Die letzten Tage wurde ein Thema ausgiebig in anderen Medien diskutiert: Das papierlose Büro. Cashys Blog beleuchtete aus Sicht der privaten Nutzung, Dr.Windows danach durch die Nutzung einer SharePoint App im Unternehmensbereich. Eine interessante Diskussion, wenngleich für den Einsatz in Unternehmen weitaus mehr Dinge als ein mobiler Datenbankzugriff notwendig sind. Blicken wir etwas tiefer in die Materie.
Man könnte einiges an Platz sparen und das Chaos auf dem Schreibtisch oder im Regal beseitigen: das papierlose Büro. Manche wünschen es sich, andere wollen es nicht, da sie das Gefühl von einem Blatt Papier in der Hand als haptisches Feedback brauchen. Doch stellen wir uns einmal vor, dass wir in einem papierlosen Büro arbeiten. Was bräuchte man dafür?
Privatpersonen
Für Privatpersonen gibt es einige Lösungen:
- Einscannen per Gerät (Scanner) oder per App (z.B. OfficeLens)
- Auf der Festplatte, dem NAS oder in der Cloud speichern
- Mit oder ohne OCR Texterkennung
- Digitale Posteingänge direkt archivieren
Als Nutzer sollte man sich aber einige Fragen stellen:
- Ist mir der Speicherort wichtig (z.B. Cloudserver nur in den USA)?
- Will ich meine personenbezogene Daten einem Dienst anvertrauen?
- Kann ich mir daheim selbst etwas wie ein NAS implementieren?
- Von wo aus soll ich Zugriff auf die Daten haben?
- Brauche ich eine Synchronisation zwischen mehreren Geräten?
- Habe und brauche ich eine Backup Lösung?
- Müssen die digitalen Kopien durchsuchbar sein?
- Wieviel bin ich bereit für bestimmte Lösungen zu bezahlen?
Hier eine Allzweck-Lösung zu nennen ist schier unmöglich.
Unternehmen
Datenschutz
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 14. April 2016 durch das EU-Parlament beschlossen worden und löst damit die alte Richtlinie von 1995 ab. Sie ist am 04.05.2016 im Amtsblatt der Europäisches Union veröffentlicht worden und tritt damit am 25.05.2016 in Kraft. Anwendbar ist sie damit ab dem 25. Mai 2018 und wird ab diesem Datum einiges verändern.
Die EU-DSGVO senkt das deutsche Datenschutzniveau. Nicht nur der Datenschutzbeauftragte ist in Gefahr, sondern auch der Zweckbindungsgrundsatz. Und die Datenschutz-Aufsichtsbehörden werden sich dem kaum entgegenstellen können.
Alleine aus dieser Grundverordnung ergeben sich zahlreiche Vorgaben, die durch nachfolgende Punkte teilweise in diesem Artikel abgehandelt werden.
Generell muss aber eins gesagt werden: Die derzeitige Rechtslage sieht ein papierloses Büro gerade in Behörden nicht vor. Hier besteht Handlungsbedarf.
Ablageort
Der digitale Speicher soll den Aktenordner ersetzen. Papier ist geduldig, kann lange gelagert werden, wird meist nur durch Feuer, Feuchtigkeit oder Motten zerstört und nimmt einiges an Platz in Anspruch.
In der heutigen Zeit sind große Speichermengen erschwinglich geworden. In einem Unternehmen greift man eher zu einer zentralen Speicherlösung, d.h. ein zentraler Server. Somit haben Mitarbeiter immer Zugriff auf Ihre Daten, auch wenn sie mal den Arbeitsplatz wechseln. Und ein zentraler Server kann durch verschiedenste Backup Möglichkeiten und Konfigurationen vor einem großen Datenverlust geschützt werden.
Manch ein Unternehmen setzt aber eine Cloud oder Hybrid Lösung ein.
Bei beiden Ablageorten (In-House / Cloud) müssen Richtlinien eingehalten werden. So kann ein deutsches Unternehmen zum Beispiel keine Cloud Lösung aus den USA nutzen, da in den USA laut EuGH (Grundsatzurteil über Safe Harbor) nicht dasselbe Schutzniveau für Daten wie in der EU vorherrscht. Es gelten also die nationalen und EU Vorgaben; und das sind einige. Mehr dazu in einem der nächsten Punkte.
Netzwerksicherheit
Unternehmen (und einige Privatpersonen) sind darauf bedacht, ihre Netzwerke nach außen hin abzusichern. Gerade in Zeiten von Smartphones und dessen geschäftliche Nutzung. Nicht jeder soll / darf Zugriff auf interne Daten erhalten.
Dazu werden in Unternehmen Firewalls, Proxy-Server und VPN Verbindungen eingesetzt, die den Netzwerkdatenaustausch kanalisieren.
Auch die Authentifizierung spielt hier eine große Rolle (Wortspiel). Unternehmen müssen ein Rollenmanagement mit einem dahinterliegenden Zugriffsmanagement etablieren. Somit kann man mit IT-Richlinien innerhalb einer gut durchdachten Netzwerkadministration den Zugriff auf einzelne Daten regeln.
Einige Unternehmen, darunter erstaunlicherweise auch US-Strafverfolgungsbehörden, verwalten Großteile ihrer Flotte von mobilen Kommunikationsgeräten über Microsoft ActiveSync. Die Plattform ist “kostenlos”, spart Geld und ist eh vorhanden, da sie zur E-Mail-Kommunikation verwendet wird. Nur wie sieht es in regulierten Organisationen oder Regierungsorganen aus? Denn in diesen Kreisen sind sensible Daten besonders schützenswert.
ActiveSync fehlen Grundvoraussetzungen in Sachen Sicherheit. Es gibt keine effektive Möglichkeit Aktualisierungen des Betriebssystems oder der Anwendungen durchzusetzen. Diese Limitierung birgt hunderte von potentiellen Sicherheitslücken und setzt die Daten einem unnötigen Risiko aus.
Die IT-Abteilung kann zwar eine Datenverschlüsselung auf den Geräten einstellen, aber ohne Aktualisierungen können diese trotzdem nicht sicher sein. Desweiteren können die ActiveSync Richtlinien umgangen werden.
MDM / EMM
Daher ist der Einsatz eines Mobile Device Management (MDM) / Enterprise Mobility Management (EMM) unumgänglich. (Weitere Informationen zu MDM / EMM mit Microsoft)
Diese Software Lösungen übernehmen die Verwaltung und Kontrolle der Geräte und der Daten. Diese Serversoftware ist entweder in der Cloud oder on-premise (auf In-House-IT) installiert.
Stellt das Unternehmen eigene Endgeräte zur Verfügung, wird MDM als erweiterte Client Verwaltung eingesetzt.
Mit diesen Systemen können Unternehmen Daten auf den Geräten (Mobile und Desktop) durch Container (nativ oder aufgesetzt) sicher verwalten und auch den Transport sichern. Denn gerade mobile Endgeräte können leicht abgehört werden. Zur Übertragung wird das Medium Luft genutzt, daher hinterlässt ein Angreifer keine Spuren wenn er eine Antenne zum Abgreifen der Signale nutzt (ausgenommen Richtfunkstrecken, hier muss der sich Angreifer in direkter Sichtverbindung der Sende-/Empfangsstellen befinden).
Nun arbeiten aber Unternehmen nicht nur intern sondern auch extern: Kunden, Lieferanten, Partner usw.
Wie soll man also Daten sicher extern austauschen? Man muss ja nicht jeden Externen einen Gastzugang einrichten.
EFSS
Man könnte natürlich Daten für externe Zugriffe auf eine Cloud hochladen oder eigenen Serverplatz nach außen hin freigeben. Beides unsicher und in regulierten Organisationen nicht zulässig. Daher setzt man unter anderem Enterprise File Sync and Share (EFSS) Systeme ein.
Einige dieser Lösungen sind sehr ausgereift: Versendet man einen Anhang an externe Empfänger, nimmt das EFSS System den Anhang aus der E-Mail, lädt die Datei auf den Server, verschlüsselt diese und setzt einen Link zu dieser Datei.
Somit hat man ein DRM auf Datei-Ebene. Nur die berechtigten Personen erhalten Zugriff, der auch feinreguliert gesteuert werden kann: zeitlich begrenzt oder eingeschränkte Schreibrechte.
Sollte der externe Empfänger aber denselben Client nutzen, kann er auch über diesen direkt auf die Daten zugreifen, da der Sender ihn ja explizit den Zugriff gewährt hat.
Microsoft geht in Bezug auf MDM Engeräteverwaltung, private/berufliche Daten auf Endgeräten und EFSS mit Enterprise Data Protection (EDP) einen anderen Weg.
Zitat Microsoft:
Bei vielen vorhandenen Lösungen wird versucht, das Problem zu lösen, indem Mitarbeiter zwischen persönlichen und geschäftlichen Containern und Apps umschalten müssen. Dies kann zu einer Benutzererfahrung führen, die nicht optimal ist. Das Feature mit dem Codenamen „Enterprise Data Protection (EDP)“ – also Schutz von Daten für Unternehmen – ermöglicht eine bessere Benutzererfahrung. Gleichzeitig werden die Apps und Daten des Unternehmens besser getrennt und unternehmenseigene und persönliche Geräte vor dem Risiko der Offenlegung geschützt, ohne dass Änderungen an Umgebungen oder Apps erforderlich sind. Außerdem kann EDP bei Verwendung in Verbindung mit Rights Management Services (RMS) zum lokalen Schutz von Unternehmensdaten beitragen. Der Schutz wird auch aufrechterhalten, wenn Datenroaming genutzt wird oder Daten geteilt werden.
Authentifizierung
Privatpersonen kennen vielleicht PostIdent. Der Postbote kann die Identität des Empfängers anhand des Personalausweises bestätigen. Oder auch durch den digitalen Ausweis und einem zertifizierten Kartenlesegerät sich online ausweisen. In einem papierlosen Unternehmen müsste man dies auch.
Unternehmen erstellen sich ein eigenes Zertifikat, das zur Identifizierung auf mehreren Ebenen genutzt wird. Mitarbeiter werden am Anfang ins System eingepflegt und es muss eine Rolle hinter dem Nutzer eingerichtet werden, die alle zuvor genannten Punkte abdeckt.
Es gibt einige Lösungen für eine Zwei-Faktor-Authentifizierung, die eine eindeutige Identitätsprüfung gewährleisten. Auch hier zählen die zuvor genannten Punkte dazu.
Mobile Application Builder
Den Einsatz von Papier und Arbeitsabläufen können Unternehmen einsparen, wenn sie auch mobil auf Quelldatensysteme Zugriff erhalten.
Durch eine gesicherte Anbindung erhalten Mitarbeiter Schreib- und Lesezugriffe auf die Daten des Unternehmens. So kann ein Außendienstmitarbeiter Daten eines neuen Auftrags mobil erhalten und nach dem Termin alle neu gewonnen Daten direkt mobil eingeben.
Um bei Microsoft zu bleiben könnte man Sharepoint einsetzen. Oder eine Lösung auf MySQL oder Domino.
Archivierung
Als Reaktion auf die schwere Finanzmarkt- und Wirtschaftskrise im Jahr 2008 einigten sich die G20-Staaten auf eine strengere Regulierung des Finanzsektors. Ergebnis war das Basel III Konzept. Es gab auch seit 2004 die Richtlinie über Märkte für Finanzinstrumente (MiFid), das durch Durchführungsrichtlinie und -verordnung konkretisiert wurde. Daher gilt neben dem Gesundheits- und Regierungs- auch im Finanzsektor eine Archivierungspflicht.
Um beim Beispiel des Finanzsektors zu bleiben:
Basel III und MiFid II wurden in zahlreichen Gesetzen umgesetzt, in Deutschland zum Beispiel im Gesetz über den Wertpapierhandel (WpHG) und in der Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsanforderungen für Wertpapierdienstleistungsunternehmen (WpDVerOV).
Nach Artikel 16 Absatz 7 MiFid II ergibt sich eine Aufbewahrungspflicht von 5 Jahren, auf Verlangen der Aufsichtsbehörden sogar 7 Jahre.
Dazu kommen noch Richtlinien wie zum Beispiel der Financial Industry Regulatory Authority (FINRA), Federal Rules of Civil Procedure (FRCP), Sarbanes-Oxley Act (SOX) und Dodd–Frank Wall Street Reform and Consumer Protection Act (Dodd-Frank), die alle ein Audit und eine Archivierung der Kommunikation notwendig machen.
Viele der oben genannten Systeme setzen eine Ende-zu-Ende Verschlüsselung ein. Doch wie soll dann zentral archiviert werden?
Die Daten werden auf den Endgeräten erneut verschlüsselt und gesichert zum zentralen Speicherort übertragen.
Fazit
Für Unternehmen ergeben sich zahlreiche Herausforderungen und Vorgaben für den Einsatz digitaler Kommunikation und erfordern eine gesamtheitliche IT-Infrastruktur. Es kommt auch auf das Geschäftsumfeld, -größe und die dazugehörigen Verpflichtungen an. Systemhäuser haben die erforderlichen Kompetenzen inne und stehen zur Beratung, Dokumentation und Implementierung zur Seite.
Privatpersonen sind selbstverantwortlich für ihre Daten und es gibt wie oben beschrieben einige Lösungen.
Wie sichert ihr eure Daten?
Bildquelle: Florian Lapiz
Sehr geiler Artikel. Bitte macht sowas ab und zu mal! Auch das Thema zu vertiefen vielleicht mal Office 365 Business und Microsoft Intune belichten inkl. MDM Möglichkeiten auf Android, iOS und W10M natürlich. Die Containerlösungen, Apps darin und deren Verhalten und Datei DRM wäre auch ein geiles Thema inkl BYOD Und Privat und Geschäftlicher Nutzung auf einem Lumia z.B.
Ich werde in den vorgegebenen weiter mal Nachforschen. Privat habe ich schon ein paar Jahre das Papierlose Büro. Nur archivieren der Papiere muss man trotzdem größtenteils. Auf der Arbeit, in einer Runde war mein prinzip gut angekommen, jetzt habe ich das Thema zusätzlich am Hals . Dabei gibt es immer noch genug die lieber ein Papier in der Hand halten wollen.
Finde ich auch, sehr cooler Artikel! Hab grad nur Zeit um ihn zu überfliegen, muste den Artikel aber direkt an mich teilen, zum später konzentriert komplett lesen 😀
Interessantes Thema, aber nicht neu. Trotzdem sehr guter Artikel. Die Zeiten haben sich geändert, die Technik auch… das Papier ist aus den Büros dennoch nicht verschwunden. So ist das Thema Digitalisierung nicht neu, aber auch lange noch nicht abgeschlossen. Beide Themen hängen eng miteinander zusammen bzw. voneinander ab. Je mehr das Büro digitalisiert ist, umso weniger Papier wird benötigt. Kein Wunder, dass es die IT-Abteilungen sind, die bei diesem Thema ganz vorne mit dabei sind. Dass das Papier sicherer ist als das digitale Speichermedium bezweifle ich. Ganz egal in welchem Staat die Cloud-Speicher stehen… ob in den USA oder hier… Weiterlesen »
Schon Anfang der Neunziger kam der Gedanke, beleglos alles zu archivieren auf, wurde aber von Ämtern und Behörden damals nicht akzeptiert.
Privat habe ich aber seitdem alles digital; anfangs auf mehreren Platten mit Allsync, heute darüber hinaus auf Online-Speicher und zwei räumlich unabhängige NAS-Server.
Im privaten „Büro“ nur ein Ordner für amtliche Dokumente und notarielle Verträge.
… Gibt es Office Lens den auch für windows Tablets?
Ja! Klaube schon.
Ich digitalisiere seit 2010 unter PDF/A und OCR. Mit einen NAS in Modus Raid (Gespiegelt) und anderen Backup Medien. Das Netzwerk ist Autark ohne Imternet Anbindung.
Hallo Ben, der Artikel ist sehr gut. Nur habe ich eine Frage zu dem Datum, in Deinem Artikel schreibst Du ….“die alte Richtlinie von 1995 ab. Sie ist am 04.05.2016 im Amtsblatt der Europäisches Union veröffentlicht worden und tritt damit am 25.05.2016 in Kraft. Anwendbar ist sie damit ab dem 25. Mai 2018 und wird ab diesem Datum einiges verändern….“ Stimmt das Datum für die Anwendbarkeit 25. Mai 2018 (sprich noch zwei Jahre)?
Ein Büro ohne Papier ist natürlich grundsätzlich gut, aber es darf dadurch nicht die Stromverbrauch steigen, denn dann ist man wieder in der CO2-Falle.