2016/4 | Fachbeitrag | IT-Sicherheit

Datenschutz: Personaldienstleitungen müssen höchsten Sicherheitsstandards entsprechen

von Torsten Jüngling

Inhaltsübersicht:

Der Personaldienstleister cut-e GmbH sitzt in Hamburg und fordert hohe Sicherheitsstandards für seine Unternehmensdaten. Mit seinen Online-Tests und Fragebögen unterstützt das Unternehmen seine Kunden bei der Rekrutierung, Auswahl und Entwicklung ihrer Belegschaft, indem die Bewerber auf gesuchte Fähigkeiten und die gewünschten Persönlichkeitsmerkmale getestet werden. Dabei ist es die Verantwortung des Anbieters, die anfallenden Bewerberdaten vor unbefugten Dritten zu schützen.

Problemquellen: Sensible Daten und Zugriff durch Externe

Über vier Millionen Online-Assessments hat cut-e bereits in 70 Ländern und 40 Sprachen durchgeführt. Für die jeweiligen Anforderungen werden individuelle Tests erstellt, die auf die gewünschten Fertigkeiten und kulturellen Besonderheiten abgestimmt sind. Die verwendeten Methoden umfassen eine Bandbreite von Online-Fragebögen und -Testverfahren, die Aspekte wie logisches Denken, Sprachvermögen, mathematische Fähigkeiten oder Stressverhalten evaluieren. Die Roh- und Testdaten sind erfolgskritisch und erfordern daher sorgfältigen Schutz.Eine Internetverbindung und eine Mindestanzahl an Teilnehmern werden für einen typischen Test vorausgesetzt. Dieser kann weltweit oder räumlich beschränkt stattfinden, um beispielsweise im ersten Bewerbungsschritt von 3.000 Bewerbern die besten 300 herauszufiltern. Diese werden dann genauer getestet, bis den Personalverantwortlichen eine übersichtliche Zahl potentieller Mitarbeiter für persönliche Gespräche vorgeschlagen werden können.

Durch die hohen Teilnehmerzahlen ergeben sich hohe Zugriffszahlen und ein großer Datenfluss, wodurch die Zugriffskontrolle erschwert wird. Problematisch ist dabei, dass die cut-e GmbH externe Server verwendet, auf denen die Ergebnisse der Assessments ausgewertet und eigene Firmendaten gespeichert werden. Die Konfiguration, Pflege und Wartung erfolgt durch die eigenen Administratoren, wodurch besondere Anforderungen geschaffen werden.

Transparenz und Monitoring haben oberste Priorität

Anfang 2015 entschied cut-e, die eigene IT nach ISO 27001 zu zertifizieren, einem internationalen Standard für die Anforderungen an IT-Sicherheits-Management-Systeme in Bezug auf Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung. Deshalb entschied sich das IT-Team, die eigenen Sicherheitsvorkehrungen in Gänze zu prüfen, um die Transparenz der Systeme und gegenüber den Kunden weiter zu stärken.

Dabei stellte sich heraus, dass die manuelle Auswertung der Log-Daten unerwünschte Probleme aufwarf: Die Anzahl der Server-Verbindungen zu einem bestimmten Zeitpunkt zu bestimmen, stellte sich als unmöglich heraus. Bewerbern konnte auch nicht immer zufriedenstellend darüber Auskunft gegeben werden, wer in ihre Daten Einblick hat. Als größten Mangel benannte die IT-Mannschaft schließlich, dass im Notfall keine Beweissicherheit vorliegt, ob die Unternehmensdaten zu einem bestimmten Zeitpunkt wirklich sicher gewesen sind. Einerseits konnte man sich nicht sicher sein, ob ein Server bereits angegriffen wurde und ob dies vielleicht hätte früher erkannt werden können.

Um die notwendige Transparenz und Sicherheit zu erreichen, entschied man sich dafür, nach einer guten SIEM-Lösung zu suchen. Ein SIEM-System erlaubt es den IT-Verantwortlichen, unternehmensspezifische Anforderungen zu definieren, wann ein Sicherheitsereignis relevant ist und wie darauf reagiert werden soll. Namensgebend ist die Verbindung von Security Information Management (SIM) und Security Event Management (SEM).

Das klassische SIM vereint Informationen aus Netzwerk-Komponenten, Betriebssystemen und Applikationen in einer zentralen Sammlung der Log-Dateien. Darüber hinaus werden die Log-Daten analysiert und weitergeleitet. SEM-Lösungen wiederum überwachen die Netzwerkkommunikation und Datenmanipulationen anhand von Richtlinien und benachrichtigen die Nutzer über Vorkommnisse.

SIEM-Lösung als Transparenztipp

Das IT-Team suchte nach einer einfach zu handhabenden SIEM-Lösung, die es vor allen ermöglicht, die Systeme zu optimieren und zu überwachen. Die Priorität wurde auf Datenschutz gelegt. Deshalb sollte das System verwalten können, wer Zugang zu den Bewerberdaten und -reports erhalten darf. Die zuständigen Mitarbeiter sollten selbst festlegen, wie lange einzelne Daten archiviert werden müssen, um unnötige Datenmengen zu vermeiden.

Der Hosting-Dienstleister von cut-e konnte eine Lösung empfehlen: Nach einem engen Austausch mit dem Support, um technische Produktfragen zu klären, wurde die Lösung gekauft. Tobias Castillo, IT-Security-Manager der cut-e GmbH, resümierte nach der Anschaffung, dass sich diese schnell gelohnt hat. Das neue SIEM-System liefert umfangreiche Informationen über Server- und Netzwerkaktivitäten.

Die manuelle Auswertung der Log-Daten entfiel. Nach der Umstellung reicht eine Viertelstunde am Tag, um einen automatisierten Report über die Zugriffe und Ressourcen-Bewegungen innerhalb der Server-Farm und dem Netzwerk anzulegen. Der Report legt belastbare Fakten vor, mit denen Kundenanfragen bezüglich der Datensicherheit schnell und zufriedenstellend beantwortet werden können. Darüber hinaus lässt sich der aktuelle Sicherheitsstatus jederzeit belegen, um auch gegenüber den Bewerbern Bedenken und Zweifel zu zerstreuen.

Fazit

Das Beispiel cut-e zeigt, wie einfach es sein kann, passende Sicherheitslösungen zu finden, wenn die eigenen Schwachstellen, Anforderung und Ziele bekannt sind. Die letzten beiden Informationen helfen bei einer guten Beratung durch die IT-Sicherheitsanbieter. Wie bei cut-e lassen sich oft gute Lösungen finden, indem man verschiedene Sicherheitslösung miteinander vernetzt und diese auf die individuellen Bedürfnisse abstimmt.

Diese Artikel könnten Sie auch interessieren

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

Sensibles Wissen: Das neue Geschäftsgeheimnisgesetz

WISSENplus
Unternehmerisches Handeln und erfolgreiches Wirtschaften sind stets mit Risiko verbunden: Ob es um neue Produkte, externe Rahmenbedingungen oder Investitionsentscheidungen geht. Ein ernstzunehmendes Risiko sind allerdings auch Geschäftsgeheimnisse - zumindest dann, wenn sie nicht länger geheim sind. ...

Weiterlesen