlich ausfallen.
Öffnet dieser die schadhafte E-Mail, Datei, oder den Link? Löscht er diese, oder meldet er das Ganze an die IT-Sicherheit als potenziell bedrohlich?
Bei der Durchführung solcher Trainings müssen unbedingt die datenschutzrechtlichen Aspekte berücksichtigt werden! In diesem Blogbeitrag werden wir die datenschutzrechtliche Interessensabwägung für ein Angriffssimulationstraining unter Berücksichtigung der DSGVO und der deutschen Gesetze diskutieren.
Angriffssimulationstraining und Datenschutz
Bei der Durchführung von Angriffssimulationstrainings ist es wichtig, sicherzustellen, dass die Privatsphäre der Mitarbeiter gewahrt bleibt.
Auf Arbeitgeberseite besteht ein erhöhtes Interesse an der Informationssicherheit. Dazu sollen die Mitarbeiter in ihrem Verhalten überprüft werden.
Ziel der Trainings ist daher, die Reaktion der Mitarbeiter auf potentielle Bedrohungslagen zu überprüfen. Wird dabei noch das Verhalten protokoliert, kann die Nutzung eine Verhaltens- und Fähigkeitskontrolle darstellen. Auf der anderen Seite sollten bei einem Einsatz von Angriffssimulationstrainings auch mögliche Auswirkungen auf das Beschäftigungsverhältnis berücksichtig werden. Diese Trainings können auch zu einem grundlegenden Misstrauen der Beschäftigten oder zu einem negativen Leistungs- und Überwachungsdruck führen.
Dies sind viele Punkte und Risiken, die nicht nur durch Datenschutz und die IT allein bewertet werden sollten. Es ist daher immer zu empfehlen, die Personalverwaltung, die Geschäftsführung, sofern vorhanden den Betriebsrat und gegebenenfalls auch Rechtsberater für Arbeitsrecht hinzuzuziehen. Die enge Berücksichtigung der Datenschutzgrundsätze ist dabei ein zentraler Anhaltspunkt, um eine praktikable Lösung für alle Parteien zu finden.
Dies gelingt besser, wenn das Unternehmen Transparenz zeigt. Zum einen sollten die Mitarbeiter vor Durchführung des Trainings geschult werden, wie sie Angriffe erkennen können. Zum anderen über die Durchführung der Trainings und die damit verbundene Datenverarbeitung informiert werden. Das heißt nicht, dass zwingend bekannt sein muss, wann das Training stattfindet, sondern dass die Mitarbeiter wissen, dass es zu einem solchen Training kommen kann. Ebenso sollten die Mitarbeiter über die Konsequenzen informiert werden, wenn sie das Training nicht bestehen (z.B. automatischer Erhalt eines eLearnings).
Darüber hinaus sollten nur die minimal notwendigen personenbezogenen Daten verarbeitet werden und geeignete Sicherheitsmaßnahmen getroffen werden, um diese Daten zu schützen. Es ist wichtig zu beachten, dass hierbei normalerweise eine Pseudonymisierung der Daten für die Auswertung des Trainings nicht ausreicht. Stattdessen ist eine Anonymisierung der Daten zu bevorzugen.
Datenschutzrechtliche Interessensabwägung
Auch wenn Auswertungen anonymisiert werden, ist für die Durchführung die Verarbeitung personenbezogener Daten erforderlich (z.B. zur Einschränkung des Teilnehmerkreises; zur Feststellung, ob Dateien geöffnet, Links aufgerufen oder Zugangsdaten mitgeteilt, wurden; zur Durchführung von eLearnings oder Aufbauschulungen).
Die Verarbeitung dieser Daten muss an den Zweck und die Rechtsgrundlage gebunden sein, der bei der Erhebung gegeben war. Die Durchführung des Beschäftigungsverhältnisses oder eine Einwilligung kommen dabei regelmäßig nicht in Betracht. In vielen Fällen sollte die Verarbeitung nicht für das Beschäftigungsverhältnis erforderlich sein. Ebenso muss die Freiwilligkeit einer Einwilligung in Frage gestellt werden.
Eine rechtliche Verpflichtung für die Durchführung der hier besprochenen Thematik sieht der Gesetzgeber nicht vor, also scheidet diese Möglichkeit auch aus. Daher bleibt häufig nur die Durchführung einer Interessenabwägung übrig.
Dies bedeutet, dass das Interesse des Unternehmens an der Durchführung des Trainings gegen die Grundrechte der Mitarbeiter und die rechtlichen Aspekte aus DSGVO, BDSG und weiteren in Betracht kommenden Gesetze abgewogen werden muss.
Die Interessen des Unternehmens bei der Durchführung eines Angriffssimulationstrainings können vielfältig sein. Dazu gehören unter anderem die Verbesserung der IT-Sicherheit, die Identifizierung und Behebung von Sicherheitslücken, die Schulung der Mitarbeiter im Umgang mit potenziellen Angriffen und die Einhaltung von gesetzlichen oder regulatorischen Anforderungen.
Auf der anderen Seite haben die betroffenen Personen, in diesem Fall die Mitarbeiter, das Recht auf Schutz ihrer personenbezogenen Daten. Dies umfasst die Einschränkung der Verarbeitung ihrer dem Arbeitgeber mitgeteilten Daten nur zum Zweck der Durchführung des Arbeitsverhältnisses, das Recht auf Vertraulichkeit und Integrität der informationstechnischen Systeme und das Recht auf Widerspruch gegen die Verarbeitung ihrer Daten.
Bei der Abwägung dieser Interessen muss das Unternehmen verschiedene Faktoren berücksichtigen. Dazu gehört die Art, der Umfang, die Umstände, die Zwecke der Datenverarbeitung und besonders, welche Daten verarbeitet werden sollen. Weiter ist die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen und die Notwendigkeit der Datenverarbeitung für die Durchführung des Angriffssimulationstrainings zu betrachten.
Dabei sollten weitere Informationen zur Informationssicherheit einbezogen werden. Wie die Häufigkeit bereits erkannter oder erfolgreicher Angriffe, die auf eine mangelnde Sensibilität und Training zurückzuführen sind. Aber auch die zu erwartenden Risiken aus einem erfolgreichen Angriff für das Unternehmen und für Betroffene, deren Daten vom Unternehmen verarbeitet werden.
Fazit
Die Durchführung von Angriffssimulationstrainings ist ein effektiver Weg, um die Sensibilität von Mitarbeitern zu erhöhen und so das Sicherheitsrisiko „Faktor Mensch“ zu minimieren. Allerdings müssen dabei einige datenschutzrechtliche Aspekte berücksichtigt werden. Durch eine sorgfältige datenschutzrechtliche Interessensabwägung und die Einhaltung der DSGVO, des BDSG und weiterer Gesetze zum Mitarbeiterschutz kann sichergestellt werden, dass sowohl die Sicherheitsinteressen des Unternehmens als auch die Datenschutzrechte der Mitarbeiter gewahrt bleiben. Jedoch ist dies eine individuelle Betrachtung, die nicht allgemeingültig beantwortet werden kann.
Unter der Betrachtung, dass der Faktor „Mensch“ und die Ausnutzung persönlicher Informationen durch Social Engineering im Bereich Cybercrime zunehmend bedeutsamer wird ¹ ², steht fest, dass Schulung nicht mehr ausreicht, sondern auch regelmäßige Übungen erforderlich sind. Nur so kann ein angemessener Schutz gegen relevantere Angriffe aufrecht erhalten werden.
Fragen
Sie haben Fragen zu unserem Artikel oder benötigen Unterstützung bei der Durchführung einer Interessenabwägung? Nehmen sie einfach Kontakt mit uns auf. Wir helfen Ihnen gern weiter.
Autor: Hermann Baum
Artikel erstellt am 30.01.2024
Beispielstudie: Phishing-Kampagnen zur Mitarbeiter-Awareness : Analyse aus ver… (kit.edu)