Sicherheit beim Whistleblowing

11. August, 2020

Wie gewährleisten wir die angemessene persönliche Sicherheit und Datensicherheit beim Whistleblowing? Das ist eines der Hauptbedenken, die Unternehmen bei der Einrichtung ihrer Whistleblowing-Systeme haben. Aus diesem Grund haben wir der Sicherheit beim Whistleblowing im neuen Handbuch von WhistleB The ABC guide for establishing a whistleblowing solution that increases customer and employee satisfaction ein ganzes Kapitel gewidmet.

Dieser Artikel ist der vierte in einer Reihe von Blogartikeln diesen Sommer, in denen wir Auszüge aus dem neuen Handbuch veröffentlichen. Das Handbuch behandelt die Themen Ressourcen, Förderung von Meldungen, rechtliche Aspekte, Kultur und ja, auch die Datensicherheit beim Whistleblowing, der Schwerpunkt dieses Artikels.

Sicherheit beim Whistleblowing – ein Muss bei der Auswahl des Lösungsanbieters

Beim Whistleblowing zählt vor allem Sicherheit, denn Vertrauenswürdigkeit ist das A und O im Umgang mit sensiblen Daten. Um Vertrauen zu gewinnen, müssen Sie den Hinweisgeber sowie die Beschuldigten schützen, entsprechend auch sensible Daten. Dies lässt sich durch sichere Whistleblowing-Systeme bewerkstelligen.

Sicherheit beim Whistleblowing schützt anonyme Hinweisgeber

Aufgrund langjähriger Kundenerfahrungen wissen wir, dass die Anonymität von Hinweisgebern ein wesentlicher Faktor ist, um an unternehmenskritische Informationen zu gelangen und damit den größtmöglichen Nutzen aus einer Whistleblowing-Lösung zu ziehen. Einfach ausgedrückt, wenn Hinweisgeber anonym bleiben dürften, entsteht ein größeres Vertrauen in das System und die Wahrscheinlichkeit steigt, dass aufschlussreichere Informationen gemeldet werden.

Ein Hinweisgeber, der anonym bleiben will, muss darauf vertrauen, dass die Whistleblowing-Lösung seine Anonymität wahrt, von der Meldung bis hin zu Dialog, Weiterverfolgung, Untersuchung und Abschluss. Sichere technologiebasierte Lösungen sind die beste Methode, um eine derart umfassende Anonymität zu wahren. Was also benötigt eine Whistleblowing-Lösung, um die Anonymität eines Hinweisgebers zu gewährleisten?

  • Eine externe Whistleblowing-Lösung, die von der IT-Umgebung des Unternehmens getrennt ist, stellt eine wirksame Option dar und ist eventuell die effizienteste Methode für die zügige Inbetriebnahme. Das Whistleblowing-System sollte sicherstellen, dass der Hinweisgeber anonym bleiben und nicht durch Firewalls des Unternehmens verfolgt werden kann. Aus diesem Grund sollten Sie kein Whistleblowing-System innerhalb Ihrer eigenen IT-Umgebung, sondern in einer separaten Umgebung betreiben.
  • Auf einen Hinweisgeber bezogene Metadaten dürfen nicht verfolgt werden oder rückverfolgbar sein. Vermeiden Sie das Erfassen von Daten, die einen Hinweisgeber verfolgen können, wie beispielsweise IP-Adressen.
  • Die Whistleblowing-Lösung sollte einen sicheren verschlüsselten Meldekanal umfassen, der es dem Hinweisgeber gestattet, selbst während des Dialogs zur Weiterverfolgung anonym zu bleiben. Auf diese Weise kann der Fallmanager wichtige Angaben zur Weiterverfolgung erfragen.

Die Anonymität muss technisch gewährleistet sein.  Eine Anonymität per Richtlinie reicht definitiv nicht aus.

Sicherheit beim Whistleblowing schützt sensible Daten

Wir können gar nicht genug betonen, wie wichtig ein sicheres Datenmanagement ist. Die meisten von uns müssen sich auf Experten verlassen, um die IT-Sicherheit zu gewährleisten. Die Kunst ist, einen externen Anbieter zu wählen, der über ausgewiesene Kompetenzen im Bereich Datensicherheit verfügt. Mit einem externen Entwickler vermeiden Sie, dass interne Entwickler Zugriff auf Ihren Code oder Ihre Daten haben.

Zu den wichtigsten Sicherheitsfunktionen, auf die Sie bei der Auswahl eines Anbieters von Whistleblowing-Lösungen achten sollten, gehören:

  • sichere Multi-Faktor-Authentifizierung
  • Erkennung und Verhinderung von unerlaubten Zugriffen
  • Datenverschlüsselung bei der Übertragung und Sicherung
  • Aktivitätsprotokolle nach Fall und nach Benutzer
  • Redundanz von Daten (kein Datenverlust)

Das System sollte nach dem Grundsatz der eingebauten Sicherheit entwickelt sein. Was bedeutet das? Alle Kommunikations- und Untersuchungsdokumente sollten innerhalb einer geschützten Fallmanagement-Anwendung gespeichert werden. Die Anwendung sollte den Fallmanager zu einem korrekten Fall- und Datenmanagement anleiten. Beispielsweise sollte es so intuitiv wie möglich sein, einen Fall ordnungsgemäß abzuschließen, d. h. personenbezogene Daten vor der dauerhaften Archivierung zu löschen (für Verantwortliche in der EU). Ein weiteres Beispiel ist die Benachrichtigung von Fallmanagern zu wichtigen Aktivitäten, des Weiteren sollte eine sichere Kommunikation zwischen den benannten Fallmanagern gewährleistet sein.

Die Sicherheit beim Whistleblowing muss sich auf sichere technische Prozesse stützen, die eine Umgehung der Kontrollen so weit wie möglich erschweren. Sicherheit per Richtlinie reicht nicht aus.

Ein rein digitales System erhöht die Sicherheit beim Whistleblowing

Ein digitales Whistleblowing-System senkt das Risiko für die Informationssicherheit deutlich. Risiken werden minimiert, wenn die Daten während des gesamten Fallmanagementprozesses vollständig in der digitalen Whistleblowing-Lösung verwaltet werden, anstatt im E-Mail-Postfach oder auf dem Computer einer einzelnen Person. Zu den kritischen Daten, die in einem digitalen Melde- und Fallmanagementsystem besser geschützt sind, zählen unter anderem der Dialog mit dem Hinweisgeber, Untersuchungsmaterial, Zuweisungen, Protokollaufzeichnungen und archivierte und gelöschte Daten.

Es gibt noch einen weiteren Vorteil bei der Verwendung eines digitalen Melde- und Fallmanagementsystems. Die Struktur und automatisierten Prozesse fördern die Sicherheit und verringern Verzögerungen bei der Bearbeitung einer Meldung und sorgen so für einen effektiveren Prozess. Die Einfachheit des digitalen Whistleblowing-Systems macht es zu einer effizienten und gleichzeitig wirtschaftlichen Lösung.

Die Sicherheitsbedrohungen beim Whistleblowing ändern sich beständig und müssen genauestens beobachtet werden. Stellen Sie sicher, dass Ihr digitales Whistleblowing-System regelmäßigen professionellen Penetrationstests und Schwachstellenanalysen unterzogen wird. Ihr Anbieter sollte gewährleisten, dass das System ständig überwacht wird, um Datensicherheitsrisiken zu mindern und so Ihre Informationen und personenbezogenen Daten innerhalb des Systems systematisch zu schützen. Die Überwachung der Datensicherheit sollte auch für die Unterlieferanten Ihres Anbieters, z. B. IT-Plattformanbieter, Datenspeicheranbieter usw., gelten. Wählen Sie ein Whistleblowing-System, das allen einschlägigen internationalen Informationssicherheitsstandards entspricht.

WhistleB ist der Überzeugung, dass es keine Rechtfertigung dafür gibt, nicht alles daranzusetzen, einen Anbieter zu wählen, für den die Datensicherheit an oberster Stelle steht. Aber die Sicherheit hört hier noch nicht auf. Wir wissen von Fällen, in denen vertrauliche und sensible Daten mit Kollegen oder Freunden ausgetauscht wurden. Behalten Sie die Sicherheit stets während des gesamten Prozesses im Auge. Sicherheit beim Whistleblowing ist alles, denn alles dreht sich um Vertrauen.

Haben Sie mehr über Sicherheit beim Whistleblowing erfahren? Möchten Sie das Handbuch weiterlesen? Laden Sie das E-Book herunter oder bestellen Sie eine Printausgabe auf Amazon oder Bokus.

Kontakt:

Gunilla Hadders, Mitautorin und Senior-Beraterin bei WhistleB, Whistleblowing Centre
+46  70 214 88 73, gunilla.hadders@whistleb.com

Kontaktiere uns

Your message was successfully send. We will get in contact with you as soon as possible.

There seems to be some problem when sending your message. Try again soon.

Founders blog