Die Diskussion zur Sicherheit

Im ersten Teil unserer Blog-Trilogie haben wir uns der Frage gewidmet, welche Auswirkungen die All-IP Umstellung auf die Effektivität bestehender Kommunikationsprozesse hat. Dieser zweite Teil beleuchtet die Entscheidung für oder gegen das Fax aus Sicht der IT-Sicherheit. Nicht zuletzt aufgrund der DSGVO gelten für Unternehmen bei der Kommunikation immerhin strenge Datenschutzvorgaben.

Aus einer Datenschutz-Perspektive ist das Versenden von personenbezogenen Daten und vertraulichen Informationen per Fax als riskant einzustufen: „Beim Telefaxverfahren handelt es sich um einen Dienst, der grundsätzlich keine Datensicherheitsmaßnahmen enthält, der das Telefonnetz als Transportweg nutzt und in der Regel einen offenen Ausdruck beim Empfang entstehen läßt.“ Dementsprechend kritisch sehen die deutschen und europäischen Datenschutzbehörden „die Sorglosigkeit im Umgang mit diesem Medium.”

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet die Anforderungen auf, welche ein Unternehmen erfüllen muss, damit der Einsatz von Faxgeräten als konform mit den gesetzlichen Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) gelten kann. Wir haben sie in einer praktischen Checkliste zum Download für Sie zusammengefasst. Wie viele der Punkte werden in Ihrem Unternehmen tatsächlich erfüllt - nicht nur auf Papier, sondern auch bei gelebten Prozessen im Arbeitsalltag? Seien Sie hart und ehrlich mit sich selbst! Kommt es erst zu einem Datenleck, werden die Geschädigten und Aufsichtsbehörden auch nicht nachsichtig mit Ihnen sein!

Selbst wenn eine Organisation allen diesen Punkte gerecht wird, sind gerade einmal die Ansprüche zum Grundschutz erfüllt. Besteht ein erhöhter Datenschutzbedarf, wie etwa bei rechtlichen, medizinischen, finanziellen oder strategischen Daten, werden diese noch erheblich strikter. Kommt es zu einem Datenleck und die Organisation kann nicht nachweisen, dass die erforderlichen Sicherheitsmaßnahmen eingehalten wurden, kann dies eklatante Folgen haben - von Vertauensverlusten über Imageschäden bis zu Geldbußen für DSGVO-Verstöße.

Dies bringt uns zurück zur leicht schizophrenen Einstellung der Deutschen zum Thema Datenschutz. Auf der einen Seite sind wir im europäischen Vergleich extrem kritisch, was den Umgang mit unseren personenbezogenen Daten betrifft. Immerhin gibt es gute Gründe für dieses kollektive Misstrauen im Kulturgedächtnis der Deutschen. Beim Einsatz von Faxgeräten im beruflichen Umfeld scheinen die gleichen Einwände jedoch nicht zu gelten. Vorbehalte werden abgetan und oft ist die Macht der Gewohnheit oder sogar reine Nostalgie das einzig vorgebrachte Gegenargument.

Eine der Annahmen, die sich hartnäckig halten, ist zum Beispiel, dass der Sendenachweis per Fax einen rechtssicheren Beweis darstellen würde, dass ein Dokument termingerecht einen bestimmten Empfänger erreicht hat. Das BSI und der Bundesgerichtshof stellen dagegen klar, „dass die Rechtsverbindlichkeit einer Faxsendung stark eingeschränkt ist” - mitunter auch, weil ein Fax bei der Übertragung leicht abgehört oder manipuliert werden kann.

Andere argumentieren, das Fax sei gerade sicher, weil es ja nicht hackbar wäre. Auch diese Annahme entspricht aber nicht der Realität. Check Point Research hat eindrucksvoll nachgewiesen, dass Faxgeräte sogar besonders kritische Schwachstellen im IT-Sicherheitskonzept einer Organisation darstellen können. Mit ihrem sogenannten „Faxploit”-Experiment haben sie aufgezeigt, wie viel Schaden ein Hacker „with merely a phone line at his disposal and equipped with nothing more than his target`s fax number” anrichten kann. Falls Sie Kollegen haben, die das Risiko noch vollständig verleugnen, zeigen Sie diesen das Video zum Hack.

Richtig aufwendig wird es, wenn es um die Kommunikation von vertraulichen oder personenbezogenen Daten durch Ihre Organisation geht. Um die Vorgaben der DSGVO zu erfüllen, fordern die Datenschutzbehörden dabei folgenden Prozess: 

Personenbezogene Daten (beispielsweise Sozial-, Steuer-, Personal- und medizinische Daten) dürfen nur im Ausnahmefall unter Einhaltung zusätzlicher Sicherheitsvorkehrungen per Fax übertragen werden. So sind insbesondere mit der Empfängerin und dem Empfänger der Sendezeitpunkt und das Empfangsgerät abzustimmen, damit das Fax direkt entgegengenommen werden kann und vor der Einsichtnahme Dritter geschützt ist. Die Absprachen schützen auch vor Fehlleitungen beispielsweise aufgrund veralteter Anschlussnummern oder aktivierter Anrufumleitungen bzw. -weiterleitungen.

Der Erhalt Fax-basierter Kommunikationsprozesse erfordert also sowohl Handlungsbedarf im Hinblick auf die All-IP Umstellung als auch umfassende Sicherheits- und Prozess-Maßnahmen zum Erfüllen der gesetzlichen Vorgaben für Datenschutz und IT-Sicherheit nach DSGVO. 

Und doch verbleiben Widerstände gegen das Abschalten der Faxgeräte...

Wir hoffen, dass diese Zusammenstellung Ihnen bei der internen Diskussion weiterhilft.
Wer alle drei Teile als Gesamtpaket herunterladen möchte, findet das Whitepaper zu unserer Blog-Trilogie unter diesem Link als PDF zum kostenlosen Download.

ZIVVER unterstützt Sie gerne bei der Umstellung von Kommunikationsprozessen vom Fax auf sichere E-Mails. Nehmen Sie Kontakt mit uns auf!

Whitepaper zum Thema „Fax oder fertig?”

 

Ähnliche Blogs
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen
Datentransfer

Datentransfer versus Datenschutz? Was beim Austausch von Dateien sicher (nicht) geht.

Arbeiten von zu Hause und sozialer Alltag trotz Distanzierung - das erfordert und fördert den digitalen Austausch von Informationen, um Prozesse am Laufen zu halten. Damit der digitale Datentransfer nicht nur aus Sicht des Infektionsschutzes, sondern auch mit Blick auf den Datenschutz sicher ist, erinnern wir hier an zentrale Risiken und warum sie sich nur mit einem […]

Weiterlesen
Datentransfer

Datentransfer versus Datenschutz? Was beim Austausch von Dateien sicher (nicht) geht.

Arbeiten von zu Hause und sozialer Alltag trotz Distanzierung - das erfordert und fördert den digitalen Austausch von Informationen, um Prozesse am Laufen zu halten. Damit der digitale Datentransfer nicht nur aus Sicht des Infektionsschutzes, sondern auch mit Blick auf den Datenschutz sicher ist, erinnern wir hier an zentrale Risiken und warum sie sich nur mit einem […]

Weiterlesen