Im „heise meets …“-Podcast spricht Sven Kniest, Regionalverantwortlicher beim Identity-Anbieter Okta, mit Matthias Tüxen über die Sicherheitsfragen rund um KI-Agenten. Eine Okta-Umfrage unter 150 Unternehmen offenbart ein Paradoxon: 86 Prozent halten KI für geschäftskritisch, 69 Prozent bremsen die Einführung jedoch aktiv aus.

Die Sorgen sind groß: 83 Prozent der Befragten fürchten einen unkontrollierten Datenabfluss, 80 Prozent sehen das Risiko zu weit gefasster Rechte. Ein LLM lasse sich, so Kniest, leichter manipulieren als ein Mitarbeiter durch Phishing – bereits eine eingehende E-Mail im ausgewerteten Postfach reiche.

Zugriffskontrolle: Milliarden Entscheidungen pro Tag fordern neue Konzepte

Kniest rechnet vor: Ein Unternehmen mit 10.000 Mitarbeitern, 1.000 Agenten und durchschnittlich 57 Tools pro Aufgabe kommt auf 5,8 Milliarden Zugriffsentscheidungen täglich. Diese Größenordnung verlange einen Paradigmenwechsel bei der Sicherheitsarchitektur und Governance.

Vier Prinzipien stehen im Zentrum: lückenlose Erfassung aller Agenten, keine dauerhaften Privilegien, fein granulierte Rechte sowie ein Human-in-the-Loop-Ansatz für kritische Aktionen. Ergänzend brauche es eine vollständige Auditierbarkeit jeder durchgeführten Operation.

Cross-App-Access: Token-Vaults ersetzen statische Zugangsdaten

Zwischen LLM und Anwendungen sitzt der Model-Context-Protocol-Server. Hardcoded Credentials an dieser Stelle erzeugen laut Kniest den größtmöglichen Blast Radius. Stattdessen sollen temporäre Token aus einem Vault zwischen Anwendungen ausgetauscht werden.

Der Ende April vorgestellte Blueprint for the secure agentic enterprise beschreibt vier Schritte: Discovery, Onboarding inklusive Owner-Zuweisung, Protect mit Authentication und Authorization sowie Governance. Jeder Agent erhält eine eigene Identität in einem zentralen Verzeichnis.

Wie das in der Praxis funktioniert, welche Rolle ein Killswitch für außer Kontrolle geratene Agenten spielt und warum Werkstudenten-Projekte zum Deprovisioning-Problem werden, erläutert Sven Kniest ausführlich im aktuellen „heise meets …“-Podcast.

Identitätsmanagement: KI-Agenten brauchen neue Sicherheitskonzepte (Gesponsert)

Slider

00:00

• Newsletter abonnieren
• Apple Podcasts
• Spotify
• Deezer

Die NCP engineering GmbH beleuchtet in einem aktuellen Blog-Beitrag, wie IT-Verantwortliche einen Data Breach professionell bewältigen. Behörden registrierten 2024 in den 15 wichtigsten EU-Ländern rund 130.000 Cyberangriffe – die Angreifer erbeuteten dabei auch personenbezogene und geschäftskritische Daten.

Assume Breach: IT-Teams rechnen mit erfolgreichen Angriffen

Absolute Sicherheit existiert nicht, denn der Mensch bleibt einer der größten Risikofaktoren: Beschäftigte fallen auf Social Engineering herein, nutzen schwache Passwörter oder konfigurieren Systeme fehlerhaft. Hinzu kommen komplexe Lieferketten und unentdeckte Sicherheitslücken in Software.

Sicherheitsexperten empfehlen deshalb das „Assume Breach“-Prinzip. Unternehmen gehen dabei jederzeit von einem bereits eingetretenen Vorfall aus. Diese Haltung verschiebt die Strategie von reiner Abwehr hin zur strukturierten Schadensbegrenzung, was die Reaktion im Ernstfall beschleunigt.

Incident Response: IT-Forensiker sichern digitale Beweise

In den ersten Stunden nach einem Vorfall entscheidet sich das Ausmaß des Schadens. Das IT-Team trennt betroffene Systeme sofort vom Netzwerk, sperrt kompromittierte Accounts und tauscht Passwörter, API-Keys sowie Token aus. Voreilige Neustarts oder Aufräumaktionen vernichten dagegen wichtige Spuren.

Forensiker sichern anschließend Log-Dateien und Snapshots, rekonstruieren den Angriffsverlauf und prüfen, welche Daten abgeflossen sind. Das BSI bietet dafür einen detaillierten Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle. Die Erkenntnisse bestimmen Umfang und Inhalt der Pflichtmeldungen.

Welche weiteren Schritte zur Wiederherstellung der Systeme nötig sind und wie Zero Trust die Angriffsfläche dauerhaft reduziert, lesen Sie im Beitrag von NCP auf vpnhaus.com.

Mary Lynn Manns, langjährige Professorin an der University of North Carolina in Asheville, und der Software-Entwickler Thomas Ronzon von der w3logistics AG leiteten auf der Software-Konferenz OOP in München einen gemeinsamen Workshop. Im „heise meets …“-Podcast erklären sie, wie ihre Muster-Methode aus den Büchern „Fearless Change“ und „More Fearless Change“ in der Praxis funktioniert.

Werkzeugkasten: Muster strukturieren den Wandel

Manns vergleicht ihren Ansatz mit einem Werkzeugkasten für Hausreparaturen: Jede der 61 Strategien trägt einen eigenen Namen und lässt sich gezielt einsetzen. Das Muster „Wake-up Call“ etwa konfrontiert Kollegen mit Problemen, die ihnen bisher nicht bewusst waren. „Imagine That“ wiederum lässt Beteiligte selbst durchspielen, wie eine Veränderung ihre Arbeitswelt verbessern könnte.

Entscheidend ist laut Manns: Selbst ein CIO kann Menschen nicht leichter umstimmen als ein Praktikant. Statt Veränderung anzuordnen, müsse man eine Umgebung schaffen, in der Mitarbeiter selbst Lust auf Wandel entwickeln. Wer eine kleine Kerngruppe gewinne, setze einen Prozess in Gang, der sich schrittweise ausbreite.

Soft Skills: Technische und menschliche Seite gehören zusammen

Ronzon schildert ein Beispiel aus der Logistik: Kommissionierer, die im Konzern selten gehört werden, lieferten nach einem einfachen Gespräch – angestoßen durch eine angebotene Packung Kekse – eine Idee, die die Fehlerquote deutlich senkte. Sie wünschten sich Artikelbilder statt reiner Nummern auf dem Display. Die Trennung zwischen Hard Skills und Soft Skills hält er für überholt: Beides seien zwei Seiten einer Medaille.

Der Wert der Methode liegt laut Ronzon vor allem darin, intuitives Verhalten zu benennen und damit lehr- und wiederholbar zu machen. Wer die Muster kenne, vergesse sie nicht so leicht – und gebe sie an jüngere Kollegen weiter. Alle Details zu den Strategien und weitere Praxisbeispiele liefert der „heise meets …“-Podcast.

Change-Prozesse: Strukturierte Methoden ersetzen Bauchgefühl

Slider

00:00

• Newsletter abonnieren
• Apple Podcasts
• Spotify
• Deezer

Markus Klose von Elastic beschreibt im „heise meets …“-Podcast, wie Unternehmen mithilfe von KI-Agenten und dem neuen Agent Builder aus riesigen Datenmengen gezielt die relevanten Informationen herausfiltern. Statt 10.000 Alarme manuell abzuarbeiten, identifiziert die KI Muster, findet Ursachen und schlägt konkrete Maßnahmen vor – oder setzt sie direkt um.

Wartung: KI findet das richtige Bauteil in Minuten

Klose nennt ein Beispiel aus der Luftfahrt: Ein Passagier meldet ein Klappern an Sitz 22A. Die KI durchsucht sämtliche Wartungshandbücher, identifiziert das betroffene Bauteil und liefert die passende Reparaturanleitung – in Minuten statt in Stunden. Die Bodenmannschaft steht unter enormem Zeitdruck, und genau hier entfaltet die Technologie ihren praktischen Nutzen.

Auch im Security-Analytics-Bereich sieht Klose großes Potenzial: Sicherheitsteams gleichen eingehende Events automatisch mit aktuellen Bedrohungsinformationen ab. So lassen sich Angreifer schneller identifizieren und aussperren. „Bei Bedrohungslagen ist es definitiv wichtig, dass man schnell reagiert“, betont Klose. „Denn wenn einer mal drin ist, ist er drin.“

Agent Builder: Prototypen entstehen ohne großen Aufwand

Mit dem Agent Builder stellt Elastic ein Werkzeug bereit, das den Einstieg in KI-gestützte Anwendungen erleichtern soll. Unternehmen konfigurieren spezialisierte Agenten für unterschiedliche Aufgaben – etwa für eine Filmdatenbank oder für Finanzanalysen. Diese Agenten erhalten Kontext, greifen auf definierte Datenquellen zu und liefern passende Ergebnisse. Viele Unternehmen hätten zwar Ideen, scheiterten aber bislang an der Umsetzung, erklärt Klose.

Entscheidend für die Qualität der KI-Ergebnisse ist laut Fachmann das sogenannte Context Engineering: Je besser die Daten aufbereitet, strukturiert und mit Kontext angereichert sind, desto präziser arbeitet die KI. Klose formuliert es so: „Wenn KI das Gehirn ist, dann ist Context Engineering ihr Gedächtnis.“ Für die Zukunft erwartet er, dass automatisierte Entscheidungen in immer mehr Bereichen Einzug halten – und IT-Teams so den Freiraum gewinnen, an anderen wichtigen Themen statt an Alarmlisten zu arbeiten. Alle Details gibt es im „heise meets …“-Podcast.

KI-Agenten: Context Engineering filtert 10.000 Alarme in Minuten (Gesponsert)

Slider

00:00

• Newsletter abonnieren
• Apple Podcasts
• Spotify
• Deezer

Im „heise meets …“-Podcast erklärt Ari Albertini, CEO des Münchner Software-Unternehmens FTAPI, warum Sicherheit nicht mehr beim einzelnen Mitarbeiter liegen darf und wie Unternehmen ihre sensiblen Daten systematisch absichern. FTAPI schützt nach eigenen Angaben bei über 2.000 Organisationen in Europa den Datenaustausch auf sämtlichen Kanälen.

Digitale Lieferkette: Geschäftsführer stehen vor klaren Entscheidungen

Albertini rät Geschäftsführern, zunächst den konkreten Wert ihrer Daten zu beziffern und das Schadensrisiko realistisch einzuschätzen. Aus dieser Einschätzung ergebe sich eine Kette von Entscheidungen: Selbst absichern oder auslagern? Und falls auslagern – an wen? Eigenentwicklungen seien „zu 99 Prozent keine gute Idee“. Entscheidend sei die Bereitschaft, für Service, Support und Vertrauen zu bezahlen.

Ein konkretes Rechenbeispiel verdeutlicht das Einsparpotenzial: In einem Maschinenbauunternehmen mit 200 Ingenieuren, die täglich 30 Minuten für den manuellen Austausch von CAD-Daten aufwenden, summieren sich die Kosten auf mehrere hunderttausend Euro pro Monat. Automatisierte Plattformen für den Datenaustausch sparen hier nicht nur Geld, sondern schützen gleichzeitig sensible Konstruktionsdaten.

Europas Technologiemarkt: Stärke erfordert mutige Investitionen

Beim Thema digitale Souveränität formuliert Albertini eine klare Definition: Souverän sei, wer am Verhandlungstisch aufstehen und den Anbieter wechseln könne. Europa verfüge über den größten Binnenmarkt der Welt mit 500 Millionen zahlungskräftigen Kunden sowie über erstklassige Universitäten und hervorragend ausgebildete Fachkräfte. Dennoch fehle es an Kapital und Mut, um globale Technologie-Player aufzubauen.

Auch bei der KI-Regulierung sieht Albertini Handlungsbedarf. Der EU AI Act sei ein guter erster Schritt, doch Europa müsse lernen, Gesetze schneller nachzujustieren. Andere Regionen kopierten bereits die besten europäischen Ansätze, ließen aber bremsende Elemente weg. Der vollständige Podcast liefert weitere Einblicke in die Themen Datenschutz-Automatisierung, Regulierung und die CPT-Konferenz 2027 in der Allianz Arena.

Cybersicherheit: Automatisierung entlastet Teams und schützt sensible Daten (Gesponsert)

Slider

00:00

• Newsletter abonnieren
• Apple Podcasts
• Spotify
• Deezer

Marius Holmer, verantwortlich für den deutschsprachigen Markt bei HarfangLab, erläutert im „heise meets …“-Podcast, warum das BSI-Zertifikat gerade für öffentliche Auftraggeber und Betreiber kritischer Infrastrukturen einen hohen Stellenwert hat. Die Zertifizierung spiegele das Engagement des Unternehmens für den deutschen Markt wider.

Datensouveränität: On-Premise-Option sichert sensible Branchen ab

HarfangLab startete als reiner EDR-Anbieter (Endpoint Detection and Response) und hat sein Portfolio in den vergangenen eineinhalb Jahren um eine Endpoint Protection Platform sowie ein Attack Surface Management erweitert. Die Entwicklung geht in Richtung XDR bzw. Workspace Detection and Response – allerdings ohne den Anspruch, eine komplette Security-Plattform abzubilden.

Ein zentrales Unterscheidungsmerkmal: Die Datenhaltung bleibt in Europa, Unternehmen haben die Wahl zwischen einer Cloud- und einer On-Premise-Variante. Letzteres sei für Branchen wie den Verteidigungssektor oder KRITIS-Betreiber oft entscheidend. Zudem setzt HarfangLab auf Transparenz – Kunden sollen nachvollziehen können, wodurch ein Alarm ausgelöst wurde, statt auf eine „Blackbox“ zu stoßen.

Partnerstrategie: Lokale Dienstleister übernehmen den Kundenkontakt

Für den Markteintritt in der DACH-Region setzt Holmer auf ein Partnermodell: HarfangLab liefert die Lizenz, lokal verankerte Partner übernehmen die Dienstleistung vor Ort. In den ersten sechs Monaten konnte das Unternehmen nach eigenen Angaben bereits über 20 Kunden im deutschsprachigen Raum gewinnen – viele davon im öffentlichen Sektor, weshalb konkrete Namen nicht genannt werden.

Für das laufende Jahr kündigt Holmer zwei weitere Produktergänzungen an. Gleichzeitig baut die Firma ihr Vertriebsteam aus, um Partner stärker zu unterstützen und neue Projekte zu identifizieren. Alle Details zur europäischen EDR-Strategie gibt es im „heise meets …“-Podcast.

Endpoint-Security: BSI zertifiziert europäische Cyberabwehr (Gesponsert)

Slider

00:00

• Newsletter abonnieren
• Apple Podcasts
• Spotify
• Deezer

Nikolas Schran von G DATA Cyber Defense erläutert im „heise meets …“ -Podcast, wie das Bochumer Unternehmen sich im Wettbewerb positioniert. Die seit 40 Jahren existierende Firma richtet sich gezielt an KMU, öffentliche Auftraggeber und zunehmend auch an Unternehmen aus dem Rüstungsbereich. Der Kern des Versprechens: Sämtliche Kundendaten liegen ausschließlich in Deutschland, alle Technikkomponenten entstehen in Bochum – und der Support läuft rund um die Uhr auf Deutsch.

Managed Security: Kleine IT-Teams erhalten eine verlängerte Werkbank

Schran rechnet vor, dass Unternehmen typischerweise nur anderthalb bis zweieinhalb Prozent ihres Etats für IT-Sicherheit aufwenden. Bei einem 300-Personen-Betrieb reiche das schlicht nicht für einen eigenen 24/7-Schutz. Genau hier positioniert sich G DATA als „verlängerte Werkbank“, die gemeinsam mit Partnern den Schutz beim Endkunden sicherstellt.

Das Unternehmen setzt dabei auf ein sogenanntes Direct-Touch-Modell: G DATA verkauft nicht direkt an Endkunden, sondern arbeitet mit Systemhauspartnern zusammen, die den Kunden bereits kennen. Ein überarbeitetes Partnerprogramm soll diesen Ansatz weiter stärken. Schran betont, dass reine Funktionsvielfalt kein Differenzierungsmerkmal mehr sei – entscheidend sei, ob ein Anbieter die konkreten Bedürfnisse seiner Kunden wirklich verstehe.

Rebranding: Komplexe Technik trifft auf einfache Kommunikation

Parallel dazu treibt G DATA ein Rebranding voran. Ziel ist es, das Portfolio aus Endpoint-Schutz, XDR, Awareness-Trainings und Dienstleistungen unter einem einheitlichen Auftritt zu bündeln. Schrans Leitgedanke: Die Software darf intern hochkomplex sein, doch für Partner und Kunden muss alles einfach zugänglich bleiben.

Mit Blick auf die kommenden Jahre formuliert Schran pragmatische Ziele statt großer Visionen. G DATA wolle der verlässlichste Anbieter in Deutschland sein, der deutschen Datenschutzregeln vollständig entspricht. Alle Details zu Partnerprogramm, Rebranding und Kundenstrategie gibt es im „heise meets …“-Podcast.

Cybersicherheit aus einer Hand: Deutsche Plattform verteidigt Firmendaten in Echtzeit (Gesponsert)

Slider

00:00

• Newsletter abonnieren
• Apple Podcasts
• Spotify
• Deezer

Die Cyber-Resilienz-Verordnung der EU bringt viel Arbeit für Hersteller vernetzter Produkte. NCP engineering beleuchtet in einem neuen Beitrag, was der Cyber Resilience Act (CRA) konkret bedeutet. Seit Dezember 2024 gilt die Verordnung bereits, doch die Fristen sind gestaffelt: September 2026 bringt erste Meldepflichten, Dezember 2027 dann die kompletten Anforderungen.

Das BSI spricht von einem „Mindestmaß an Cybersicherheit“ für vernetzte Produkte. Betroffen sind mehr Geräte, als viele denken: nicht nur Smartwatches, vernetztes Spielzeug und Computerspiele, sondern auch Business-Lösungen. Mikroprozessoren, Cloud-Anwendungen, Firewalls und VPNs – sie alle brauchen künftig bestimmte Sicherheitsvorgaben. Verschont bleiben nur Open-Source-Projekte ohne kommerzielle Absichten.

Produktklassen: VPNs zählen zur Klasse I wichtiger Produkte

Die Verordnung unterscheidet vier Produktkategorien mit unterschiedlichen Anforderungen. Produkte wie Smartphones oder Saugroboter unterliegen den geringsten Auflagen. VPN-Software und -Hardware zählen zu den wichtigen Produkten der Klasse I – gemeinsam mit Webbrowsern, Passwort-Managern und SIEM-Lösungen. Betriebssysteme, Router und Switches gehören ebenfalls in diese Produktklasse.

Hypervisoren und Container-Plattformen stuft die EU als Klasse-II-Produkte ein. Chipkarten und Hardware-Sicherheitsmodule gelten sogar als kritische Produkte. Diese Einteilung bestimmt die konkreten Pflichten: Von internen Kontrollen über EU-Baumusterprüfungen bis zur umfassenden Qualitätssicherung reichen die vorgesehenen Module. Die strengeren Anforderungen für höhere Kategorien bedeuten mehr Dokumentation und aufwendigere Prüfverfahren.

Update-Pflicht: Fünf Jahre kostenlose Sicherheits-Patches

Eine zentrale Neuerung betrifft die Update-Verpflichtung: Hersteller müssen mindestens fünf Jahre lang kostenlose Sicherheits-Updates bereitstellen. Kürzere Zeiträume akzeptiert die EU nur bei Produkten mit geringerer Lebensdauer. Die Updates müssen unverzüglich nach dem Bekanntwerden von Schwachstellen erfolgen. Nur bei maßgeschneiderten Produkten dürfen Unternehmen kostenpflichtige Patches vertraglich vereinbaren.

Die Umsetzung beginnt mit einer Bestandsaufnahme betroffener Produkte. Hersteller müssen Risikobewertungen durchführen, Prozesse anpassen und umfassend dokumentieren. Die Verordnung gilt unabhängig von der Unternehmensgröße. Wer die CRA-Vorgaben nicht erfüllt, darf seine Produkte ab Ende 2027 nicht mehr in der EU verkaufen. Die möglichen Strafen haben es in sich: bis zu 15 Millionen Euro oder 2,5 Prozent vom Jahresumsatz. Das BSI hilft Unternehmen mit technischen Richtlinien und Infomaterial, sich auf die neuen Regeln vorzubereiten. NCP engineering zeigt im vollständigen Beitrag, welche konkreten Schritte Hersteller jetzt einleiten sollten.

Im Podcast „IT auf die Ohren – IT Tech“ sprechen Oliver Auf der Heide von der IOK und Marcel Bücker von HPE über den aktuellen Stand der Virtualisierungslösung HPE VME. Die basiert auf der 2024 übernommenen Software von Morpheus Data und wurde seitdem als strategisches Produkt weiterentwickelt. Bücker betont, dass HPE VME 90 Prozent aller Features abdecke, die Administratoren für den stabilen Betrieb einer Virtualisierungsplattform benötigen.

Feature-Set: Eine einzige Version liefert alles mit

Dazu gehören Live-Migration virtueller Maschinen, High Availability, Storage-Migration im laufenden Betrieb und ein automatisiertes Load Balancing namens „Distributed Workload Placement“. Im Gegensatz zu den Wettbewerbern stecken alle Funktionen in einer einzigen Produktversion – ohne kostenpflichtige Upgrades. Auf der Heide sieht darin sogar eine Übererfüllung der Anforderungen vieler Mittelstandskunden.

Allerdings räumt Bücker ein, dass die Installationsroutine anfangs Schwierigkeiten bereitete. Erst mit dem Universal Installer in Version 8.0.8 sei der Prozess deutlich einfacher geworden. Auf der Heide ergänzt, dass etablierte Anbieter 20 Jahre Vorsprung bei der Installationsreife hätten – gemessen daran sei HPE in gut zwei Jahren weit gekommen. Beide empfehlen, vor der Installation die Netzwerkarchitektur sorgfältig zu planen, DNS-Einträge vorzubereiten und sich mit erfahrenen Partnern abzustimmen.

Drittanbieter-Support: Back-up-Hersteller steigen ein

Ein häufiger Einwand betrifft die Langlebigkeit des Produkts. HPE nutzt VME auch intern für eigene Appliances – ein Indiz dafür, dass das Produkt nicht kurzfristig eingestellt wird. Zudem unterstützen bereits Back-up-Anbieter wie Commvault und Veeam die Plattform. Die HPE Qualification Matrix listet zudem validierte Hardware anderer Hersteller auf, darunter Server und Storage-Systeme von Wettbewerbern.

Für Unternehmen, deren Fachanwendungen noch nicht HPE-VME-zertifiziert sind, empfiehlt Auf der Heide einen Hybridbetrieb: VME verwaltet dann parallel auch bestehende VMware-Umgebungen über eine zentrale Oberfläche. Alle Details und Praxistipps zur Installation und Netzwerkplanung liefert die aktuelle Podcast-Folge von „IT auf die Ohren – IT Tech“.

Die NCP engineering GmbH warnt in einem neuen Blog-Beitrag vor rechtlichen Fallstricken bei der VPN-Nutzung. Viele Anbieter stammen aus den USA oder anderen Ländern ohne EU-konforme Datenschutzstandards. Das schafft erhebliche Compliance-Risiken für deutsche Unternehmen.

Die Rechtsanwälte Keller-Stoltenhoff (Keller GbR) stufen die Zusammenarbeit mit US-Dienstleistern als „nicht rechtskonform möglich“ ein, zitiert NCP. Firmen handelten damit „potenziell datenschutzwidrig“. Die Folge seien mögliche Aufsichts- und Bußgeldverfahren. Kleine und mittlere Unternehmen stehen zwar seltener im Fokus der Behörden als große Konzerne, das Risiko bleibt trotzdem bestehen.

Serverstandort: EU-Hosting allein reicht nicht aus

Ein Server in der EU garantiert noch keine DSGVO-Konformität. Der US CLOUD Act verpflichtet amerikanische Firmen zur Datenherausgabe an US-Behörden – selbst bei Servern, die sich in Deutschland befinden. NCP erklärt diesen kritischen Punkt ausführlich.

Die seit Mai 2018 geltende DSGVO schreibt einheitliche Datenschutzstandards in der EU vor, wodurch frühere Schlupflöcher nicht mehr existieren. Parallel dazu regelt das BDSG-neu nationale Bereiche. Beide Regelwerke erfassen auch VPN-typische Daten wie IP-Adressen und Standortinformationen.

Betriebsvereinbarung: Transparenz schafft Rechtssicherheit

DSGVO-konforme VPN-Anbieter minimieren die Datenerfassung konsequent – sie verschlüsseln stark und verarbeiten Daten nur zweckgebunden. Nutzer behalten die Kontrolle über ihre Verbindungsdaten, das Missbrauchsrisiko sinkt deutlich. Unternehmen müssen das Prinzip der Datensparsamkeit befolgen und ihre Compliance dokumentieren.

Firmen mit Betriebsrat benötigen oft eine Betriebsvereinbarung für den VPN-Einsatz. Diese schafft Transparenz und reduziert Konflikte. Sie definiert die erlaubte Nutzung, ausgeschlossene Datenerhebungen und Zugriffsrechte. Die Vereinbarung stellt die DSGVO-Konformität sicher und benennt klare Ansprechpartner. NCP empfiehlt im Blog-Beitrag, nur mit EU-basierten Dienstleistern zusammenzuarbeiten.