Whistlblower

Sie sollten nicht immer auf die Cloud setzen

Für viele Unternehmen gelten spezielle Compliance-Anforderungen oder Regulierungen, die es ihnen nicht ermöglichen, sich der Cloud vollständig zu öffnen. Besonders betroffen sind hier KRITIS-Institutionen, die beispielsweise im Gesundheitswesen oder der Energieversorgung angesiedelt sind. Auch im Bereich der Finanzdienstleistungen stehen Unternehmen der Cloud oft kritisch gegenüber. 

Viele Cloudanbieter halten den Anforderungen an rechtliche oder unternehmensinterne Regularien nicht stand. Schon alleine, wenn es sich nicht um deutsche Anbieter handelt, die damit auch nicht den europäischen Regularien unterliegen, ist dies ein Ausschlusskriterium. Doch selbst wenn alle gesetzlichen Bedingungen erfüllt sind, bleiben vielerorts noch Sicherheitsbedenken ob der sensiblen Daten, die in der Cloud gespeichert werden. Hinzu kommt die Angst vor unberechtigtem Zugriff und Datenklau. 

Whistleblower-Richtlinie stellt Unternehmen vor Herausforderungen

Neben Unternehmen, die im Bereich der kritischen Infrastruktur tätig sind, gibt es weitere Szenarien, in denen der Einsatz der Cloud hochkritisch ist. Man denke beispielsweise an Plattformen, auf denen Compliance-Verstöße gemeldet werden können. Bis spätestens Ende 2021 muss die EU-Whistleblowing-Direktive von den Mitgliedsstaaten umgesetzt werden. Zunächst müssen dann Unternehmen mit mehr als 250 Mitarbeitern (ab 2023 mit mehr als 50 Mitarbeitern), sichere Kanäle für Mitarbeiter einrichten, damit diese Compliance-Verstöße melden können. Die Meldung eines Compliance-Verstoßes darf allerdings keine negativen Folgen für den Hinweisgeber haben, egal ob es sich dabei um interne Mitarbeiter, ehemalige Kollegen oder Außenstehende handelt. 

Um dies zu gewährleisten, müssen Unternehmen sich etwas einfallen lassen. Eine Meldung auf einer eigens eingerichteten Intranet-Seite oder gar per E-Mail ist zwar möglich, aber ein denkbar ungünstiger Weg, um die Identität der sogenannten „Whistleblower“ zu schützen. 

Unternehmen sollten daher ein Meldesystem etablieren, das ihnen nicht die Möglichkeit bietet, auf die Person zu schließen, die einen Compliance-Verstoß gemeldet hat. Nicht auszudenken, welche Folgen es hätte, wenn ein Mitarbeiter einen Verstoß meldet und sein Arbeitgeber direkt einsehen kann, um welchen Kollegen es sich dabei handelt. Daher muss die Vertraulichkeit der Meldeprozesse von Compliance-Verstößen entsprechend verankert und technisch gestaltet sein. 

MSSP mit eigenem Rechenzentrum bietet Sicherheit

Plattformen sollten daher nicht in der unternehmenseigenen Cloud oder der Public Cloud betrieben werden. In solchen speziellen Fällen lohnt es sich für Unternehmen, auf Managed Security Service Provider zurückgreifen, die ihr eigenes Rechenzentrum beziehungsweise ihre eigene Private Cloud betreiben. Das unternehmenseigene Meldesystem kann dann entsprechend so betrieben und verschlüsselt werden, dass das Unternehmen die gemeldeten Verstöße nicht mit einer Person in Verbindung bringen kann. Die Anonymität des Hinweisgebers bleibt gewahrt. So können Mitarbeiter, externe Dienstleister, Bewerber oder ehemalige Mitarbeiter Verstöße anzeigen, ohne Angst vor Entlassungen, Diskriminierung oder anderen Folgen haben zu müssen. 

Indem Unternehmen hier mit einem externen MSSP zusammenarbeiten, der ihnen ihr Rechenzentrum zur Verfügung stellt, haben sie nicht nur die Sicherheit, die gesetzlichen Auflagen und Vorgaben zu erfüllen. Gleichzeitig kümmert sich ein erfahrener Dienstleister darum, dass das System bestmöglich geschützt und immer State of the Art ist.

Bildquelle: freshidea - stock.adobe.com

Lisa-Marie Roth
Lisa-Marie Roth

Senior Marketing & PR Manager, indevis

Kontakt

indevis IT-Consulting
and Solutions GmbH

Irschenhauser Str. 10
81379 München

Telefon:
+49 (89) 45 24 24-100

Oder über unser Kontaktformular.

Sie erreichen uns von Montag bis Freitag von 8 bis 18 Uhr.

indevis IT-Security News

Bleiben Sie auf dem Laufenden mit unserem informativen monatlichen Newsletter.

Tragen Sie sich einfach in den Verteiler ein:

Hier abonnieren!