Das sichere Meeting: Wie Sherpany Compliance und Datensicherheit gewährleistet

Bei Sicherheit handelt es sich um ein zentrales menschliches Anliegen. Insbesondere Unternehmen sehen sich in der Verpflichtung, für sich und Ihre Mitarbeitenden ein ausreichendes Maß an Sicherheit zu bieten. Per se geht dieser Anspruch in alle erdenklichen Richtungen mit einer besonderen wirtschaftlichen Tragweite.

Mit der fortschreitenden Digitalisierung, einer hohen Bedeutung der Nutzung von Cloud-Diensten und der Wissensarbeit in virtuellen Umgebungen hat das Sicherheitsbedürfnis eine neue Dimension bekommen: Compliance und Datensicherheit bedeuten für Unternehmen einen reellen wirtschaftlichen Faktor.

Dies sollte bei der Auswahl digitaler Lösungen und Softwares eine hohe Relevanz aufweisen: Insbesondere für Finanzinstitute und Unternehmen mit strengen Compliance-Richtlinien steht Sicherheit als Auswahlkriterium sogar über einer einfach zu bedienenden Benutzeroberfläche. Doch das gilt genauso für andere Organisationen. Denn die möglichen Gefahren sind vielfältig: Wo zum Beispiel der US CLOUD Act – hier steht CLOUD für “Clarifying Lawful Overseas Use of Data”– eine Bedrohung sensibler Daten darstellt, bilden Datenlecks (sogenannte “Bugs”) einen Nährboden für Hackerangriffe. 

Sherpany stellt Compliance sowie Datenschutz umfassend sicher. Bei unserer Meeting Management Software sehen sich höchste Sicherheitsstandards erfüllt, was zahlreiche Zertifizierungen belegen. Tatsächlich bildet die Datensicherheit einen wesentlichen Faktor für das hohe Vertrauen von Kunden auf Sherpany.

In diesem Beitrag befassen wir uns tiefer mit Datensicherheit und der Erfüllung von Compliance. Es entsteht ein umfangreiches Bild darüber, inwiefern die Software Sherpany dahingehende Maßgaben erfüllt, über Zertifikate verfügt und Sicherheit vor Hackerangriffen sowie Datenlecks bietet.

Sicherheit und Compliance bei Meetings

An dieser Stelle möchten wir die Rolle sicherer Führungskräfte-Meetings und sicherer Daten kurz verdeutlichen. Außerdem stellen wir Maßnahmen vor, um mehr Sicherheit für insbesondere virtuelle Sitzungen zu gewährleisten.

Die Bedeutung von Datensicherheit und Compliance bei Meetings

Meetings bilden einen relevanten Anteil an der täglichen Arbeitszeit. So ergab eine im Jahr 2018 von der Hochschule Augsburg durchgeführte Studie, dass 44,6 % der Befragten 25 bis 50 % ihrer Arbeitszeit in Meetings verbringen.¹ In der Spitze fielen diese Werte sogar noch weitaus höher aus. Für deutsche Führungskräfte erfährt dieses Thema sogar noch eine größere Brisanz: Sie befinden sich laut einer Erhebung von Bain & Company rund 7.000 Stunden pro Jahr in Meetings.² Diese Daten stammen aus der Zeit vor der Pandemie, durch welche sich diese Zahl aufgrund der eklatanten Zunahme an Videokonferenzen noch einmal deutlich erhöht hat.

Dabei leiden durch übereilte Implementierungen von Conferencing-Tools, Board-Portalen sowie anderen Software-Lösungen oftmals Sicherheits- und Compliance-Ansprüche.

Nun sind Sitzungen – insbesondere in stark regulierten Sektoren wie dem Bankenbereich – häufig an strikte Compliance-Regeln gebunden. Je höher die Bedeutung einer Sitzung ausfällt, desto eher ist auf Gesetze sowie interne Regeln und Richtlinien zu achten. Hier geht es um Rechtskonformität und ein entsprechendes Mitarbeiterverhalten, ​​um rechtliche Risiken zu minimieren oder auch mögliche Wettbewerbsvorteile zu erzielen.³

Datenschutz und Datensicherheit: Das steckt dahinter

Die Begriffe Datenschutz und Datensicherheit fallen häufig synonym, wobei es jedoch einige Unterschiede gibt. So geht es bei Ersterem ausschließlich um personenbezogene Daten – gemäß der im Jahr 2018 verabschiedeten Datenschutz-Grundverordnung (DSGVO) –, während die Datensicherheit allgemein den Schutz von Daten in technischer Hinsicht meint.

Somit weist die Datensicherheit eine höhere Zielmenge auf, nämlich die Speicherung von Daten im Allgemeinen, wohingegen der spezifische Datenschutz früher im Prozess (bevor die Daten überhaupt erst vorliegen) ansetzt und auf die Rechte von Personen abzielt.⁴

Mit anderen Worten: Um einen umfangreichen Schutz zu garantieren und Compliance-Kriterien einzuhalten, muss es um Datensicherheit gehen. Für eine Software-Lösung wie Sherpany ergibt sich daraus der Anspruch, auf allen Ebenen Sorgsamkeit walten zu lassen.

Tipps für sichere Meetings und Videokonferenzen

Ehe wir zu den konkreten Sicherheits- sowie Compliance-Standards und den dahingehenden Zertifizierungen von Sherpany übergehen, möchten wir einige generelle, problem-basierte Tipps für sichere Videokonferenzen geben. Somit entsteht ein genauer Überblick zu Herausforderungen und Lösungsansätzen, auf den es sich im Anschluss aufbauen lässt. 

1. Auf einen hohen Datenschutz Wert legen

Bei Meetings und Videokonferenzen bildet es ein zentrales Anliegen, die geltenden Datenschutzbestimmungen einzuhalten. Als wesentlich erweist sich dabei die Datenschutz-Grundverordnung (DSGVO), welche den Schutz personenbezogener Daten gewährleistet. Zudem sollten Tools und Software-Lösungen möglichst nicht vom US CLOUD Act betroffen sein. Tatsächlich bildet dieser aus Datenschutz-Sicht ein sehr häufiges Sicherheitsrisiko. Was viele nicht wissen: Laut CLOUD Act dürfen die amerikanischen Behörden auch auf im Ausland gespeicherte Daten von US-Unternehmen zugreifen. Dabei spielt es keine Rolle, wo sich deren Server befindet. Somit sollte insbesondere eine Meeting Management Lösung nicht von diesem Gesetz betroffen sein. Schließlich werden in Sitzungen mitunter sehr sensible und nur für ganz bestimmte Kreise bestimmte Inhalte geteilt

2. Eine Verschlüsselung einbauen

Für sichere Videokonferenzen empfiehlt es sich, eine Verschlüsselung zu benutzen. Mit einer Ende-zu-Ende-Verschlüsselung können Dritte nicht ohne Weiteres mithören. In dem Fall werden Video, Ton und Text codiert zwischen den Beteiligten gesendet, wobei erst auf den Endgeräten wieder eine Entschlüsselung erfolgt. 

3. Kontrollfunktionen nutzen

Meeting-Organisierende und Moderierende sollten aktiv die Kontrolle übernehmen. Vorteile bei der Datensicherheit bringt es, wenn es sich gezielt steuern lässt, wer beim jeweiligen Meeting dabei ist. So lässt sich zum Beispiel ein “Warteraum” installieren, aus dem heraus die Teilnehmenden das Meeting betreten. Außerdem kann es auch eine adäquate Option bilden, Sitzungen zu sperren, so dass sich niemand unbemerkt Zutritt verschaffen kann. Eine Absicherung durch ein zusätzliches Passwort und eine Sperrung nach vergeblichen Log-In-Versuchen können ebenso Abhilfe schaffen.

4. Inhalte und Daten nur bewusst teilen

Sowohl am Bildschirm selbst als auch im Hintergrund sollte jeder nur freigeben und erkenntlich machen, was auch für andere bestimmt ist. So lässt sich zum Beispiel während einer Präsentation nur eine bestimmte Anwendung, anstatt gleich der gesamte Bildschirm teilen. Ebenso empfiehlt es sich, weitere geöffnete Tabs und insbesondere vertrauliche Nachrichten verdeckt zu halten. Das Gleiche gilt für den Hintergrund: So finden sich vor allem in Büro-Umgebungen häufig Aufzeichnungen, Notizen und Arbeitspapiere, die nur für ganz bestimmte Personen gedacht oder gar privat sind.

Compliance und Datensicherheit bei Sherpany: Diese Maßgaben sind alle erfüllt

Hier geht es nun konkret um die Art und Weise, auf welche die Software-Lösung Sherpany Compliance sowie Datensicherheit sicherstellt. Zahlreiche Zertifizierungen, Compliance-Faktoren und Maßnahmen zur Sicherheit belegen, dass Sherpany auf diesen Bereich ein besonderes Gewicht legt. 

Im Folgenden stellen wir die unabhängigen Zertifizierungen und Sicherheitsgarantien vor: 

1. FINMA

Bei der FINMA-Outsourcing-Zertifizierung handelt es sich um einen wichtigen Compliance-Zusatz für Schweizer Banken und Versicherer. Die FINMA ist die unabhängige Finanzmarktaufsicht der Schweiz, welche die Aufgabe hat, Gläubiger, Anleger sowie Versicherungsnehmer zu schützen. Da sich die Vorschriften der Finanzmärkte zumeist nicht grundlegend unterscheiden, kann diese Zertifizierung auch für Finanzmarkt-Unternehmen außerhalb der Schweiz von Nutzen sein. Die FINMA und andere europäische Aufsichtsbehörden weisen regelmäßig nach, dass Sherpany einen hohen Compliance-Standard pflegt. 

2. BaFin

Sherpany besitzt auch die BaFin-Outsourcing-Zertifizierung, welcher von der Wirtschaftsprüfungsgesellschaft BDO abgenommen wird. Dabei handelt es sich um das deutsche Äquivalent zur FINMA-Zertifizierung. Es deckt die spezifischen Bedürfnisse in Deutschland tätiger Banken und Versicherungen ab. 

Sherpany erfüllt die Kontrollziele des unabhängigen Prüfers. Das allgemeine Risikomanagement wie das Datenmanagement und die Datenqualität spielt hier genauso eine Rolle wie die Risikocontrolling-Funktion oder die Compliance-Funktion.

3. ISO 27001

Diese Zertifizierung stellt die Swiss Safety Center AG für Sherpany aus. Sie beruht auf dem IT-Grundschutz und bescheinigt, dass wir ein Managementsystem etabliert haben, um die Sicherheit der Daten in unserer Software-Lösung zu garantieren. Hier geht es um die Anwendung eines entsprechend hohen Sicherheitsstandards bei der Entwicklung, Wartung und dem täglichen Betrieb der Software. Diese Zertifizierung zeigt auf, dass Sherpany beste Praktiken bei der Datensicherheit verfolgt. Außerdem garantiert die unabhängige und fachkundige Überprüfung, dass erprobte internationale Verfahren zum Einsatz kommen, um Informationen sicher zu halten. 

4. ISAE 3000 

Diese Zertifizierung stammt von der Wirtschaftsprüfungsgesellschaft BDO, welche unsere Meeting Management Software unabhängig und entsprechend dieser Maßgabe abgenommen hat. Der internationale Assurance-Standard ISAE 3000 dient dazu, insbesondere in technischen Fragen eine hinreichende Sicherheit zu bieten.⁵ Er erfährt für die Prüfung von Dienstleistungsanbietern eine hohe Bedeutung und hat einen breiten Anwendungsbereich.⁶ ISAE 3000 attestiert Sherpany ein funktionales internes Kontrollsystem und eine hohe Sicherheit bei der Datenverarbeitung sowie der technischen Infrastruktur. 

5. Compliance nach der Datenschutz-Grundverordnung (DSGVO)

Die Einhaltung der Datenschutz-Grundverordnung sowie lokaler Datenschutzgesetze und des Bankgeheimnisses gehören für Sherpany zum täglichen Geschäft. Als Schweizer Unternehmen mit zahlreichen Kunden aus der stark regulierten Finanzbranche kommen wir einer besonderen Verantwortung nach. Ergo ist Sherpany mittlerweile zum Compliance-Spezialisten geworden und hat zahlreiche Tools zur Verfügung, um den hohen Ansprüchen effektiv und effizient nachzukommen. So wissen Kunden zum Beispiel die sichere Aufbewahrung vertraulicher Dokumente zu schätzen.

6. Bug-Bounty-Test

Bei dieser Maßnahme handelt es sich um eine wahre Besonderheit. So haben im Jahr 2021 für drei Wochen bis zu hundert ethische Hacker im Auftrag von Bug Bounty Switzerland versucht, eine kritische Sicherheitslücke in unserer Software-Lösung zu finden – ohne Erfolg. Dabei war der Anreiz bei einem Preisgeld von bis zu 15.000 Franken denkbar hoch. Dieser Härtetest beweist, dass Sherpany vor Cyberattacken hervorragend geschützt ist. Mehr noch: Der damalige Test ist mittlerweile in ein kontinuierliches Programm übergegangen, so dass sich unsere User einer dauerhaft hohen Sicherheit gewiss sein können.

Ganzheitlicher Sicherheitsanspruch

Generell leistet Sherpany also einen hohen Aufwand für die Datensicherheit und ein Meeting Management, das strengen Compliance-Maßnahmen entspricht.

Gemäß dem sehen sich zum Beispiel die folgenden Maßnahmen umgesetzt:

• 2-Faktor-Authentifizierung: Um das Risiko eines unbefugten Zugriffs gering zu halten, ist bei der Anmeldung neben dem Passwort ein weiterer Faktor notwendig. Dabei handelt es sich um einen erzeugten Token in der Futurae App.

• Starke Passwörter und Schutz vor unbefugtem Log-in: Bringt die 2-Faktor-Authentifizierung schon entscheidende Vorteile, so haben wir – für eine sehr hohe Sicherheit – noch weitere Maßnahmen ergriffen. Dazu gehören zum Beispiele die erzwungene Wahl eines starken Passwortes, der Schutz vor Brute-Force-Angriffen (Versuch, ein Passwort zu knacken), die Überwachung verdächtiger Log-in-Aktivitäten sowie eine Verschlüsselung der Nutzerdaten.

• Audit Trail: Die Software protokolliert alle Datei- und Nutzeraktivitäten automatisch und ordnet diese, damit sie anschließend dem Administrator, dem Sicherheitsbeauftragten oder auch weiteren Rollen zur Verfügung stehen. Dieses Konzept unterstützt das 4-Augen-Prinzip und erhöht damit die Sicherheit sowie die Compliance.

• Sicherer Datenaustausch dank Verschlüsselung: Nach dem sicheren Einloggen können User unkompliziert Dateien hochladen, während die Software Sherpany die Datensicherheit und Datenleistung optimiert. Ein wichtiger Faktor liegt dabei in der SSL-TLS-256-Verschlüsselung. So werden Kundendaten sowohl während der Übertragungen als auch auf dem jeweils genutzten Endgerät und im Ruhezustand verschlüsselt. 

• Sicherer und plattformunabhängiger Zugriff: Für Sherpany stehen zahlreiche Benutzeroberflächen zur Verfügung, welche allesamt einen sicheren Zugang ermöglichen. So gibt es neben dem Browser-Zugriff zum Beispiel auch – für die jeweiligen Geräte optimierte – systemeigene Apps. Sie haben einen hohen Fokus auf Sicherheit und schützen die gespeicherten Informationen durch zahlreiche Verschlüsselungen. 

• Die Sherpany Cloud: In der Sherpany Cloud unterliegen Daten einer strengen logischen Trennung und einer restriktiven Rechtevergabe. Darüber hinaus wird jede Datei mit militärischen Methoden und auf einem individuellen Weg verschlüsselt. Durch diese hochsichere Lösung sieht sich der Zugriff auf Token, Passwörter und Zertifikate effektiv kontrolliert. 

• Backup und Wiederherstellung: Unsere Hardware ist gegen Geräteausfälle resistent. Außerdem sind wir dank zweier redundanter und geografisch unabhängiger Rechenzeiten dazu in der Lage, ein ganzes Rechenzentrum ohne Ausfallzeiten zu kompensieren. Zusätzlich dazu sichern wir unsere Daten täglich und können sie jederzeit wiederherstellen. Die Backups werden verschlüsselt und in einer sicheren Umgebung gespeichert.

Sicherheit und Compliance spielen für unsere Meeting Management Software eine zentrale Rolle. Diese Aspekte sind keineswegs nur Pflichtaufgaben, sondern wesentliche Bestandteile der Identität von Sherpany. Tatsächlich bildet die umfassende Datensicherheit einen Kernfaktor, aufgrund dessen zahlreiche Kunden auf unsere Software-Lösung und Services vertrauen. 

So fängt die Arbeit an der Erfüllung einer umfassenden Sicherheit und Compliance bereits in der Entwicklung an: Hoch qualifizierte Programmierer mit einem stark ausgeprägten Sicherheitsverständnis haben den gesamten Prozess im Blick. Somit werden mögliche Schwachstellen und Lücken bereits früh beseitigt. Daran schließen sich ständige Tests, strenge Kontrollen und zahlreiche Trainings an. 

Fazit: Datensicherheit und Compliance als Wesensmerkmal

Gesellschaftlich, politisch und wirtschaftlich handelt es sich bei der Sicherheit oft um eine Abwägung gegenüber Faktoren wie Freiheit und Chancen (Opportunitätskosten). Für eine Software stellt sich diese Frage nicht: Denn hier bildet die Sicherheit ein Kriterium, das für den Anwendenden einen reinen Nutzen bringt und zwingend erfüllt sein sollte.

Spielen Meetings eine eklatante Rolle im Geschäftsleben und der Entscheidungsfindung einer Organisation, so muss jeder Teilnehmende die Gewissheit spüren, dass die geteilten Informationen sicher sowie kontrollierbar sind und keinesfalls an Dritte gelangen. Somit sieht sich ein strenger Sicherheitsanspruch in Sherpany tief verankert. 

Nutzende können der Sicherheit und Compliance unserer Meeting Management Software vollumfänglich vertrauen. Dies belegen nicht nur zahlreiche Zertifizierungen und Maßnahmen, sondern auch tägliche Anstrengungen, Daten und sensible Informationen zu schützen.

Sicherheit ist ein umfangreicher Prozess: Er beginnt bei der Entwicklung und erneuert sich fortwährend. So können auch Nutzende einige Maßnahmen ergreifen, um ihre Videokonferenzen und Meetings noch sicherer zu gestalten. Sicherheit ist schließlich kein Selbstzweck, sondern in vielen Fällen schlichtweg notwendig.

1. Umfrage: Wie viel Prozent Ihrer Arbeitszeit verbringen Sie in Meetings?, Statista, 2018.

2. Zeitkiller Meeting: Die traurigen Fakten – und besten Tipps, Kununu, 2018.

3. Compliance: Definition und Bedeutung für Unternehmen, Haufe, Ann-Kathrin Birker, 2021.

4. Datensicherheit: Maßnahmen für den Schutz von Daten, Datenschutz.org, 2022.

5. L'IAASB publie des lignes directrices non contraignantes sur l'application de l'ISAE 3000, BDO Deutschland, Markus Keil, 2021. 

6. IT-Providerprüfungen nach ISAE 3000 und ISAE 3402, Swiss IT Magazine, Peter R. Bitterli, 2020. 

Tobias Kortas

Über den Autor

Tobias ist ein erfahrener Texter, der gerne wertvolle Inhalte erstellt. Durch seinen journalistischen Hintergrund hat er einen tiefen Fokus auf Themengebiete wie Meeting Management, digitale Transformation und agile Führung.