Infowatch: Data-Leakage in Deutschland – drei typische Ursachen
Datenpannen deutscher Unternehmen und Behörden
Fortsetzung des Artikels von Teil 1
Erster Fall: Anwenderfehler beim E-Mail-Versand bleiben Sicherheits-Schwachstelle
Zahlreiche Fälle 2011 ließen sich auf Anwenderfehler beim Umgang mit E-Mails zurückführen. Meist wurden versehentlich Empfänger statt in das BCC-Feld in die Empfängerleiste geschrieben oder bei einer weitergeleiteten E-Mail fanden sich weiter unten noch vertrauliche Informationen. Solche Fehler geschehen nicht absichtlich, sind leider aber auch keine Seltenheit. Aufwendige Sicherheitssoftware umfasst diese Art des Datenlecks meist nicht. "In der Regel ist Security-Software darauf ausgelegt, zu gewährleisten, dass nicht autorisierten Personen der Zugriff verwehrt wird", erläutert Kaspersky. "Haben Personen aber erst einmal Zugriff, so gibt es oft keinen effektiven Schutz vor größeren Problemen durch Anwendungsfehler und Unaufmerksamkeiten. DLP-Software erkennt die Art der Daten und analysiert das Benutzerverhalten, um Benutzer rechtzeitig zu warnen." Folgende Fälle ereigneten sich 2011, die sich allesamt auf Anwenderfehler beim Versenden von E-Mails zurückführen lassen:
- Ein großer Lebensmittelkonzern suchte vergangenes Jahr Fachkräfte und schrieb diese Stellen öffentlich aus. Im Rahmen des Bewerbungsverfahrens wurden alle Bewerber in einer Sammelmail angeschrieben. Zynischerweise wurden die Bewerber in dieser Sammelmail über geänderte Datenschutzbestimmungen informiert. Der Datenschutz wird hier vor allem deshalb empfindlich verletzt, weil eventuell auch der bisherige Arbeitgeber auf diesem Weg von einer Bewerbung erfahren könnte, was letzten Endes die Kündigung des bestehenden Arbeitsverhältnisses zur Folge haben könnte. Insgesamt standen über 200 Empfängern in der Adress-Zeile dieser E-Mail.
- Ein fast identischer Fall ereignete sich auch bei einer Partei im Berliner Senat, die ebenfalls über 200 E-Mail-Adressen von Bewerbern in das CC-Feld anstelle des BCC-Feldes kopiert hatte, mit gleichen Konsequenzen.
- Auch ein baden-württembergischer Fußball-Verein sorgte für einen breiten Adress-Austausch unter den Fans durch E-Mails mit hunderten von Empfängern.
- Die Arbeitsagentur einer niedersächsischen Stadt verschickte ebenfalls auf diese Weise Informationen an insgesamt 650 Empfänger. Für alle Empfänger waren folglich die E-Mail-Adressen von hunderten weiterer Arbeitssuchender einsehbar.
- Ein besonders extremer Fall, der aber schon mit Standard-DLP-Software hätte verhindert werden können, ereignete sich bei einer Grazer Bank. Um Kunden von einem Kredit zu überzeugen schickte ein Mitarbeiter diesem Kunden die Daten von weiteren 150 Kunden um zu demonstrieren, welche Vorteile dieser Kredit auch anderen Kunden bereits gebracht hatte. Ein Fall der deutlich macht, dass nicht nur das Fehlverhalten eines einzelnen Mitarbeiters enorme Konsequenzen haben kann, sondern das auch die Bank selber ihrer Sorgfaltspflicht nur ungenügend nachgekommen ist. Ein Unternehmen wie eine Bank, das mit hochsensiblen Daten arbeitet, sollte gewährleisten können, dass bestimmte Daten weder absichtlich noch unabsichtlich an Unbefugte weitergeleitet werden können.
- Datenpannen deutscher Unternehmen und Behörden
- Erster Fall: Anwenderfehler beim E-Mail-Versand bleiben Sicherheits-Schwachstelle
- Zweiter Fall: Versehentliche Veröffentlichung im Internet - ein weiterer Standard-Anwendungs-Fehler
- Dritter Fall: Mangelhafte Entsorgung von Altpapier als unterschätzte Ursache für Data-Leakage
- Situation in Deutschland vergleichsweise positiv zu bewerten
Lesen Sie mehr zum Thema
