Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Wie Sie die Sicherheit bei internen Wikis prüfen

0 Beurteilungen

Von Wolfram von Gagern,

Wikis als zentrales Instrument für den Austausch wichtiger Informationen halten in immer mehr Unternehmen Einzug. Leider viel zu häufig, ohne sich mit dem Datenschutz und der Datensicherheit solcher Systeme auseinanderzusetzen. In diesem Artikel erfahren Sie, was Sie als Datenschutzbeauftragter über die Nutzung und Einführung eines Wikis wissen sollten.

 

Wikipedia „in klein“

Zu den bekanntesten Beispielen eines Wikis zählt sicherlich Wikipedia, die Sie höchstwahrscheinlich selbst als kostenloses Nachschlagewerk nutzen. Das Konzept dahinter ist so bestechend, dass Wikis auch in Unternehmen eingesetzt werden. Die wesentlichen Vorteile eines Wikis sind dabei:

  • Leichter Zugang zu Informationen: Da das Wiki als Anwendung im Internetbrowser angezeigt wird, können Informationen zentral zur Verfügung gestellt werden und von allen Mitarbeitern leicht aufgerufen werden.
  • Einfache Bereitstellung von Informationen: In aller Regel werden aufseiten der Mitarbeiter keine fundierten Kenntnisse über die Erstellung von Onlineseiten benötigt. Aktuelle Wikis stellen dem Anwender einen einfachen Editor zur Verfügung, der in seiner Anmutung an Textverarbeitungen erinnert und die Bearbeitung von Beiträgen oder das Anlegen neuer Seiten sehr einfach macht.
  • Schnelle Aktualisierung von Informationen: Da es mit dem Wiki einen zentralen Ort für die Verteilung von Informationen und Wissen gibt, lassen sich Informationen schneller aktualisieren. Die sonst nötige Verteilung (Aushänge, Rundmails oder Rundschreiben) entfällt.

Diese potenziellen Probleme mit dem Datenschutz gibt es

Wikis sind ihrem Konzept nach auf große Offenheit ausgelegt. Prinzipiell soll es damit jedem Nutzer möglich sein, die von einem anderen Anwender geschriebenen Beiträge zu bearbeiten oder zu korrigieren.

Entsprechend erhalten alle Anwender zunächst Zugriff auf nahezu alle gespeicherten Inhalte, mit Ausnahme einiger Bereiche, die der Konfiguration des Systems vorbehalten sind. Dies bringt die Gefahr mit sich, dass personenbezogene Daten einem zu großen Kreis zugänglich gemacht werden.

Beispiel: Die meisten Wiki-Lösungen verfügen über die Fähigkeit, Seiten mit Dateianhängen zu versehen: Word-Dokumente, Excel-Tabellen oder Auszüge aus Datenbanken. In diesen Aufstellungen können sich personenbezogene Informationen verbergen, auf die der Nutzer, der die Dokumente zur Verfügung gestellt hat, zwar berechtigt zugreift, die Leser des Wiki-Artikels indes nicht. Ein anderes Problem kann dadurch entstehen, dass die Mitarbeiter aus dem Glauben heraus, anderen einen Gefallen zu tun, einfach die Zugangsdaten zu Systemen veröffentlichen, damit die Kollegen nicht lange danach suchen müssen.

Externe Öffnung des Wikis als Risiko

Ein Risiko für die Datensicherheit kann auf technischer Seite durch die Konzeption des Wikis entstehen. Gerade wenn dieses auch für externe Mitarbeiter geöffnet und über das Internet erreichbar ist, könnten Unbefugte versuchen, Schwachstellen des Systems auszunutzen, um es als Ausgangspunkt für das Eindringen in das Firmennetzwerk zu benutzen.

Schließlich sollten die Mitarbeiter wissen, dass die Kollegen anhand der Versionshistorie eines Dokuments sehen können, wie häufig und wie lange der Mitarbeiter am Wiki gearbeitet hat. Diese Historie finden Sie häufig unter dem gleichen Namen entweder als einfachen Link oder Reiter direkt auf der Seite, die bearbeitet wird.

 

So tragen Sie zur Sicherheit eines Wikis bei

Um den Datenschutz und die Datensicherheit eines Wikis im Unternehmen zu erhöhen, sind diese Maßnahmen hilfreich:

  1. In einer Schulung oder noch besser einem Workshop mit den Mitarbeitern, sollten Sie auf die Risiken in Hinblick auf die Veröffentlichung von personenbezogenen Daten hinweisen. Dazu gehört auch, dass Sie die Kollegen in der Protokollierung ihrer Aktivitäten sensibilisieren.
  2. Wie für Datenbanken oder andere Anwendungen ist es mehr als empfehlenswert, ein Rechtesystem anzulegen. Hier sollten Sie gemeinsam mit den Kollegen aus der IT und den Abteilungsleitern an einem Strang ziehen. Die Leitfrage dabei ist, welche Informationen für alle Mitarbeiter von Interesse sind und damit veröffentlicht werden können, ohne dass diese schützenswerte Informationen enthalten. So sind Durchwahllisten aller Mitarbeiter für alle Kollegen relevant, die Aufstellung von Kundenumsätzen dagegen nur innerhalb einer Abteilung bzw. darin auch nur für einen Teil der Mitarbeiter.
  3. Ein Wiki benötigt als Unterbau einen Webserver. Soll dieser von außen erreichbar sein, muss er wie jeder andere Server auf kritische Sicherheitslücken überprüft und mit aktuellen Updates versorgt werden. Es gelten damit die gleichen Vorsichtsmaßnahmen, die Sie wahrscheinlich ohnehin für bestehende Systeme berücksichtigen. Wenn diese Aktualisierung nicht erfolgt, weisen Sie die Kollegen der IT darauf hin, damit dies schnellstmöglich nachgeholt wird.
  4. Vorsicht bei Erweiterungen: Wikis lassen sich wie Redaktionssysteme oder Browser funktional erweitern. Gerade solchen Plug-ins sollten Sie und die Administration mit Vorsicht begegnen. Idealerweise werden diese erst in einer Testumgebung ausprobiert und deren Funktion wird kritisch überprüft. Denn solche Erweiterungen können auch ein Versuch eines Angreifers sein, sich in möglichst viele Systeme einzuschleichen. Setzen Sie sich mit der Administration zusammen und entscheiden Sie gemeinsam darüber, welche Erweiterungen notwendig sind.

Extra-Tipp: Gesundes Misstrauen auch im Wiki

Häufig wird eine Information erst durch die Verlinkung auf externe Webseiten richtig „rund“ und vollständig. Ein Link auf eine externe Seite wird aber nicht dadurch seriöser, weil er von Kollegen in einem Unternehmens-Wiki veröffentlicht wurde.

Versuche des Phishings (Datendiebstahl über vorgetäuschte Internetadressen) oder des Einschleusens von Malware (bösartige Software) könnten auf der Zielseite dennoch stattfinden. Deswegen rate ich Ihnen, innerhalb Ihrer Schulung die Kollegen daran zu erinnern, dass auch bei der Nutzung eines Wikis die gleichen Verhaltensregeln und gesundes Misstrauen angebracht sind, die auch bei der sonstigen Internetnutzung gelten.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!