Für Nonprofit-Organisationen kann es sehr herausfordernd sein, Daten zu schützen und gleichzeitig die Organisation effektiv zu führen. Cloud-Anwendungen bieten dabei eine grossartige Lösung, den Betrieb ihrer IT-Infrastruktur zu verbessern und zu vereinfachen. Sie können Kosteneinsparungen, Skalierbarkeit und Flexibilität bieten, um Ihre Arbeit noch effektiver zu gestalten. Aber wie können Sie sicherstellen, dass die Verwendung von Cloud-Diensten im Einklang mit dem Datenschutz steht und Ihre sensiblen Daten geschützt bleiben, vor allem mit den Änderungen des neuen Datenschutzgesetzes (nDSG)?
In diesem Blogbeitrag zeigen wir Ihnen, welche Schritte Sie mit Cloud-Lösungen gehen können, um Ihr Nonprofit effektiv zu betreiben, ohne dabei Ihre Datenschutzverpflichtungen zu vernachlässigen.
Diese Daten müssen Sie als Nonprofit schützen
Als Nonprofit haben Sie Zugang zu einem umfangreichen Netzwerk und damit einer Vielzahl von sensiblen Daten, die unbedingt sicher aufbewahrt werden müssen. Bei Nonprofit-Organisationen, die mit Menschen zu tun haben, gehören Klienteninformationen wie Gesundheitszustände, Beeinträchtigungen, Konfessionszugehörigkeiten, Blutgruppen, Fingerabrücke oder Betreuungspläne zu den Daten, die unter keinen Umständen in die falschen Hände geraten dürfen. Ebenso wichtig sind bei diesen Nonprofit-Organisationen Informationen, die im Austausch mit der Invalidenversicherung stehen, also beispielsweise die Sozialhilfebudgets einzelner Personen.
Aber auch im Bereich des Human Resources (HR) gibt es eine Fülle von Personendaten, die besonders geschützt werden müssen, einschliesslich Personalgespräche, Vereinbarungen, Notizen, Arbeitsverträge, Strafregisterauszüge und Bewerbungsunterlagen. Eine Datenschutzverletzung in diesem Bereich kann nicht nur das Vertrauen der Mitarbeitenden und Bewerbenden zerstören, sondern auch rechtliche Konsequenzen nach sich ziehen.
Step by Step: So gelingt eine nDSG-konforme Cloud-Nutzung für Nonprofit-Organisationen
Nachdem wir nun beispielhaft geklärt haben, welche Ihrer Daten besonders schützenswert sind, wollen wir nun näher beleuchten, wie eine datenschutzkonforme Umsetzung gelingen kann.
1. Setzen Sie auf Managed Services
Dank Managed Services in der Cyber Security können Nonprofit-Organisationen knappe Ressourcen oder fehlendes Know-how ausgleichen und unmittelbar von Expertenwissen profitieren, ohne Kosten für Weiterbildungen oder zusätzliches Personal tragen zu müssen. Für einen fixen Betrag pro Monat gewährleisten Managed Service Provider den notwendigen 24/7-Betrieb für die Überwachung und Reaktion auf Cyber-Angriffe. So können Nonprofit-Organisationen sichergehen, dass sie immer dann, wenn sie Spezialisten benötigen, auf deren Unterstützung zählen können.
Professionelle Anbieter machen zudem proaktiv auf neueste technische Entwicklungen und Sicherheitsrisiken aufmerksam, um schnellstmöglich Massnahmen ergreifen zu können. Durch regelmässige Überprüfungen sind sie in der Lage eventuelle Schwachstellen in der Informationssicherheit aufzudecken und zu beheben, bevor sie zu einem Sicherheitsrisiko werden.
Eine wichtige Massnahme für die nDSG-konforme Cloud-Nutzung bei Nonprofit-Organisationen ist die Protokollierung und Überwachung ihrer Aktivitäten. Dadurch kann man mögliche Datenschutzverletzungen schnell erkennen und darauf reagieren. Um dies zu erreichen, können MSP Nonprofit-Organisationen dabei helfen, ein Überwachungssystem für die Cloud-Aktivitäten zu implementieren, das sämtliche Zugriffe auf personenbezogene Daten erfasst und dokumentiert. Nähere Informationen zu «Identity Protection» können Sie in diesem Blogbeitrag nachlesen.
Darüber hinaus übernehmen MSP regelmässige Überprüfungen, um sicherzustellen, dass Verschlüsselungen und Zugriffsbeschränkungen stets ausreichend sind. Bei der Verschlüsselung werden die Informationen so umgewandelt, dass sie für Dritte unlesbar werden, wenn sie nicht über den entsprechenden Schlüssel verfügen. Die beste Variante ist die Verschlüsselung auf Dateiebene, damit ist zusätzlich auch die Integrität bei der Übertragung und am Zielort gewährleistet.
Für zusätzliche Datensicherheit sollten erweiterte Benutzer-/Rollen-Konzepte mit Zugriffsbeschränkungen eingeführt werden, um sicherzustellen, dass nur autorisierte Geräte und Personen auf die Dateien zugreifen können.
2. Trennen Sie die Bereiche IT & Security voneinander
Es mag verlockend sein, einen einzigen Partner für alle IT-bezogenen Dienstleistungen zu engagieren. Dennoch kann es für Nonprofit-Organisationen aus verschiedenen Gründen sinnvoll sein, im Bereich der Cyber Security auf einen spezialisierten Managed Service Provider (MSP) zu setzen. Auf einen einzigen Anbieter zu setzen, birgt gewisse Risiken. Die wahrscheinlichsten haben wir nachfolgend für Sie aufgeführt:
- Mangel an Spezialisierung: Ein MSP, der verschiedene Bereiche der IT-Infrastruktur bedient, kann nicht über das gleiche Fachwissen verfügen wie ein spezialisierter Cyber Security-MSP. Dies könnte bedeuten, dass Ihre Sicherheitsmassnahmen möglicherweise nicht so wirksam sind, wie sie sein könnten.
- Konflikt der Interessen: Der Anbieter könnte sich in einer Konfliktsituation befinden, wenn es um Entscheidungen geht, die Ihre Cyber Security betreffen. Es könnte beispielsweise sein, dass er versucht, Sie davon abzuhalten, wichtige Sicherheitsmassnahmen einzuführen, die nicht zu ihrem Geschäftsmodell passen.
- Einheitlicher Angriffspfad: Alle Ihre Systeme und Daten könnten über denselben Angriffspfad bedroht werden. Wenn ein Angreifer eine Schwachstelle bei Ihrem MSP findet, könnte er mit einem Schlag Zugriff auf alle Ihre Systeme und Daten bekommen.
- Abhängigkeit von einem Anbieter: Sie könnten zu stark von diesem einen Anbieter abhängig werden. Dies könnte bedeuten, dass Sie Schwierigkeiten haben, zu einem anderen Provider zu wechseln, wenn Sie mit dem aktuellen unzufrieden sind oder wenn sich Ihre Anforderungen ändern.
Es gibt natürlich auch Managed Service Provider, die sowohl IT-Infrastruktur als auch Cyber Security gleichermassen in bester Qualität liefern können. Diese Anbieter sind jedoch selten und wir empfehlen Ihnen, diese kritisch zu hinterfragen.
3. Die Partnerwahl ist entscheidend
Die Wahl eines geeigneten Cyber Security Partners kann sehr komplex sein. Unter Punkt 1 & 2 haben wir bereits einige wichtige Punkte genannt, welche ein Managed Service Provider mitbringen sollte. Nachfolgend folgen weitere wichtige Auswahlkriterien:
- 7x24-Organisation
Nur mit einer 7x24-Organisation kann ein Cyber Security Partner die kontinuierliche Überwachung und schnelle Reaktion auf potenzielle Bedrohungen gewährleisten. Das alleinige Verlassen auf eine Pikettorganisation reicht nicht aus. - Erweiterter Identitätsschutz
Ihr Cyber Security Partner sollte Lösungen im Portfolio haben, die über die herkömmliche Benutzername-Passwort-Authentifizierung hinausgehen und zusätzliche Schutzmassnahmen wie Multifaktor-Authentifizierung und biometrische Verfahren bieten, um die Identität von Benutzern zuverlässig zu überprüfen und unbefugten Zugriff zu verhindern. - Klassifizierung von Informationen und Verschlüsselung auf Dateiebene
Fortschrittliche IT-Partner ermöglichen es Unternehmen, ihre sensiblen Daten zu identifizieren, zu klassifizieren und individuell zu schützen. Dateien werden dabei verschlüsselt, um sicherzustellen, dass sie nur von autorisierten Personen gelesen werden können, selbst wenn sie kompromittiert oder gestohlen werden. - Governance & Compliance
Es braucht Lösungen und Prozesse, um interne Richtlinien und externe Vorschriften einzuhalten. Sie umfassen die Implementierung von Sicherheitsrichtlinien, Überwachungs- und Prüfungstools sowie das Reporting, um sicherzustellen, dass alle relevanten Bestimmungen eingehalten werden und die Sicherheitsstandards gewahrt bleiben. - Erfahrung mit Nonprofit-Organisationen
Ihr Cloud-Anbieter sollte bereits einige Referenzen aus der Branche vorweisen können. Er sollte wissen, welchen besonderen Herausforderungen Nonprofit-Organisationen ausgesetzt sind und die speziellen Anforderungen und Bedürfnisse dieser Zielgruppe und ihrer Infrastruktur verstehen. - Einhaltung des nDSG und DSGVO
Nicht umsonst widmen wir uns in diesem Beitrag vor allem dem Thema Datenschutz. Es ist essentiell und sollte demnach natürlich auch von Ihrem Dienstleister in vollem Umfang verstanden, eingehalten und umgesetzt werden. - ISO 27001-Zertifizierung
Den besten Nachweis dafür, dass Ihr Cloud-Anbieter das Thema Informationssicherheit (wozu auch der Datenschutz zählt) im Griff hat, ist die ISO 27001-Zertifizierung. Sie bestätigt den sorgfältigen Umgang mit Informationen und deren Vertraulichkeit, Integrität und Verfügbarkeit. Ausserdem wissen ISO 27001-zertifizierte Unternehmen, wie sie bei Vorfällen vorgehen müssen und haben dafür geregelte Abläufe. Weitere Infos zur Zertifizierung finden Sie in unserem Blog-Artikel.
4. Mehr Bewusstsein = Mehr Sicherheit
Neue Bedrohungen der Cybersicherheit entwickeln sich ständig. Selbst IT-Profis müssen sich immer wieder auf den neuesten Stand bringen. Doch nicht nur diese benötigen regelmässige Schulungen, sondern auch alle anderen Mitarbeitenden Ihres Nonprofits. In einem früheren Blogbeitrag erläutern wir Ihnen 5 Gründe für Cyber Security Awareness-Schulungen. Darunter fällt unter anderem, dass der Mensch noch immer die anfälligste Stelle in Ihrer Cyber Security darstellt. Es ist also von entscheidender Bedeutung, dass alle Mitarbeitenden, die Zugriff auf Ihre Infrastruktur und sensible Dateien haben, für Datenschutz- und Sicherheitsfragen sensibilisiert werden und sich dessen bewusst sind, wie sie die Cloud sicher nutzen können. Dazu gehört auch das Verständnis für die Bedeutung von Datenschutzvorschriften, das Vermeiden von Phishing-Attacken oder das Festlegen starker Passwörter.
Cyber Security Awareness Schulungen sind von entscheidender Bedeutung, um das Bewusstsein der Mitarbeitenden für die Risiken und Bedrohungen im digitalen Umfeld zu schärfen. Es ist wichtig, solche Schulungen regelmässig durchzuführen, um sicherzustellen, dass alle Mitarbeitenden stets auf dem neuesten Stand sind und mit den sich ständig weiterentwickelnden Cyber-Bedrohungen vertraut sind.
Die Schulungen sollten aufbauend gestaltet sein, um den verschiedenen Kenntnisständen und Erfahrungen der Mitarbeitenden gerecht zu werden. Dies ermöglicht es, auf individuelle Bedürfnisse einzugehen und das Wissen Schritt für Schritt zu erweitern. Durch die schrittweise Erhöhung des Schwierigkeitsgrads können die Mitarbeitenden ihr Wissen kontinuierlich vertiefen und ihre Fähigkeiten zur Erkennung und Abwehr von Cyber-Angriffen verbessern.
Moderne Tools und Technologien können bei der Durchführung von Cyber Security Awareness Schulungen äusserst hilfreich sein. Es gibt eine Vielzahl von interaktiven Lernplattformen, Simulationen und E-Learning-Programmen, die eine ansprechende und effektive Schulung ermöglichen. Diese Tools bieten oft realistische Szenarien, in denen die Mitarbeitenden lernen können, potenzielle Gefahren zu erkennen und angemessen darauf zu reagieren.
Darüber hinaus können diese Tools auch die Fortschritte der Mitarbeitenden verfolgen und Auswertungen liefern. Auf diese Weise können Unternehmen den Erfolg der Schulungen messen, gezielt auf Schwachstellen eingehen und die Schulungsinhalte entsprechend anpassen. Die regelmässige Durchführung von Cyber Security Awareness Schulungen in Verbindung mit modernen Tools ermöglicht es Unternehmen, die Sicherheitskultur zu stärken und das Risiko von Cyber-Angriffen und Datenschutzverletzungen signifikant zu reduzieren.
5. Sicherheitsaudits und Penetrationstests
Der Check von Sicherheitsmassnahmen sollte noch weitergeführt werden, durch die regelmässige Überprüfung mithilfe von Sicherheitsaudits und Penetrationstests. Dies ist ein essentieller Bestandteil der Datensicherheit in der Cloud. Dabei werden potenzielle Schwachstellen und Sicherheitslücken im System aufgedeckt, die dann behoben werden können, um ein Höchstmass an Schutz zu gewährleisten. Sie sollten darauf achten, dass diese Tests von unabhängigen Unternehmen bzw. Anbietern durchgeführt werden, um eine unvoreingenommene Bewertung der Sicherheitslage zu erhalten. Zudem sollten Sie sicherstellen, dass Sie auf alle Ergebnisse und Empfehlungen des Tests zugreifen können, um notwendige Massnahmen ergreifen zu können.
6. Worst-Case Hilfe: Incident Response- und Notfallkonzepte
Selbst bei einem guten Datenschutzkonzept kann es zu Datenschutzverletzungen oder Ausfällen kommen. Für diesen Fall ist es wichtig, dass Sie für Ihr Nonprofit sogenannte Incident-Response- und Notfallkonzepte vorbereiten. Hierbei geht es darum, im Vorfeld bereits Massnahmen zu planen, um im Notfall schnell und effektiv reagieren zu können. In einem solchen Konzept sollten etwa die Zuständigkeiten bei einem Vorfall klar geregelt sein und auch ein Notfallplan muss erarbeitet werden, um den Schaden zu begrenzen und die betroffenen Personen zügig zu informieren. Zudem sollten regelmässige Tests durchgeführt werden, um sicherzustellen, dass das Konzept im Ernstfall auch wirklich funktioniert. Durch ein solches Konzept können Nonprofit-Organisationen schneller und gezielter handeln und mögliche Schäden begrenzen.
7. Auf dem Weg in die Cloud: Achtung bei der Datenübertragung
Wurden alle vorherigen Schritte erfüllt, sind Sie bereit, Ihre Dateien in das Netzwerk zu übertragen. Doch Vorsicht, es gilt hierbei sicherzustellen, dass sie dabei die Anforderungen des nDSG einhalten und sich an die Vorschriften halten.
Das nDSG schreibt beispielsweise vor, dass personenbezogene Daten nur dann an ein Unternehmen im Ausland übertragen werden dürfen, wenn mindestens die gleichen Datenschutzstandards eingehalten werden, wie in der Schweiz. Nonprofit-Organisationen sollten daher sicherstellen, dass der Cloud-Provider entsprechende Garantien bietet, um sicherzustellen, dass ihre Daten in Übereinstimmung mit dem nDSG übertragen werden. Die beste Variante ist eine Ende-zu-Ende-Verschlüsselung, bei der ein Schutz der übertragenen Daten über alle Übertragungsstationen hinweg gewährleistet wird. Insbesondere sensible Daten sollten immer verschlüsselt werden, bevor sie im Netzwerk gespeichert werden.
Erfolgsbeispiele von namhaften Schweizer Unternehmen in der Cloud
Nachdem wir Ihnen die wichtigsten Schritte für eine erfolgreiche Cloud-Nutzung aufgezeigt haben, gehen wir nachfolgend auf einige Erfolgsbeispiele von namhaften Schweizer Unternehmen ein. Diese Unternehmen nutzen die Cloud-Lösungen von Microsoft, um ihre IT-Infrastruktur zu modernisieren und effizienter zu gestalten. Dabei werden verschiedene Anwendungen und Dienste auf der Cloud-Plattform betrieben, um Kosten zu sparen und die Zusammenarbeit innerhalb der Organisationen zu verbessern. Zudem ermöglichen die Cloud-Technologien eine höhere Datensicherheit und -integrität, was insbesondere für die sensiblen Daten von Bedeutung ist.
Der Kanton Zürich:
Der Kanton Zürich nutzt seit einigen Jahren die Microsoft Cloud für verschiedene Anwendungen und Dienste. Der Umstieg auf die Cloud wurde damit begründet, dass dadurch Kosten eingespart werden können und eine bessere Zusammenarbeit innerhalb der Verwaltung möglich wird. Konkret setzt der Kanton Zürich die Cloud für die Bereitstellung von E-Mail-Diensten, Office-Anwendungen und Datenspeicherung ein. Zudem werden verschiedene spezifische Anwendungen auf der Cloud-Plattform betrieben.
Das Parlament (@parl.ch):
Das Schweizer Parlament hat sich für die Nutzung der Microsoft Cloud entschieden, um die Zusammenarbeit zwischen den verschiedenen politischen Fraktionen und Abteilungen zu verbessern. Durch den Einsatz der Cloud können Dokumente und Daten zentral gespeichert und leichter geteilt werden. Zudem werden durch die Cloud-Technologie auch die Sicherheitsstandards erhöht, da Microsoft umfassende Sicherheitsmassnahmen zur Absicherung der Daten und Anwendungen bietet.
Swissmedic:
Swissmedic, die Schweizerische Zulassungs- und Aufsichtsbehörde für Arzneimittel und Medizinprodukte, hat sich für den Einsatz der Microsoft Cloud entschieden, um ihre IT-Infrastruktur zu modernisieren und zu vereinfachen. Die Cloud-Lösung bietet Swissmedic die Möglichkeit, flexibel auf die Anforderungen des Geschäftsbetriebs zu reagieren und die Effizienz der IT-Systeme zu erhöhen. Darüber hinaus ermöglicht die Cloud-Technologie auch eine höhere Datensicherheit und -integrität.
SUVA:
Die Schweizerische Unfallversicherungsanstalt (SUVA) setzt seit einigen Jahren auf die Microsoft Cloud, um die IT-Infrastruktur zu modernisieren und effizienter zu gestalten. Konkret nutzt SUVA die Cloud-Technologie für die Bereitstellung von Office-Anwendungen, Datenspeicherung und verschiedene spezifische Anwendungen. Durch die Cloud-Lösung können die Mitarbeiterinnen und Mitarbeiter von SUVA flexibler und standortunabhängig arbeiten, was zu einer höheren Produktivität führt. Zudem bietet Microsoft umfassende Sicherheits- und Datenschutzmassnahmen, die den Schutz sensibler Daten gewährleisten.
Auf in den Siebten Himmel: Machen Sie Ihr Nonprofit fit für die Cloud
Zusammenfassend lässt sich sagen, dass die Nutzung der Cloud für allerlei Unternehmen viele Vorteile in den Bereichen Kosteneinsparungen, Skalierbarkeit und Flexibilität bieten kann. Um sicherzustellen, dass sensible Daten von Nonprofit-Organisationen in der Cloud sicher und rechtskonform verarbeitet werden, sind jedoch bestimmte Massnahmen zu ergreifen. Dazu gehören die Auswahl eines geeigneten IT/Cloud-Anbieters, die Implementierung von Sicherheitsmassnahmen wie Verschlüsselung und Zugriffsbeschränkungen sowie die Überwachung der Cloud-Aktivitäten. Darüber hinaus ist es wichtig, die Mitarbeitenden für das Thema Datenschutz zu sensibilisieren und ein Handbuch für den Umgang mit schützenswerten Daten im Netzwerk bereitzustellen. In Notfällen sollte ein Incident Response- und Notfallkonzept zum Einsatz kommen. Laufende Updates sowie Überprüfung der Datenschutzrichtlinien und -verfahren sind ebenfalls unerlässlich. Die Einhaltung der nDSG-Vorschriften bei der Übertragung von Dateien in die Cloud muss stets gewährleistet werden. Ein ausführliches Merkblatt über Cloud-spezifische Risiken und Massnahmen finden Sie hier. Dabei sollte vor allem der Schutz personenbezogener Daten (siehe Seite 5 des Merkblatts) für Nonprofit-Organisationen oberste Priorität haben, um das Vertrauen Ihrer Klienten und Unterstützer zu erhalten und Ihre Mission erfolgreich umzusetzen.
Wollen auch Sie den Schritt in die Cloud wagen? Dann starten Sie Ihre Journey und kontaktieren Sie uns als Ihren zuverlässigen Partner für IT und Cyber-Sicherheit. Gemeinsam finden wir einen idealen Einstieg in die Cloud für Ihre Nonprofit, ohne den Blick auf Ihre Datenschutzkonformität zu verlieren.
Entdecken Sie die nDSG-konforme Cloud-Lösung für Ihr Nonprofit – Jetzt starten!