31. Juli 2008 - Innentäter sind unverändert gefährlich

Der eigene Mitarbeiter als Sicherheitsbedrohung

Wenn Mitarbeiter Daten klauen oder auf andere Weise die Sicherheit personenbezogener Daten bedrohen, ist auch der Datenschutzbeauftragte gefordert. Er ist zwar kein „Werkschützer“. Aber solche verbotenen, teils sogar kriminellen Aktivitäten verletzen auch den Datenschutz. Der DSB muss daher wissen, worauf er achten muss, um Gefährdungen zu vermeiden, ohne im Unternehmen eine datenschutzfeindliche Überwachungsmentalität entstehen zu lassen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Der Beitrag stellt das Problem ganz bewusst in einen etwas größeren Rahmen. Denn vieles, was hier von Bedeutung ist, wurde schon anderweitig intensiv diskutiert, so etwa die Sicherung von Industrieanlagen gegen Sabotage.

Immer wieder berichten Nachrichten von großen Datenraubzügen

Die Meldungen kommen meist aus den USA. „Ein IT-Berater ist zu fünf Jahren Haft verurteilt worden, weil er Datensätze von seinem Auftraggeber kopiert und verkauft hat“, wird etwa berichtet (http://www.tecchannel.de). Oder: „Datenbank-Admin klaut 2,3 Millionen Datensätze“ (http://www.tecchannel.de).

Rechtfertigen diese Berichte eine Überwachung in deutschen Unternehmen?

Freilich scheinen die USA weit weg, die Berichte – an deren Echtheit kein Zweifel besteht – zu phantastisch, um sich von ihnen beeindrucken zu lassen.

Und deshalb gleich die Mitarbeiter verstärkt überwachen? Nicht nur dem DSB graust es bei dieser Vorstellung. Auch die Unternehmensleitung fürchtet Verstimmung in der Belegschaft.

Das Umweltbundesamt warnt ebenfalls massiv vor Innentätern

Kaum ein DSB wird gezielt Veröffentlichungen des Umweltbundesamts (UBA) lesen. Das ist in diesem Fall schade. Denn dort könnte er feststellen, dass Innentäter als besonders gefährlich eingestuft werden, wenn es um die Sicherung von Industrieanlagen gegen Eingriffe Unbefugter geht.


Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Erkenntnisse des UBA lassen sich auch für die Datenverarbeitung verwerten

Vieles, was dabei festgestellt wurde, lässt sich ohne Weiteres auf den Bereich der Datenverarbeitung übertragen:

  • Mitarbeiter, die Schäden anrichten, sind auf allen betrieblichen Hierarchieebenen anzutreffen.
  • Schädliches Verhalten schleift sich ein und kommt selten aus völlig heiterem Himmel.
  • Umbruchphasen im Unternehmen stellen besonders schadensanfällige Situationen dar.

Solche Erkenntnisse sind nicht neu. Vielleicht ist das aber gerade der Grund dafür, dass sie so oft ignoriert werden.

Schutz vor Innentätern ist ein gutes Argument für Datenschutzmaßnahmen

Der DSB wird sich – seiner gesetzlichen Aufgabe entsprechend – auf das konzentrieren, was er spezifisch aus der Sicht des Datenschutzes gegen Aktivitäten von Innentätern tun kann.

Dabei ergeben sich gute Argumentationsmöglichkeiten, um Maßnahmen durchzusetzen, die sich allein mit Datenschutz schwer verkaufen lassen. Dies zeigt sich besonders auf den beiden Feldern „Zugriffsberechtigungen“ und „Datenträger“.

Die Zugriffsberechtigungen müssen stets differenziert sein

Die heute üblichen Arbeitsstrukturen ziehen typische Schwachstellen nach sich, die einen unerlaubten Zugriff auf Daten oder deren Missbrauch provozieren können. Auf folgende Schwachstellen sollte der DSB dabei achten:

Schwachstelle 1: Zugriff auf Kundendaten im Außendienst zu weit gefasst

Der Datenzugriff ist unvermeidlich, wenn Kunden vor Ort betreut werden. Die Frage ist aber, ob dazu ein Zugriff „auf alles“ nötig ist und alles auf dem Laptop gespeichert sein muss.

Zu suchen ist nach Wegen, bei denen Grunddaten wie Name, Anschrift und laufende Geschäfte zur Verfügung stehen, während weiter gehende Daten etwa zur Zahlungsabwicklung im Einzelfall erst durch eine dafür zuständige Stelle freigegeben werden müssen.

Eine „kleine Lösung“ sähe so aus, dass der Zugriff auf solche erweiterten Daten in jedem Fall protokolliert wird (unter regelmäßiger Auswertung der Protokolle!).

Schwachstelle 2: Speicherung von Daten bei der Arbeit am heimischen PC

Durch geeignete Techniken lässt sich weitgehend sicherstellen, dass an und mit den Daten zwar gearbeitet werden kann, eine lokale Speicherung im heimischen Bereich jedoch nicht erfolgt. Was nicht gespeichert ist, kann auch nicht weitergegeben werden!

Schwachstelle 3: Keine „VIP-Bestände“

In nahezu jedem Dienstleistungsunternehmen gibt es heikle Datenbestände. Der KFZ-Versicherer hat Kunden, die im Sicherheitsbereich tätig sind oder unter Zeugenschutz stehen. Der Rollstuhl-Lieferant hat gehandicapte Kunden – leichte Opfer für Kriminelle.

In solchen Fällen werden aus gutem Grund strikte Zugriffsbeschränkungen vorgesehen. Wenn nicht, ist es Sache des DSB, das Thema anzusprechen.

Die Protokollierung ist kein Ersatz für Zugriffsberechtigungen!
Oft bekommt man zu hören, so viel Mühe in puncto Zugriffsberechtigungen sei unnötig. Schließlich werde jeder Zugriff protokolliert.
Dieser Ansatz führt jedoch aus folgenden Gründen nicht weiter:

  • Auch ein Verstoß, der protokolliert wurde, bleibt ein Verstoß. Besser ist es, ihn von vornherein zu vermeiden.
  • Die Auswertung von Protokolldaten verursacht viel Aufwand und unterbleibt deshalb oft.
  • Protokolldaten sind in der Regel personenbezogene Daten der Beschäftigten und deshalb selbst datenschutzrechtlich problematisch.

 

Datenträger sind Gefahrenträger

Zu häufig wird vergessen, dass ein Datenträger nicht nur selbst Daten trägt, sondern auch dazu benutzt werden kann, diese Daten davonzutragen. Ein platter Kalauer? Schön wäre es! Denn zu oft

  • ist der Einsatz von USB-Sticks gar nicht geregelt, und im Ernstfall muss der Mitarbeiter den ihm privat gehörenden Stick noch nicht einmal zur Überprüfung herausgeben,
  • gibt es kein zuverlässiges Verzeichnis der mobilen Festplatten, die im Unternehmen „herumschwirren“,
  • haben alle PCs Schächte für CD oder gar Brennprogramme, obwohl die meisten Mitarbeiter dies für ihre Arbeit gar nicht brauchen.

Vorsicht ist besser als Nachsicht

„So etwas hätten wir uns gerade bei Herrn X nie vorstellen können“, ist ein häufiger Satz, wenn der Ernstfall einer Innenattacke eingetreten ist.

Er pflegt die Quittung dafür zu sein, dass man sich in falscher Sicherheit wiegte, weil man Ratschläge der vorstehenden Art für zu banal hielt.

Bringen Sie auch scheinbar banale Vorsichtsmaßnahmen aufs Tapet

Gerade deshalb sollte der DSB diese Punkte thematisieren und damit zeigen, dass er das Wohl des Unternehmens stets mit im Auge hat.

Dr. Eugen Ehmann

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln