So geht sichere Vorstands- und Gremienkommunikation

Auch Gremien und Vorstände bleiben nicht von Cyberattacken verschont. Immerhin hantieren sie mit sensiblen Daten, aus denen sich aus Sicht der Kriminellen gut Kapital schlagen lässt. Zwar schadet ein Datenleck auf Führungsebene allein schon dem Image des Unternehmens und zieht bisweilen herbe juristische Konsequenzen nach sich - insbesondere, wenn es sich um personenbezogene Daten handelt.

Wesentlich dramatischer ist es jedoch, wenn es um die Wahrung von Geschäftsgeheimnissen geht. Im schlimmsten Fall veröffentlichen die Hacker gestohlene Daten oder verkaufen sie gar an die Konkurrenz, die somit Zugang zu wertvollem Know-how, geheimen Geschäftsstrategien oder Finanzdaten bekommen.

Handelt es sich bei der geschädigten Firma dann auch noch um ein börsennotiertes Unternehmen und sind die durchgesickerten Informationen von wesentlicher Natur (wie etwa geplante Firmenübernahmen, Fusionen oder unerwartete Gewinneinbrüche), drohen erhebliche Strafen durch die Börsen-, beziehungsweise Wertpapieraufsicht, die bei großen Unternehmen gut und gerne im Milliarden-Bereich liegen können.

Umso verwunderlicher ist es, wie nachlässig mit solch kritischen Informationen häufig auch auf Vorstandsebene umgegangen wird. Dabei ist es denkbar einfach, virtuelle Gremiensitzungen sicher und gleichzeitig effizient zu gestalten. Virtuelle Datenräume zum Beispiel sind ein probates Mittel dafür. Mit den erforderlichen Schutzmaßnahmen und Funktionen versehen, gestatten sie einen bequemen und ungestörten sicheren Austausch vertraulichster Informationen. Hier gilt es lediglich, einige wenige Punkte zu beachten.

So sorgen Sie für eine sichere und effiziente Gremienkommunikation

Das A und O einer virtuellen Konferenz: Der digitale Datenraum muss allerhöchsten Sicherheitsvorschriften entsprechen. Um ein risikofreies Sitzungsmanagement zu gewährleisten, sollte er allerdings zudem diese sechs Must-haves aufweisen:

Must-have 1: Zertifizierte Sicherheit

Für eine Gremienkommunikation ist es unabdingbar, dass der virtuelle Datenraum ein sehr hohes Sicherheitsniveau besitzt, nachgewiesen durch eine hohe Schutzklasse für Cloud-Dienste (idealerweise zertifiziert nach TCDP-Schutzklasse III). Dies gewährleistet, dass die Daten während der Übertragung, Speicherung, und Verarbeitung geschützt und unautorisierte Zugriffe technisch ausgeschlossen sind.

Must-have 2: Betreiberabschirmung: Ebenso wichtig: das Thema "Datenhoheit". Ausschließlich die Gremium- beziehungsweise Vorstandsmitglieder sollten bestimmen können, wer Zugriff auf die Daten hat. Durch technische Vorkehrungen wie die Sealed-Cloud-Technologie ist sichergestellt, dass weder IT-Administratoren noch Cloud-Dienste jemals auf die darin befindlichen sensiblen Informationen zugreifen können. Selbst der Betreiber des Datenraums ist hiervon völlig abgeschirmt.

Must-have 3: Lizenz- und Gästeverwaltung

Auch wenn die Hoheit über die Daten im Gremium verbleibt, heißt das nicht, dass alle, die Zugang zum virtuellen Datenraum haben, automatisch Zugriff auf alle darin enthaltenen Dokumente haben sollen. Hierfür sollte der Datenraum die Möglichkeit bieten, Zugriffsberechtigungen individuell auf Benutzer- und Dokumentenebene festzulegen. Der Administrator des Datenraums kann somit Lese- und Schreibzugriffe erteilen und bestimmen, wer Daten löschen oder weiterleiten darf. Auch sinnvoll: Eine Funktion, mit der sich der Zugriff auf Dateien und Dokumente auf einen bestimmten Zeitraum begrenzen lässt.

Must-have 4: Einsatz gängiger Technologien

Gerade für Gremiumsmitglieder, die häufig auf Dienstreise sind, ist es unabdingbar, von extern Zugang zu allen nötigen Unterlagen zu haben. Der sichere Zugriff auf den Datenraum muss also auch via Mobilgerät jederzeit möglich sein. Das wiederum heißt, dass ebenso auf dem Tablet, Notebook oder Smartphone dafür gesorgt sein muss, dass die Dokumente verschlüsselt sind und sich zudem von der Ferne aus löschen lassen, sollte das Gerät abhanden kommen.

Ebenfalls hilfreich ist eine Synchronisierungsfunktion, die es dem Anwender erlaubt, auch offline - also ohne Netzwerkverbindung - weiter mit den heruntergeladenen Daten zu arbeiten. Ein weiterer Knackpunkt: Da auch bei der Gremienkommunikation gängige Technologien für Videokonferenzen wie Microsoft Teams zum Einsatz kommen, sollte der Datenraum auf jeden Fall eine entsprechende Integration dieser Software ermöglichen.

Must-have 5: Compliance- & Revisionssicherheit

Aufgrund von Revisions- und Compliance-Vorgaben gilt es oftmals, genauestens zu vermerken, wer wann an welchen Dokumenten gearbeitet, diese eingesehen, heruntergeladen, kopiert oder gelöscht hat. Hierfür muss der virtuelle Datenraum eine so genannte Journal-Funktion bieten, die ein revisionssicheres Protokoll (Audit-Trail) ermöglicht und idealerweise die Filterung nach gewissen Benutzern, Aktionenkategorien und Zeiträumen erlaubt.

Must-have 6: Sitzungsmanagement-Funktionen

Speziell auf das Sitzungsmanagement abgestimmte Sicherheitsfunktionen runden das Profil eines virtuellen Datenraums ab. Hierzu zählen folgenden Features:

• Mit Wasserzeichen versehene Unterlagen sind schreibgeschützt und lassen sich nicht ohne diesen Schriftzug ausdrucken. Dies schränkt die unerwünschte Verbreitung vertraulicher Dokumente ein.

• Eine - auch via Mobilgerät bedienbare - Annotationsfunktion erlaubt es, die Sitzungsmappe innerhalb des sicheren Datenraums mit Zeichnungen, Bildern und Audio-Dateien zu versehen, Änderungen vorzunehmen und Notizen anzubringen.

• Mithilfe der Schwärzungsfunktion (Redaction) lassen sich in einem mit den Gremienmitgliedern zu teilenden Dokument enthaltende Informationen entfernen, die niemand zu Gesicht bekommen soll. Wichtig: Bei der Schwärzung handelt es sich nicht nur um eine farbliche Markierung. Vielmehr wird die dahinterliegende Information unwiederbringlich gelöscht. So ist es ausgeschlossen, dass unberechtigte Personen doch noch durch Manipulation an die vertraulichen Daten gelangen.

Lesetipp: Videokonferenzsysteme im Vergleich - Welche Plattform ist die sicherste?

Fazit

Heute ist es auch für Gremienmitglieder unerlässlich, von überall und zu jeder Zeit auf Sitzungsunterlagen zugreifen zu können - auch dann, wenn diese hochsensible Daten oder brisante Informationen enthalten. Sollen diese nicht in die falschen Hände geraten, gilt es darauf zu achten, dass nur Befugte Zugriff erhalten. Statt auf (unverschlüsselte) E-Mails oder File-Sharing-Dienste zu setzen, sollten die Sitzungsteilnehmer auf professionelle Tools zurückgreifen. (jm)

Lesetipp: Wie CISOs für mehr Cybersicherheit im C-Level-Bereich sorgen