Die Datenablage des Grauens

Lach- und Sachgeschichten aus der Cybersecurity

Im beruflichen Kontext kommt es häufig vor, dass mehrere Personen Zugriff auf Daten haben müssen. Seien es die AGB der Firma, Werbetexte oder Anleitungen für den Support – diese Liste lässt sich unendlich fortsetzen. Während Firmen ab einer gewissen Größe und Mitarbeiteranzahl im organisatorischen Bereich meist klare Anweisungen zur Datenablage haben sieht es in kleinen Unternehmen hingegen meisten Vogelwild aus und es herrscht eine „das habe ich immer so gemacht“ oder „ist doch immer gut gegangen“ Mentalität.

Unsere Geschichte:

Ein kleines Unternehmen mit 20 Mitarbeitern, davon ca. 6 mit Bürotätigkeiten und 14 im Außendienst beim Kunden. Es gibt keine Richtlinien bzgl. Datensicherheit und Datenschutz und jeder bewältigt die Aufgaben im Prinzip so wie es ihm oder ihr gefällt. Ganz nach dem Motto das Ergebnis ist wichtig. Also hat unsere Mitarbeiterin, nennen wir Sie Barbara, in den letzten Jahren seit Ihrer Home Office Zeit während Corona alle Ihre Daten in einer Cloud gespeichert. Das Konto hat Sie sich einfach angelegt und der Gratis-Speicherplatz war ausreichend. Mit einem kleinen Tool für Windows konnte Sie auch ganz einfach festlegen welche Daten mit der Cloud synchronisiert werden. Genial einfach und unglaublich nützlich für Barbara die jetzt auch Zuhause alle Daten im Zugriff hatte. Es gab auch nie Probleme und alles lief super. Jetzt hat Barbara aber nach Jahren das Unternehmen verlassen. Von der Cloud wußte keiner und Barbara konnte weiterhin mit dem Passwort an alle Daten rankommen (wir gehen mal davon aus, dass alle anderen/bekannten Passwörter von Barbara geändert wurden als Sie das Unternehmen verlassen hat). Jetzt wurde Ersatz für Barbara gefunden – nennen wir Sie Luise. Luise setzen wir natürlich an den alten Platz von Barbara, da Luise das selbe machen soll wie Barbara, ändern wir nur den Namen des Benutzerkontos am PC auf Luise und lassen alles andere wie vorher. Geht am schnellsten und derjenige oder diejenige, welche sich um die Technik kümmert macht das nur nebenbei und sucht die effektivsten und schnellsten Lösungen. Luise weiß natürlich nichts von der Synchronisation der Daten in die Cloud, welche Barbara eingerichtet hat, und alle neuen Daten werden weiter synchronisiert. Barbara hätte also auf alles Zugriff was Luise so auf Ihrem Rechner speichert.
Aufgefallen ist das ganze nur wegen einem anderen Computerproblem und sich gewundert wurde warum den ein Cloud-Dienst im Hintergrund Daten synchronisiert. Meistens fallen solche Sicherheits- und/oder Datenschutz-Probleme nur durch Zufälle auf.

Der Fehler in unserer Geschichte liegt primär in der Führungsetage, weil die Angestellten keine Anweisungen und Hilfestellungen für den Umgang mit Ihren Daten erhalten haben. Barbara hat zwar falsch gehandelt, aber das war in der Firmenkultur so normal, dass sich jeder seine Wege sucht und solange jeder arbeiten kann ist alles gut. Bei der Übernahme des PCs hätte man mindestens ein neues Benutzerkonto anlegen müssen für Luise um solchen Problemen aus dem Weg zu gehen, dass kann man aber eigentlich auch nicht von dem Kollegen erwarten, der den Arbeitsplatz „eingerichtet“ hat. Er ist ja ebenfalls in keinster Weise geschult und macht es nur aus dem Grund, weil ein Externer zu teuer wäre und Zeit kosten kann.

Jetzt ist nichts schlimmeres passiert, da die Daten nicht gestohlen oder gelöscht wurden. Barbara und Luise hatten zudem keine hochsensiblen Daten im Zugriff und Barbara hat die Synchronisation auf Ihre private Festplatte ausgestellt. Aber doch sollte jedem klar sein, dass durch das unbewußte Fehlverhalten einzelner ganz schnell Sicherheitslücken auftreten können, die Teils zu hohen Schäden führen können.

Der richtige Ansatz

Alle Daten bleiben grundsätzlich auf Firmengeräten, das heißt es werden keine Daten per E-Mail oder USB-Stick an private Geräte gesendet um dann ggf. auf diesen Geräten weiterzuarbeiten. Die Firma stellt einen Server zur Datenablage bereit, dieser ist meistens als Laufwerk des PCs eingerichtet und der Nutzer hat seine Rolle entsprechend Zugriff auf Daten, die für ihn freigegeben sind. Dies sind in der Regel alle Daten und Dokumente, die er oder sie für seine Arbeit braucht. Im genauen heißt das, dass die Sekretärin Einblick in den Schriftverkehrs des Büros bekommt, aber keinen Zugriff auf die Daten der Produktentwicklung hat. Jeder hat Zugriffsrechte im Rahmen seiner Tätigkeit und Stellung im Unternehmen. Dies dient nicht nur zum Schutz des Unternehmens, sondern auch zum Schutz des Einzelnen – Wer keinen Zugriff auf Daten hatte ist auch erstmal entlastet, wenn diese Daten verändert, gelöscht oder an Dritte weitergeben werden.

Die Firma legt klare Richtlinien fest wo und wie Daten gespeichert werden dürfen und wie diese mit anderen geteilt werden.

Der falsche Ansatz

Jeder ist sich selbst der Nächste – Gerade in kleinen Firmen ohne IT-Angestellten herrschen katastrophale Zustände. Hier wird im Home-Office mit privaten Geräten gearbeitet, die Daten gerne mal mit privaten Mail-Adressen von A nach B geschoben, Daten per USB-Stick mitgenommen und auch nicht selten mal verloren oder einfach der private Cloud Dienst zum Datentransfer genutzt. Das bei dem Versand über Mails der Mailanbieter theoretisch mitlesen kann und bei der Verwendung von Clouddiensten die Daten schnell auf Servern in den USA landen, wo unsere Datenschutzverordnungen nicht greifen ist dabei den wenigsten bewußt. Dabei kommt es nicht selten zu Multiplikatoren, wenn Mitarbeiter A die Google-Cloud nutzt und seine Mails per Gmail versendet und Mitarbeiter B die Microsoft Cloud und GMX-Mail oder sonstige verwendet. Schnell liegen die Daten so auf mehreren Systemen und können natürlich überall potentiell abgefischt werden. Merke: Je weniger Systeme involviert sind, desto weniger Wege gibt es die Daten zu klauen!

Fazit

Auch wenn es keinen Spaß macht, sollten sich auch kleine Unternehmen (ja auch Einzelunternehmer) Gedanken darum machen wie Sie sich sinnvoll aufstellen. Natürlich kann nicht jeder Schreiner und Dachdecker einen IT-Spezialisten beschäftigen und das verlangt auch keiner, jedoch ist eine regelmäßige Beratung/Schulung sinnvoll um Gefahren zu vermeiden und immer am aktuellen Stand zu bleiben.

Hier eine kleine Checkliste:

• Werden private elektronische Geräte für die Arbeit eingesetzt? Wenn ja, sollte man versuchen deren Einsatz zu minimieren. Zum Beispiel durch den Einsatz von Laptops, die im Büro als auch im Home Office verwendet werden oder durch ein Firmentelefon, wenn der Mitarbeiter z.B. für das SocialMedia der Firma auf ein Mobiltelefon angewiesen ist für seine Arbeit.
  Es sollte kein Datenzugriff von privaten Geräten erfolgen! In dem Moment wenn man ein privates Gerät benutzt, ist die Sicherheit von Unternehmensdaten durch ein weiteres Gerät und damit eine weitere Angriffsmöglichkeit gefährdet.
• Wo werden Daten gespeichert? Daten (Briefe, Rechnungen, Aufträge etc.) müssen meist von mehreren Personen im Zugriff sein, also müssen diese zentral abgelegt werden können. Hier sollte man sich beraten lassen und einen seriösen Clouddienst oder einen eigenen Server zur Datenablage etablieren, neben diesen darf es keine weiteren geben.
• E-Mails nur von Firmenkonten! Es werden keine Daten an oder von privaten Mail Adressen gesendet. Auch werden die Firmenkonten in der Regel nicht bzw. nur nach ausdrücklicher Genehmigung auf Privatgeräten genutzt.
• Kunden oder Geschäftskontakte nutzen unbekannte Software Es wird nicht einfach alles installiert oder bedenkenlos genutzt, was der Kunde empfiehlt um zu kommunizieren. Hier ist immer erst die Erlaubnis vom Vorgesetzten einzuholen! Meistens lassen sich einfache und schnelle Lösungen finden um den Datenaustausch oder die Kommunikation zu gewährleisten.
• Backups Backups sollten regelmäßig durchgeführt werden, sowohl der Daten die man für seine Arbeit braucht und am PC gespeichert sind als auch der Daten am Server oder in der Cloud. Diese Backups (zumeist auf USB Sticks oder Festplatten) sollten dann an einem sicheren Ort verwahrt werden. Es bringt nichts seine Daten vor Cyberangriffen zu schützen, wenn das Backup am Tisch liegt und die Reinigungskraft es jederzeit einstecken könnte.