IITR Datenschutz Blog

Das passiert gar nicht so selten…

18.12.2008

Es tut mir leid, wenn ich es mal so offen sagen – der Bericht von Heise schockiert mich kein bisschen:

Eine Mitarbeiterin der drittgrößten deutschen Landesbank hat versehentlich eine Datei mit Daten von mehr als 800 Geschäftskunden per E-Mail an einen völlig unbeteiligten Privatmann verschickt. […] Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten. “Aufgrund eines Buchstabendrehers in der Adresse” landete die Datei dann in den falschen Händen, hieß es.

Der unbedarfte Leser glaubt das nicht. Und bevor ich hier aus dem Nähkästchen plaudere, zitiere ich mal einfach aus einer Meldung, ebenfalls bei Heise, gerade mal ein gutes halbes Jahr her:

Daten von rund 44.000 Studenten der Universität waren im Netz frei zugänglich. […] Die Untersuchung des Vorfalls hat ergeben, dass ein Verwaltungsangestellter offenbar an einem Wochenende zu Hause arbeiten wollte und dafür die Daten, eine Access-Datenbank unter anderem mit Namen, Geburtsdatum, Anschrift, Telefonnummer, Herkunft sowie Angaben zum Studium wie Matrikelnummer, auf einen öffentlich zugreifbaren Server abgelegt hat;

Man muss schon jenseits von “Naiv” sein, um die Parallelen hier zu übersehen. Gleiches gilt, wenn man ernsthaft glaubt dass das eine Ausnahme zwei Ausnahmen waren. Alleine in diesem Jahr erhielt ich u.a. Kenntnis von diesen Vorgängen (nicht in meinem unmittelbaren Umfeld!):

  • Mail von Rechtsanwalt mit persönlichen Daten ging wegen eines “Drehers” beim Tippen an den falschen Empfänger
  • In einem Brief eines Anwalts an einen Mandanten waren beim Eintüten auch andere Schreiben gelandet
  • Die mobile Festplatte mit Komplett-Backups (natürlich ohne Verschlüsselung) war “plötzlich weg”. Konnte zum Glück relativ schnell geklärt werden und war harmlos.

Dass Mitarbeiter sich Unterlagen mit nach Hause nehmen zum Arbeiten ist heute selbstverständlich. Manche Unternehmen machen es sich einfach, verlangen von ihren Angestellten umfassende Leistungen (die im Büro gar nicht möglich z uerbringen sind), geben ein Rundschreiben raus, dass man nichts mit nach Hause nehmen darf – und “wundern” sich dann, wenn ungesichert Daten transportiert werden. Aufgeschrieen wird dann auch noch, wenn jemand wie ich, nicht einfach nur mit dem Finger auf die Angestellten zeigt, sondern das Unternehmen in die Pflicht nimmt, dass hier für mich weiterhin Verantwortung trägt.

Das Problem der ungesicherten (und großteils ungewollten, ob nun ernsthaft oder nur zum Schein) Datentransporte durch Angestellte sollte jedes Unternehmen angehen, bevor was geschieht. Um das anzugehen, muss man natürlich auch sehr viel Ehrlichkeit an den Tag legen und die eigenen Arbeitsbedingungen vernünftig durchleuchten – daran scheiter wohl häufig dieser Schritt. Bis man dann in der Presse steht – etwas, das auch den “kleinen” jederzeit geschehen kann.

Beitrag teilen:

4 Kommentare zu diesem Beitrag:

Britta Stahl

Problematisch wird es dann erst, wenn verschleiert wird, dass so ein Mißgeschick geschehen ist. Wenn dann die Tage ins Land gehen und die Adressen und Daten erst in die falschen Hände geraten sind, ist es ohnehin zu spät. Dann doch lieber den Mut haben, es zuzugeben.

Das ist dann das zweite Problem: Bei solchen Fehlern ist es m.E. durchaus möglich, schon im vorhinein zu verhindern, dass sie überhaupt auftreten. Es ist schon ein Fehler, das zu ignorieren oder zu glauben, dass so was nicht geschieht.

Dann hinterher noch zu versuchen, zu vertuschen, ist dann wieder eine ganz andere Geschichte. Viele sind (heute) ja auch hinterher bereit die notwendigen Maßnahmen zu ergreifen - wenn man aber (wie ich) der Meinung ist, dass jedenfalls diese "Mitarbeiter-wollte-zu-Hause-arbeiten"-Sachverhalte sich vorher schon entschärfen lassen, dann muss man auch vorher was tun :)

FireFox

Dass Mitarbeiter mitunter zu Hause arbeiten, ist öfter anzutreffen, als vermutet. Bei mir, wie auch im Kundenstamm ist dies der Fall. Bei einem Großteil der Kunden haben wir mitunter Sicherungsmechanismen eingeführt, sodass bei Einhaltung dieser es zumindest erschwert wird, dass vertrauliche Daten in falsche Hände geraten können.
Wenn zB. das Ganze via Mail unbedingt verschickt werden muss, dann kann man sich der Verschlüsselung mittels PGP bedienen, die mitunter (Firmenadresse nach Privat und umgekehrt) eine falsche Adresseingabe mehr oder weniger ausschließt - es fällt auf.
Oder man bedient sich der Möglichkeit von gesicherten VPN-Zugängen, um von der Ferne auf die Daten zuzugreifen und damit zu arbeiten.
Letztendlich "kann" aber immer etwas passieren, denn der Faktor Mensch muss immer einkalkuliert werden, sodass niemals 100% Sicherheit gewährleistet werden kann - aber man kann durch Maßnahmen und angebotenen Möglichkeiten (seitens der Firma im Voraus) und gebotener Vorsicht (Mitarbeiter) und Sorgfalt das Ganze nahe der 100% Marke positionieren.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif