Fachbeiträge

Ausgabe 4 / 2016
FachbeitragBest Practice

Datenschutz: Personaldienstleitungen müssen höchsten Sicherheitsstandards entsprechen

von Torsten Jüngling

Die Digitalisierung ist aus der heutigen Arbeitswelt nicht mehr wegzudenken. Mit der steigenden Mobilität und Dezentralisierung von Unternehmen und Angestellten sind Cloud- und Server-Lösungen unverzichtbar geworden. Mit dem steigenden Anspruch, von überall aus Zugriff auf wichtige Unternehmensdaten zu haben, müssen diese zunehmenden Schutz erfahren, um zwischen legitimen und unbefugten Zugriffen zu unterscheiden. So auch bei der cut-e GmbH. Die Firma gehört weltweit zu den Marktführern in der Entwicklung und Umsetzung von Online-Tests und Fragebögen für die Personalentwicklung. Über vier Millionen Online-Assessments hat cut-e bereits in 70 Ländern und 40 Sprachen durchgeführt.

Inhaltsübersicht:

Der Personaldienstleister cut-e GmbH sitzt in Hamburg und fordert hohe Sicherheitsstandards für seine Unternehmensdaten. Mit seinen Online-Tests und Fragebögen unterstützt das Unternehmen seine Kunden bei der Rekrutierung, Auswahl und Entwicklung ihrer Belegschaft, indem die Bewerber auf gesuchte Fähigkeiten und die gewünschten Persönlichkeitsmerkmale getestet werden. Dabei ist es die Verantwortung des Anbieters, die anfallenden Bewerberdaten vor unbefugten Dritten zu schützen.

Problemquellen: Sensible Daten und Zugriff durch Externe

Über vier Millionen Online-Assessments hat cut-e bereits in 70 Ländern und 40 Sprachen durchgeführt. Für die jeweiligen Anforderungen werden individuelle Tests erstellt, die auf die gewünschten Fertigkeiten und kulturellen Besonderheiten abgestimmt sind. Die verwendeten Methoden umfassen eine Bandbreite von Online-Fragebögen und -Testverfahren, die Aspekte wie logisches Denken, Sprachvermögen, mathematische Fähigkeiten oder Stressverhalten evaluieren. Die Roh- und Testdaten sind erfolgskritisch und erfordern daher sorgfältigen Schutz.Eine Internetverbindung und eine Mindestanzahl an Teilnehmern werden für einen typischen Test vorausgesetzt. Dieser kann weltweit oder räumlich beschränkt stattfinden, um beispielsweise im ersten Bewerbungsschritt von 3.000 Bewerbern die besten 300 herauszufiltern. Diese werden dann genauer getestet, bis den Personalverantwortlichen eine übersichtliche Zahl potentieller Mitarbeiter für persönliche Gespräche vorgeschlagen werden können.

Durch die hohen Teilnehmerzahlen ergeben sich hohe Zugriffszahlen und ein großer Datenfluss, wodurch die Zugriffskontrolle erschwert wird. Problematisch ist dabei, dass die cut-e GmbH externe Server verwendet, auf denen die Ergebnisse der Assessments ausgewertet und eigene Firmendaten gespeichert werden. Die Konfiguration, Pflege und Wartung erfolgt durch die eigenen Administratoren, wodurch besondere Anforderungen geschaffen werden.

Transparenz und Monitoring haben oberste Priorität

Anfang 2015 entschied cut-e, die eigene IT nach ISO 27001 zu zertifizieren, einem internationalen Standard für die Anforderungen an IT-Sicherheits-Management-Systeme in Bezug auf Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung. Deshalb entschied sich das IT-Team, die eigenen Sicherheitsvorkehrungen in Gänze zu prüfen, um die Transparenz der Systeme und gegenüber den Kunden weiter zu stärken.

Dabei stellte sich heraus, dass die manuelle Auswertung der Log-Daten unerwünschte Probleme aufwarf: Die Anzahl der Server-Verbindungen zu einem bestimmten Zeitpunkt zu bestimmen, stellte sich als unmöglich heraus. Bewerbern konnte auch nicht immer zufriedenstellend darüber Auskunft gegeben werden, wer in ihre Daten Einblick hat. Als größten Mangel benannte die IT-Mannschaft schließlich, dass im Notfall keine Beweissicherheit vorliegt, ob die Unternehmensdaten zu einem bestimmten Zeitpunkt wirklich sicher gewesen sind. Einerseits konnte man sich nicht sicher sein, ob ein Server bereits angegriffen wurde und ob dies vielleicht hätte früher erkannt werden können.

Um die notwendige Transparenz und Sicherheit zu erreichen, entschied man sich dafür, nach einer guten SIEM-Lösung zu suchen. Ein SIEM-System erlaubt es den IT-Verantwortlichen, unternehmensspezifische Anforderungen zu definieren, wann ein Sicherheitsereignis relevant ist und wie darauf reagiert werden soll. Namensgebend ist die Verbindung von Security Information Management (SIM) und Security Event Management (SEM).

Das klassische SIM vereint Informationen aus Netzwerk-Komponenten, Betriebssystemen und Applikationen in einer zentralen Sammlung der Log-Dateien. Darüber hinaus werden die Log-Daten analysiert und weitergeleitet. SEM-Lösungen wiederum überwachen die Netzwerkkommunikation und Datenmanipulationen anhand von Richtlinien und benachrichtigen die Nutzer über Vorkommnisse.

SIEM-Lösung als Transparenztipp

Das IT-Team suchte nach einer einfach zu handhabenden SIEM-Lösung, die es vor allen ermöglicht, die Systeme zu optimieren und zu überwachen. Die Priorität wurde auf Datenschutz gelegt. Deshalb sollte das System verwalten können, wer Zugang zu den Bewerberdaten und -reports erhalten darf. Die zuständigen Mitarbeiter sollten selbst festlegen, wie lange einzelne Daten archiviert werden müssen, um unnötige Datenmengen zu vermeiden.

Der Hosting-Dienstleister von cut-e konnte eine Lösung empfehlen: Nach einem engen Austausch mit dem Support, um technische Produktfragen zu klären, wurde die Lösung gekauft. Tobias Castillo, IT-Security-Manager der cut-e GmbH, resümierte nach der Anschaffung, dass sich diese schnell gelohnt hat. Das neue SIEM-System liefert umfangreiche Informationen über Server- und Netzwerkaktivitäten.

Die manuelle Auswertung der Log-Daten entfiel. Nach der Umstellung reicht eine Viertelstunde am Tag, um einen automatisierten Report über die Zugriffe und Ressourcen-Bewegungen innerhalb der Server-Farm und dem Netzwerk anzulegen. Der Report legt belastbare Fakten vor, mit denen Kundenanfragen bezüglich der Datensicherheit schnell und zufriedenstellend beantwortet werden können. Darüber hinaus lässt sich der aktuelle Sicherheitsstatus jederzeit belegen, um auch gegenüber den Bewerbern Bedenken und Zweifel zu zerstreuen.

Fazit

Das Beispiel cut-e zeigt, wie einfach es sein kann, passende Sicherheitslösungen zu finden, wenn die eigenen Schwachstellen, Anforderung und Ziele bekannt sind. Die letzten beiden Informationen helfen bei einer guten Beratung durch die IT-Sicherheitsanbieter. Wie bei cut-e lassen sich oft gute Lösungen finden, indem man verschiedene Sicherheitslösung miteinander vernetzt und diese auf die individuellen Bedürfnisse abstimmt.

Diese Artikel könnten Sie auch interessieren

wissensmanagement Heft 1 / 2019
Praxis Wissensmanagement       IT-Sicherheit

Wirtschaftsspionage: Die reale Gefahr für das wettbewerbskritische Kernwissen

von Burkhart Freier

Artikel lesen


wissensmanagement Heft 1 / 2019
Praxis Wissensmanagement       Trends

Die gläserne Firma: Sensibles Wissen in Gefahr

von David Wollmann

Artikel lesen


wissensmanagement Heft 6 / 2018
Digitalisierung       Gesetzgebung

Cybersecurity Act: Mehr Sicherheit im digitalen Raum?

von Simone Rosenthal

Artikel lesen


Online Fachbeiträge Ausgabe 10 / 2018
Fachbeitrag       IT-Sicherheit

Cyber-Attacken: Den Tätern auf der Spur

Artikel lesen


wissensmanagement Heft 2 / 2018
Digitalisierung       IT-Sicherheit

IT-Administrationskontrolle: Mit der EU-DSGVO vereinbar?

von Tilman Dralle

Artikel lesen