IT: Fünf Tipps für sichere Kommunikation in Logistikunternehmen

Von Datensouveränität bis Cyberattacke – so können Unternehmen ihre Kommunikationstools vor Angreifern schützen.

Damit die Kommunikation in Logistikunternehmen sicher bleibt, müssen IT-Verantwortliche ein paar Dinge beachten. (Symbolbild: Cendeced/AdobeStock)
Damit die Kommunikation in Logistikunternehmen sicher bleibt, müssen IT-Verantwortliche ein paar Dinge beachten. (Symbolbild: Cendeced/AdobeStock)
Sandra Lehmann

IT-Verantwortliche sehen sich heutzutage mit unterschiedlichen Szenarien konfrontiert, die jeweils andere Anforderungen an die IT-Umgebung und deren Sicherheit stellen. Zum einen wird sich Studien zufolge das hybride Arbeiten – da, wo es möglich ist – weiter ausbreiten. Zum anderen stellen die Kommunikation und Kollaboration innerhalb von vorwiegend aus mobilen Arbeitskräften – sogenannten Frontline-Workers – bestehenden Teams die IT-Abteilungen vor Herausforderungen. Nicht selten ist sogar ein organisationsübergreifender Informationsaustausch erforderlich, was die Anforderungen noch erhöht. All diesen Szenarien gemeinsam ist der Bedarf an einer sicheren und ortsunabhängigen Kommunikation zwischen unterschiedlichen Teammitgliedern. Das teilt Teamwire in einer Pressemeldung mit.

Zuverlässigkeit für alle

IT-Abteilungen sollten daher Software-Lösungen implementieren, die den Informationsfluss über alle Mitarbeiter und Endgeräte hinweg zuverlässig gewährleisten. Dafür auf einen privaten Messenger wie WhatsApp zu setzen, kann allerdings für Logistik- und Transportunternehmen schwerwiegende rechtliche Konsequenzen haben, heißt vonseiten Teamwire. Denn für den DSGVO-konformen und sicheren Informationsaustausch im geschäftlichen Umfeld sind WhatsApp & Co. nicht geeignet. Was IT-Verantwortliche zu tun haben, um einen solchen langfristig und zuverlässig zu etablieren.

1. To-do: Betriebssicherheit gewährleisten

Nur wenn Informationsflüsse stets unterbrechungsfrei gewährleistet sind, bleiben Logistik- und Transportunternehmen in jeder Situation handlungsfähig, egal, was geschieht. Folglich sollte auch ein Zweitkanal durch skalierbare, redundante Server-Architekturen und Cluster-Setups eine hohe Verfügbarkeit und Ausfallsicherheit garantieren sowie Lastspitzen durch entsprechende Verteilung auffangen können – und zwar ressourceneffizient. Dazu ist es wichtig, dass die Kommunikationslösung möglichst wenig Ansprüche an die Infrastruktur und Hardware stellt. Dazu gehört aber ebenso, dass sich das Tool vollautomatisiert und sicher ausrollen lässt, um mit wenig Aufwand schnell einsatzfähig zu sein. Damit sich neue Nutzer schnell einbinden und alle bestehenden effizient verwalten lassen, ist ein Import oder die Synchronisation eines Lightweight Directory Access Protocoll (LDAP) beziehungsweise Active Directory (AD) von Vorteil.

2. To-do: Datensouveränität herstellen

Datensouveränität beschreibt die größtmögliche Hoheit und Kontrolle über (eigene) Daten des Unternehmens ohne Zugriff oder Beschränkung durch Dritte. Ansonsten bestünde vor allem die Gefahr, dass einerseits unternehmenseigene Daten auch von Software-Anbietern zu eigenen Zwecken genutzt werden und andererseits eine irgendwann nötige Migration zu alternativen Anbietern nicht ohne Weiteres möglich ist. Hier müssen IT-Verantwortliche prüfen, welche Einfluss-, Zugriff- und Kontrollmöglichkeiten die IT-Abteilung hat. Dazu gehören Aspekte, wie eine freie Hostingwahl beim Anbieter, der Serverstandort Deutschland, der Verzicht auf Metadatenerhebung und -analyse durch den Tool-Anbieter sowie die sichere Anbindung von Drittsystemen. Ebenso sollte die Lösung sichere, steuerbare App-Container, ein Whitelisting von Anwendern, ein Nutzerpooling sowie die Möglichkeit bieten, Datenspeicherungsfristen und Fernlöschung zentral im Unternehmen selbst zu regeln.

3. To-do: Cyberattacken vorbeugen

Der BSI-Lagebericht 2022 hat bereits verdeutlicht, dass die Zahl der Hackerangriffe und Cybersicherheitsvorfälle rasant zunimmt. Cybersicherheit ist damit das Top-Thema auf der IT-Agenda. Demzufolge muss auch eine sekundäre Kommunikationslösung entsprechende Sicherheitsanforderungen erfüllen, wie etwa die Umsetzung eines Zero-Trust-Prinzips, mit der sich unberechtigte Zugriffe durch Identifizierungs- und Authentifizierungsprozesse (zum Beispiel Zwei-Faktor-Verfahren) abwehren lassen. Der Nachweis, dass höchste Sicherheitsstandards gelten – etwa durch eine ISO-27001-Zertifizierung des Rechenzentrums – zählt ebenso dazu wie der dortige Einsatz modernster Schutzmechanismen (etwa Firewalls, Brandschutz und Sicherheitssoftware). Genauso relevant sind die Durchführung regelmäßiger Sicherheitsanalysen durch den Tool-Anbieter, die die dauerhafte Funktionsfähigkeit von Schutzmaßnahmen gewährleisten, die Verschlüsselung von Nachrichten, Inhalten und Metadaten sowie Datenspeicherungs- und Übertragungsverschlüsselung. Obendrein sollte eine Autorisierung von Endgeräten via Mobile Device Management (MDM) und Enterprise Mobility Management (EMM) erfolgen.

4. To-do: Datenschutz einhalten

Besondere Anforderungen bestehen im Hinblick auf den Schutz von personenbezogenen Daten, die in Deutschland durch strenge Gesetze geregelt sind. Die IT-Abteilung sollte gemeinsam mit dem Datenschutzbeauftragten überprüfen, dass sich der Tool-Anbieter daran hält und beispielsweise die Grundsätze der Datensparsamkeit und -vermeidung in der Software abbildet. Es sollte keine komplizierten Datenschutzeinstellungen geben, sodass die Anonymisierung von Personendaten und weitere Schutzmaßnahmen gewährleistet sind. Prüfen sollten die IT-Verantwortlichen auch, wie die Authentifizierung der Nutzer abläuft, wie die Datenspeicherung auf Endgeräten gelöst ist und wie sich Daten auch zuverlässig sichern oder löschen lassen. Selbst der Auftragsverarbeitungsvertrag (AVV), den das Logistik- oder Transportunternehmen mit einem Kommunikationstool-Anbieter zu schließen verpflichtet ist, muss DSGVO-konform sein.

5. To-do: Compliance & Co. berücksichtigen

Zudem können weitere rechtliche Anforderungen eine Rolle spielen – wie etwa die Verschwiegenheitspflicht, notwendige Risikobeurteilungen oder die Archivierung von Daten. So ist es beispielweise notwendig, dass das Tool Berechtigungskonzepte und Sicherheitsrichtlinien des Unternehmens optimal abbilden kann. Ebenso sind Archivierungs- und Protokollierungsfunktionen gefragt oder die Möglichkeit, Revisoren und externen Prüfern Zugang zu dokumentierten Daten zu gewähren. Wichtig dabei ist, dass sich Revisor-Zugänge entsprechend auf die dafür nötigen Rechte beschränken lassen. Dies unterstützt ein revisionssicheres Arbeiten und die Compliance, ohne dass damit unnötig Daten verteilt werden müssen.