Datensicherheit – das Experteninterview

Daten vom Wind zerstreut

Während eines Spaziergangs fallen mir Papierschnipsel am Wegrand auf, die dort verstreut herumliegen. Neugierig geworden hebe ich einige davon auf. Es scheint eine Mahnung zu sein mit Androhung weiterer Folgen. Offensichtlich versucht hier jemand, das Problem zu lösen, indem er das Dokument einfach verschwinden lässt. Weitere Papierfetzen stellen sich als Rezept heraus. Mit diesen Fragmenten bekomme ich innerhalb weniger Minuten folgende Informationen über diese mir bis dahin völlig fremde Person:
• Name und Adresse
• Geburtsdatum
• Schuldenstand Handyvertrag
• Vertragsdaten Handyvertrag
• Medikament
• Krankenkasse und Arzt

Metadaten & ihre Verknüpfung

Außerdem wird mir durch die Namensungleichheit zwischen Mahnung und Rezept klar, dass die Person dazwischen geheiratet hat. Eine Recherche nach dem Medikament ergibt die Information, dass die Person unter Verspannungen und Rückenschmerzen leiden muss. Offensichtlich befindet sie sich in einer schwierigen Lebensphase. Die aufgelaufenen Handyschulden sind da vermutlich nur einer von mehreren Faktoren.

Die Höhe der Schulden, der Name des Medikaments und der genaue Inhalt der Mahnung interessiert mich dabei nur sekundär. Primär sind es andere Dinge, die solche Papierfetzen für mich wertvoll machen.

Kanäle & Wege

Die Person hat sich nämlich zufällig vor kurzem bei mir beworben. Es ist ein fast unglaublicher Zufall und ein ungewöhnlicher Kanal, der mir Informationen über die Person zugespielt hat. Und ich weiß nun, dass es zumindest riskant sein dürfte, eine solche Person für eine verantwortliche Tätigkeit einzustellen.

Diese Informationen hätte ich vermutlich über die einschlägigen sozialen Netzwerke nicht oder nicht so einfach bekommen. Wer postet schon eine Handymahnung oder ein Rezept? Wobei das schon wieder anders aussieht, wenn solche Dokumente per E-Mail verschickt werden. Sicher, in Unterhaltungen in Netzwerken kann durchaus auch ein ungewollter Satz zu den Handyschulden fallen oder dass die Person zur Linderung ihrer Rückenbeschwerden ein Medikament einnimmt.

Datenfluss & Datenklau

Die Begebenheit zeigt einmal mehr, wie sorglos Menschen mit ihren Daten umgehen. In diesem Fall könnte es auch ein Versehen gewesen sein und keine Absicht. Allerdings ist auch das Versehen ein passendes Bild für das, was täglich im Netz geschehen kann. Daten können sorglos „weggeworfen“ werden und von nicht gewünschten Personen im Netz „gefunden“ werden. Daten können leichtfertig im Netz verbreitet werden, ohne dass sich der Sender darüber klar ist, welche Folgen das haben kann. Nicht zuletzt: Daten können gestohlen werden und ohne Zustimmung des Eigentümers zu einem Bild zusammengesetzt werden.

Zu leicht konzentrieren sich die Befürchtungen, wenn sie überhaupt vorhanden sind, nur auf einen Bereich und weitere Quellen von Datenunsicherheit werden zu wenig berücksichtigt. Außerdem wird zu wenig erkannt, welche Informationen kritisch sind und dass sich durch Sammlung und die Kombination der Informationen ungünstige Momente ergeben können, die eine Person ungewollt in Schwierigkeiten bringen kann oder dieser Nachteile bringt, z.B. bei Bewerbungen oder geplanten Geschäften.

Sorglosigkeit & Unsicherheit

Untersuchungen und Befragungen zeigen immer noch und immer wieder, dass sogar Personen, die beruflich mit Daten zu tun haben, meist sehr leichtfertig mit diesem Thema umgehen und häufig nicht einmal die grundlegendsten Vorsichtsmaßnahmen beachten. Obwohl laut einer Bitkom-Studie die Anzahl der Internetnutzer, die die Sicherheit ihrer persönlichen Daten im Internet als unsicher einschätzen, zwischen 2011 und 2014 von 55 auf 86 % gestiegen ist, dürften die aktiven Sicherheitsmaßnahmen dieser Personen nicht im gleichen Verhältnis gestiegen sein. Das ist jetzt jedoch nur eine Vermutung des Autors.

Maßnahmen?

Letztlich weiß kaum jemand ganz genau, wie und auf welchen Wegen Daten aus Computer oder Smartphone abgegriffen werden können und welche Maßnahmen dagegen schützen. Einen völligen Schutz wird es wohl niemals geben. Aber das, was wir wissen, sollten wir zum Schutz unserer Daten anwenden. Dabei spielen neben den privaten Daten, die immer eine Rolle spielen, im Umfeld der Technik-Dokumentation besonders kundenbezogene Daten, Geschäftsgeheimnisse, Geschäftskontaktdaten, Dateien und mehr eine Rolle. Worauf sollten Sie hier achten?

Das Interview

Wir wollten dazu genaueres wissen und haben einen Experten befragt:

Peter-Suhling-Fachexperte-Datenschutz

Peter Suhling, u.a. zertifizierter Datenschutzbeauftragter, Auditor für Datenschutz und ISO 27001 (IT-Security, Grundschutz) und Kooperationspartner der TÜV SÜD Sec-IT GmbH. Suhling weist in seinem Blog aktuell darauf hin, dass die geplante Datenschutz-Grundverordnung der EU die Datensicherheit weiter schwächen könnte, weil damit u.a. die Position des internen Datenschutzbeauftragten bei Unternehmen mit weniger als 9 Mitarbeitern, die mit personenbezogenen Daten umgehen, nicht mehr verpflichtend sein wird.
Wer in einem Unternehmen jedoch kaum oder gar nicht mit diesem Thema konfrontiert wird und wenig sachkundig ist, kann zwei gegensätzliche Probleme haben: er ist zu sorglos und hat keine konkrete Vorstellung, welche Gefahren es gibt oder er hat eine übertriebene Sicht der Gefahren. Beides ist auf Dauer unbefriedigend und führt zu Unsicherheit im Umgang mit Daten. Wir wollten mit dem folgenden Interview etwas Licht ins Dunkel bringen.

Frage 1 | Edward Snowden äußerte sich immer wieder kritisch über die Sorglosigkeit der Bevölkerung hinsichtlich des Umgangs mit Daten. Die meisten scheint die Überwachung nicht zu interessieren, weil sie meinen, sie hätten doch nichts zu verbergen. Was halten Sie von dieser Einstellung?

Eine solche Aussage ist gefährlich und zeugt von Unwissenheit. Jeder hat Dinge, die ihm anvertraut wurden. Diese sind schützenswert. Wer mit den eigenen Daten unvorsichtig umgeht, lässt vermuten, auch Daten anderer Personen mit der gleichen sorglosen Einstellung zu behandeln und unter Umständen auch zu verbreiten. Einer solchen Person würde ich nichts anvertrauen.

…das hört sich nach einem unbeabsichtigt leichtsinnigen Verhalten an…

Ja, andere können meine Daten auch verbreiten, nicht nur ich selbst. Sicher gibt es die Unsicherheit, was denn nun wo und von wem einsehbar ist. Das wird auch letztlich immer schwieriger nachvollziehbar. Es kann aber jeder selbst entscheiden, was er anderen anvertraut oder im Internet veröffentlicht. Gerade auch wenn es um private Daten, wie Namen und Fotos von Familienangehörigen geht.

Frage 2 | Ist Datensicherheit nur ein Schlagwort? Gibt es sichere Wege durch das Netz?

Sicherheit findet im Kopf statt. Wenn ich niemandem traue, denke ich, alles ist unsicher. Man sollte es anderen natürlich nicht zu leicht machen und sich dabei im Klaren sein, dass Sicherheit nicht ohne einen gewissen Aufwand zu erreichen ist. Diesen Aufwand wird jedoch niemand auf sich nehmen, dem die potenzielle Unsicherheit der eigenen Daten nicht klar ist. Es gibt schon Möglichkeiten, es anderen zumindest zu erschweren, an die eigenen Daten zu kommen, nur wie schon gesagt, das geht nicht ohne Mühe. Sich nicht darum zu bemühen ist vergleichbar mit jemandem, der auf dem Marktplatz seinen Namen und seine sonstigen privaten Daten verkündet; das erfährt dann vielleicht nicht die ganze Welt, aber doch genügend Leute, die gerade zugegen sind. Und denen würde derjenige solche Informationen im privaten Gespräch niemals anvertrauen.

Frage 3 | Die Mühe fängt schon bei den Passwörtern an. Solange es nicht bessere Verfahren gibt, müssen wir uns weiterhin mehr Passwörter ausdenken, als wir uns merken können. Und diese auch noch regelmäßig ändern. Wer macht das wirklich?

Das Problem gibt es besonders in Unternehmen, die es aus datenschutzrechtlichen Gründen untersagen, Passwörter zu notieren. Dieses Gebot wird jedoch oft nicht beachtet und es kommt daher vor, dass man das Passwort auf einem Zettel in der Schublade oder sogar offen am Platz eines Mitarbeiters lesen kann. Es gibt Fälle eines Missbrauchs von Passwörtern durch Kollegen, die sich wegen solchen Leichtsinnigkeiten unberechtigterweise in den Account eines Mitarbeiters einloggen und sich dann z.B. Unterlagen verschaffen oder auch finanzielle Buchungen zu ihren Gunsten ausführen. Hier kommt es oft nicht zu großen Coups, sondern es werden meist Straftaten begangen, die nicht auffallen, wenn derjenige nicht genau hinschaut. Das kann einen Mitarbeiter in große Schwierigkeiten bringen, besonders wenn er den Passwortdiebstahl nicht ausreichend belegen kann und daher selbst in einen Verdacht gerät.

Für die Verwaltung und die Generierung von Passwörtern gibt es Software, sogenannte Passwortmanager, die Accountdaten einer Webseite speichern und ein immer wieder neues Anmelden ersparen. Diese ermöglichen auch den Zugriff über mobile Geräte. Man hinterlegt in einem solchen Passwort-Tool z.B. alle Passwörter zum Zugriff auf Webseiten, z.B. das Passort zum Amazon-Account oder zu fachbezogenen Websites.

Wer meint, einem solchen Passwort-Safe könne man nicht vertrauen, kann Vergleichstests im Internet finden, die von bekannten Technik-Verlagen herausgegeben werden.

Wer sich Passwörter schlecht merken kann, sollte sich Tipps einholen, wie man leicht zu merkende und doch recht sichere Passwörter generiert.

Frage 4 | Verschlüsselung ist für viele eine Hürde und klingt nach Aufwand. Es würden sicher auch Privatpersonen externe Dienstleister dafür bemühen, wenn das wahre Ausmaß der Datenunsicherheit mehr bekannt wäre oder?

Eine unverschlüsselte E-Mail z.B. ist wie eine Postkarte, die jeder lesen kann. Wer den Aufwand einer Verschlüsselungssoftware nicht betreiben möchte, kann sensible Daten oder persönliche oder vertrauliche Nachrichten auch folgendermaßen verschicken:

Die Datei oder die Nachricht als Textdatei in eine verschlüsselte ZIP-Datei packen und das Passwort über einen anderen Weg verschicken, z.B. per SMS. Das Passwort sollte immer über einen anderen Kanal verschickt werden. Sicherheit bedingt schon etwas Energie und einen gewissen Aufwand. Je nachdem, wie sicherheitskritisch oder schützenswürdig Daten sind, sollte der Sender diese Maßnahmen nicht scheuen.

Frage 5 | Welche Tipps können Sie Technik-Redakteuren hinsichtlich geheimer Daten geben?

Eine Geheimhaltungsvereinbarung muss von beiden Seiten unterschrieben werden. Geschäfte per Handschlag werden zuweilen noch gemacht, sind aber kritisch zu sehen, weil es bei einem Schaden oder einer Vertragsverletzung keine klaren Verhältnisse gibt, wenn diese nicht schriftlich festgehalten sind.

Häufig erfolgt die Kommunikation trotz Geheimhaltungsvereinbarung unverschlüsselt, obwohl der Passus unterschrieben wurde, dass „Daten keinem Dritten zugänglich gemacht werden.“ Das ist weit verbreitet und im Prinzip solange kein Problem, solange nichts passiert. Um späteren Komplikationen vorzubeugen, folgender Tipp: Sie sollten mit dem Auftraggeber abstimmen, dass Ihre Kommunikation unverschlüsselt erfolgt und sich das bestätigen lassen. Der Auftraggeber wird das positiv aufnehmen, wenn Sie sich als Auftragnehmer oder Dienstleister dazu äußern. Sie zeigen damit, dass Ihnen die Datensicherheit wichtig ist. Er kann das dann so annehmen oder um eine verschlüsselte Kommunikation bitten. Für Sie ist es wichtig, sich in dieser Hinsicht abzusichern und diesen Sachverhalt offen zu nennen und zu klären.

Die Geheimhaltungsvereinbarung berührt aber nicht nur die Übermittlung von Daten und Nachrichten, sondern auch die Speicherung von vertraulichen Daten der Technik-Redaktion, z.B. Konstruktionsdaten und Zeichnungen, die als Sicherungskopie auf dem NAS abgelegt sind.

Frage 6 | Wie sicher ist das NAS-Laufwerk meiner Technik-Redaktion?

Auch hier ist die Verschlüsselung wichtig, in dem Fall die des Routers. WPA2 ist hier besser als WPA. Und natürlich kommt es darauf an, dass der Zugriff auf das Laufwerk passwortgeschützt ist. Bei sensiblen Daten gelten umso mehr die bekannten Ratschläge zu ausreichender Passwortlänge, Verwendung von Groß-/Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen.

Aufgrund der Tatsache, dass der Technik-Redakteur im Rahmen einer Geheimhaltungsvereinbarung dafür haftbar gemacht werden kann, wenn sich Dritte unerlaubterweise Zugriff auf geheimes Material verschafft haben, ist hier besondere Sorgfalt angeraten. So sollte es nicht vorkommen, dass dem Betreiber des Laufwerks eine mangelnde Sorgfaltspflicht aufgrund eines schwachen oder als Notiz zugänglichen Passworts nachgewiesen werden kann.

Frage 7 | Welche Kriterien sollten beim Surfen im Internet und beim Benutzen von Suchmaschinen und sozialen Netzwerken beachtet werden?

Die einschlägigen Browser erlauben das „Private Surfing“ oder den Inkognitomodus (Google Chrome). Google weist aber beispielsweise ausdrücklich darauf hin, dass sowohl der Provider, als auch z.B. ein Arbeitgeber trotzdem bestimmte Daten des Surfers speichert, z.B. die IP-Adresse des Rechners. So wird in einem solchen Modus zwar nach Aussage des Browseranbieters nicht der Browserverlauf gespeichert, der Zugriff mit Datum, Zeit und Dauer kann jedoch trotzdem nachvollzogen werden.

Viele Hilfen, die das Arbeiten im Web vereinfachen, sind aus der Sicherheitsperspektive betrachtet kritisch. So ist die AutoFill-Funktion von Google komfortabel beim Ausfüllen von Webformularen, bedingt aber, dass die Kontaktdaten des Nutzers, wie Name, Adresse, Telefonnummer und E-Mail-Adresse gespeichert werden. Diese Funktion ist oft standardmäßig aktiviert, lässt sich aber in den Accounteinstellungen abschalten.

Auch Facebook z.B. erlaubt detaillierte Einstellungen der Privatsphäre, bedingt aber eine sorgfältige Konfiguration, was wiederum mit Aufwand verbunden ist, den viele scheuen.

Man kann aber letztlich nicht alles kontrollieren bzw. weiß nicht wirklich, wer etwas mitlesen kann. Deswegen gelten auch hier die genannten Empfehlungen bezüglich dessen, was man der Öffentlichkeit anvertraut – und letztlich sind diese Dinge öffentlich, auch wenn sie vermeintlich in engem Kreis geteilt werden.

… was ist bei WLAN-Verbindungen zu beachten?

Die Verbindung zu WLAN-Spots, die z.B. in einem mobilen Gerät gespeichert sind, erfolgt automatisch, wenn die WLAN-Funktion des Gerätes aktiv ist und man sich einem entsprechenden WLAN-Punkt nähert. Das kann bei unsicheren Verbindungen (offenes WLAN-Netz) kritisch sein. Hacker können z.B. mit einem WLAN gleichen Namens sehr einfach die Aktionen eines mobilen Gerätes verfolgen und auch auf dieses zugreifen und Daten, z.B. das Adressbuch, auslesen.

Sie sollten sich nicht in ein Firmen-WLAN einwählen, wenn dieses unsicher ist oder sogar per Richtlinie verboten ist. Wer sicher gehen möchte, sollte die WLAN-Funktion unterwegs ausschalten und nur aktivieren, wenn ein vertrauenswürdiges Netzwerk zur Verfügung steht.

Frage 8 | Wie kann ich überwachen, was zu meiner Person im Internet erscheint?

Eine vollständige Kontrolle kann es nicht geben, jedoch eine Möglichkeit, etwas bezüglich der Informationen zur eigenen Person im Internet zu erfahren, bietet z.B. Google Alert. Sie können in diesem Tool Keywords hinterlegen, die dann von Google bei jedem neuen Auftreten indiziert werden. Sie erhalten dazu Informationen an die E-Mail-Adresse Ihres Google-Kontos.

Frage 9 | Welche Empfehlung können Sie Unternehmen bezüglich Datensicherheit geben?

Je größer das Unternehmen ist und damit der Faktor „Mensch“, desto wichtiger ist es, bezüglich Datensicherheit up to Date zu sein. Ein Mindeststandard lässt sich nur erreichen, wenn alle Mitarbeiter die Grundlagen zum Datenschutz und zur Datensicherheit kennen und anwenden. Wenn das Unternehmen keinen Datenschutzbeauftragten hat, ist meine Empfehlung, dieses Thema durch einen Dienstleister abklopfen zu lassen, also einen Sicherheitscheck machen zu lassen. Man muss in einem kleineren Unternehmen nicht unbedingt einen internen Datenschutzbeauftragten haben, daher ist das Hinzuziehen eines externen Dienstleisters interessant und sei es nur, um Unsicherheiten zu klären. Einen halben Tag oder einen Tag in dieser Hinsicht zu investieren, kann sehr lohnend sein und führt dazu, dass potenzielle oder tatsächliche Lücken entlarvt werden. Vor allem erhöht eine Schulung der Mitarbeiter das Sicherheitsempfinden und reduziert falsche Vorstellungen in diesem Bereich.

Ein langfristiger Erfolg wird sich jedoch nur einstellen, wenn die geschulten Kenntnisse auch angewendet werden und die in einer Datenschutzrichtlinie als betriebliche Anweisung formulierten Vorgaben auch befolgt werden.

Aber auch kleine Unternehmen oder Einzelkämpfer können von einer Beratung profitieren. Schließlich geht es um die gleichen Themen und es können die gleichen Fehler gemacht werden.

Frage 10 | Welches Empfinden haben Sie persönlich bezüglich Anspruch und Wirklichkeit von Safe Harbour? Werden unsere Daten mit dem EU-Urteil irgendwann sicherer sein?

Mein Empfinden, sowie das vieler anderer Datenschutzbeauftragter, hat sich mit dem Urteil des Europäischen Gerichtshofs bestätigt: Dieses Verfahren ist nicht sicher. Die „Safe Harbor“-Erklärung ist als Rechtsrahmen für die Übermittlung personenbezogener Daten in die USA nicht mehr zulässig. Bis Ende Februar 2016 wird es hoffentlich etwas mehr Klarheit geben, wenn das neue EU-US Privacy Shield vorangetrieben wird, welches das Safe Harbor-Abkommen ablösen soll. Aber auch hier ist zu prüfen, ob die EU-Standardvertragsklauseln und die Binding Corporate Rules, sowie die EU-Datenschutzgrundverordnung im Einklang stehen. Zu empfehlen ist, die Rechtslage ständig zu beobachten und ggf. Änderungen umzusetzen. Neue Verträge mit Unternehmen mit Sitz in den USA sollten in Zusammenarbeit mit dem Datenschutzbeauftragten geklärt werden und geprüft werden, ob europäische Cloud-Lösungen ebenfalls in Frage kommen könnten. Damit würde der Umgang mit personenbezogenen Daten sicherer, da dann deutsche bzw. europäische Gesetze (Europäische Datenschutzgrundverordnung) den Umgang regeln.

Herr Suhling, ich bedanke mich für das interessante Interview.

Schlussgedanken

Der Chaos-Computer-Club schaffte es zu Beginn seiner Existenz nur durch eine drastische und ungesetzliche Aktion, auf die bereits zu Beginn des Webs vorhandenen gravierenden Sicherheitsmängel aufmerksam zu machen. Und immer noch scheint die Sensibilität diesbezüglich recht gering ausgeprägt zu sein. Das mag auch daran liegen, dass kaum jemand hinter die Kulissen blickt, um die Präsenz und den Umfang der eigenen Daten im Netz zu prüfen.

Aktionen wie die des Österreichers Max Schrems gegen Facebook, der von dem Netzwerk eine Übersicht über die dort zu seiner Person verfügbaren Daten einforderte und über dessen Umfang schockiert war, zeigen immer wieder die Brisanz des Themas, aber auch das Engagement verschiedener Aktivisten im Bemühen um Abhilfe.

Selbst wenn sich die Dinge zum Besseren wenden sollten, was zu bezweifeln ist, sollten Sie die hier besprochenen Tipps umsetzen, denn die Bemühungen um den Schutz unserer Daten scheitern oft an langwierigen Prozessen und sind letztlich nur schwer nachprüf- und kontrollierbar.

Hinweis: Dieser Artikel wird demnächst im Praxishandbuch „Technische Dokumentationen“ bei WEKA Media erscheinen. Gerne vermitteln wir Ihnen ein kostenloses Probeabo. Nehmen Sie dazu Kontakt zu uns über das Kontaktformular auf.

Links

Datenschutz-Grundverordnung
WEKA-Praxislösung „Datenschutz-Management kompakt“
suhling management consulting

Dienstleistungen, Wissenswertes und Expertenbeiträge: Themen rund um die Technik-Dokumentation.