Sensible Informationen im Arbeitsalltag – bewusst handeln, Risiken vermeiden, Vorgaben einhalten

Zielbild

• Ziele, Erwartungen, typische Workflows im Raum (z.B. Angebot → Vertrag → Abrechnung)
• Was ist „schutzwürdig“? (Datenarten, Sensitivität, Auswirkungen)

Prinzipien & Verantwortlichkeiten

• Grundprinzipien: Need-to-know, Least Privilege, sichere Standardwege
• Rollenmodell: Owner, Bearbeiter, Freigabe, IT/Security, Datenschutz, Führung
• „Wer entscheidet was?“ – kurze Rollenklärung

Workflow-Map: Wo entstehen Risiken? (Workshop)

• Gemeinsame Prozesslandkarte (3–5 Kernprozesse)
• Übergaben & Schnittstellen identifizieren: intern (Abteilungen) / extern (Kunde, Partner)
• Risiko-Heatmap: wo passieren typischerweise Fehler (Teilen, Zugriff, E-Mail, Export)

Sichere Kommunikation im Workflow

• E-Mail/Chat/Meetings: Links, Anhänge, Weiterleitungen, CC/BCC, „Reply-to“-Fallen
• Umgang mit externen Anfragen (z. B. Lieferanten, „Chef“-Anweisungen, Zahlungsänderungen)
• Praxisübung: „Echt oder verdächtig?“ mit Entscheidungsbaum

Speichern & Teilen: Der „Single Source of Truth“-Ansatz

• Wo liegen Arbeitsstände vs. finale Dokumente?
• Berechtigungen, Freigabelinks, Ablaufdaten, Versionierung
• „Dos & Don’ts“: Download/Export, private Geräte, Schatten-IT
• Mini-Checkliste für Teams

Regeln im Prozess: Klassifizieren, kennzeichnen, schützen

• Einfache Klassifizierung (z. B. öffentlich/intern/vertraulich/streng vertraulich)
• Schutzmaßnahmen je Stufe (Verschlüsselung, Zugriff, Weitergabe, Aufbewahrung)
• Beispiele aus Abteilungen: HR (Bewerbungen), Sales (Kundendaten), Finance (Zahlungen), PM (Roadmaps)

Routine & Kontrolle: Freigaben, Vier-Augen, Aufbewahrung

• Freigabeprozesse (z. B. Zahlungsdaten ändern, Vertragsfreigaben, Datenexport)
• Vier-Augen-Prinzip pragmatisch anwenden
• Aufbewahrung/Archivierung/Löschung: „Wie lange, wo, wer darf ran?“

Vorfälle im Workflow: Incident Mini-Drill

• Warnsignale & erste Schritte (isolieren, dokumentieren, melden)
• Wer muss wann eingebunden werden? (IT/Security, Datenschutz, Führung)
• Gruppenübung: Fallbeispiel „falsche Freigabe / falscher Empfänger / kompromittiertes Konto“

Take aways

• Team-Commitments: 3 Regeln + 3 Routinen für die nächsten 2 Wochen