Ob Desktop-Computer oder Laptop, bei Hardware aus dem IT-Leasing ist die Rückgabe nur eine Frage der Zeit. Dann muss sichergestellt sein, dass sich keine personenbezogenen Daten auf den Geräten befinden. Doch viele Leasingnehmer unterschätzen die notwendigen Vorkehrungen, um ein angemessenes Datenschutzniveau zu erreichen.
Leasing von Hardware und das unterschätzte Datenschutzrisiko
IT-Leasing liegt im Trend, was gute Gründe hat. Viele Unternehmen mögen z.B. die gebotene Flexibilität. Sie können die Hardware nutzen, die augenblicklich benötigt wird. Zugleich können Mitarbeitern mehr Optionen geboten werden, wie beispielsweise die Wahl zwischen PC und Mac / Apple Hardware.
Doch was den Datenschutz betrifft, so gehen mit dem IT-Leasing gegenüber dem Einsatz gekaufter Hardware mehr Risiken einher. Eigene Hardware befindet sich meist länger im Einsatz und muss im Rahmen der Ausmusterung nicht funktionsfähig an Dritte übergeben werden. Einige Unternehmen besitzen beispielsweise Shredder, um Festplatten zu vernichten.
Bei geleasten Geräten ist dies anders. Sie haben ein End of Life (EOL) und werden am Laufzeitende zurückgegeben, um anderswo erneut eingesetzt zu werden. Es gibt Händler, die Leasingrückläufer von Leasingunternehmen aufkaufen und dann in Umlauf bringen. Oft sind es Unternehmen im Ausland sowie private Nutzer, die solche Geräte erwerben.
Das größte Risiko besteht darin, dass der künftige Besitzer über ein solches Gerät direkten Zugriff auf Daten mit Personenbezug erhält. Es droht ein Datenschutzverstoß, der teuer endet.
Die häufigsten Gefahrenquellen
Noch vor der ersten Inbetriebnahme ist zu bedenken, dass geleaste Laptops, Workstations, Smartphones und Tablets nach der Rückgabe von Dritten genutzt werden. Sollte die Löschung von Daten vergessen worden sein, wird es für den Datenschutz kritisch. Besonders wenn folgende Gefahrenquellen existieren.
- Fehlende Verschlüsselung: Direkt auf dem Gerät gespeicherte Daten sollten verschlüsselt sein. Andernfalls können Dritte, die das Gerät später besitzen, ungelöschte Daten auslesen.
- Datenspeicherung auf dem Gerät: Im Idealfall werden Daten gar nicht erst auf dem Gerät gespeichert, sondern in der Cloud. Dateien, die nicht vorhanden sind, können nicht gefunden werden.
- Schwache Benutzernamen und Passwörter: Aufkleber mit Benutzernamen oder Netzwerkadressen (und manchmal sogar den zugehörigen Passwörtern) sind überraschend oft an Computern zu finden. Sind Benutzernamen und Passwörter gut zugänglich, haben Angreifer leichtes Spiel.
Lösungsansätze für mehr IT-Sicherheit
Es existieren verschiede Ansätze, um derartige Gefahren und Risiken zu minimieren. Im Wesentlichen lassen sie sich in drei Stufen unterteilen.
- Konfiguration: Eine gute Konfiguration stellt sicher, dass Daten ausschließlich an den vorgesehenen Orten gespeichert werden und beispielsweise eine Verschlüsselung existiert.
- Schulung der Mitarbeiter: Schulungen zu Security Awareness und ausgewählten Applikationen vermitteln Mitarbeitern, wie die Nutzung der Geräte erfolgen soll. Es kann über Fehler und Gefahrenquellen aufgeklärt werden, wodurch sich die Risiken im Datenschutz verringern.
- Klar definierter EOL-Prozess: Beim Einsatz von Leasinggeräten führt hieran kein Weg vorbei. Es muss eindeutig geregelt sein, welche Maßnahmen im Rahmen der Rückgabe zu treffen sind und bei wem die Verantwortlichkeit liegt.
EOL-Prozesse bei geleaster Hardware
Klar definierte EOL-Prozesse, welche die Rückgabe von Leasing-Hardware regeln, sind aus mehreren Gründen wichtig. Sie dienen der technischen Vorbereitung und abschließend auch als Kontrollinstanz: Sollten sich beispielsweise Daten auf Laufwerken befinden oder USB-Sticks am Computer eingesteckt sein, lässt sich dies feststellen.
Letztlich geht es darum, die Geräte bereit zu machen und einer Endkontrolle zu unterziehen. Es bietet sich an, mit Checklisten zu arbeiten. Eine genaue Dokumentation ist empfehlenswert, damit im Ernstfall nachvollziehbar ist, welches Gerät zu welchem Zeitpunkt ausgemustert / zurückgegeben wurde.
Datenschutz und Informationssicherheit für Ihre IT
Beim Einsatz von IT lauern zahlreiche Risiken, Ihr erreichtes Niveau im Datenschutz bedrohen. Bei Fragen rund um Datenschutz und Informationssicherheit stehen wir Ihrem Unternehmen gerne zur Seite. Nutzen Sie unsere kostenlose Erstberatung.