Bundesamt für Sicherheit in der Informationstechnik

G 3.13 Weitergabe falscher oder interner Informationen

Bei der Weitergabe von Informationen kommt es immer wieder vor, dass neben den gewünschten Informationen auch andere Informationen übermittelt werden. Dadurch geraten immer wieder vertrauliche oder nicht für die Veröffentlichung geeignete Informationen in die falschen Hände. Dies kann sowohl beim Versand oder der Übergabe von Datenträgern passieren als auch beim persönlichen oder telefonischen Informationsaustausch oder bei jeder anderen Form von Datenübertragung. Eine weitere Möglichkeit ist die unbeabsichtigte Weitergabe von Daten bei der Weitergabe, dem Verkauf oder der Aussonderung von vermeintlich gelöschten Datenträgern.

Es ist denkbar, dass ein für den Versand oder sonstige Weitergabe vorgesehener Datenträger bereits Daten früherer Arbeitsgänge enthält, die dem Empfänger nicht zur Kenntnis gelangen sollen. Diese Daten können vom Empfänger gelesen werden, wenn sie vorher nicht gezielt vom Absender physikalisch gelöscht werden.

Befinden sich darüber hinaus die zu übertragenden Daten in einem Verzeichnis mit weiteren Daten, die ebenfalls schutzbedürftig sind, besteht die Gefahr, dass diese versehentlich mit auf den Datenträger übertragen werden ( z. B. weil der Einfachheit halber das komplette Verzeichnis kopiert wurde) und dem Empfänger unnötig (unberechtigt) zur Kenntnis gelangen.

Häufig sollen Datensätze nicht über einen physischen Datenträger ausgetauscht, sondern über Datennetze direkt versandt werden, beispielsweise über E-Mail im Internet, Modem-Verbindung, interne Firmennetze oder einen X.400-Dienst. Hierbei bieten viele Kommunikationsprogramme die Möglichkeit der Verwendung von Kurzbezeichnungen für komplexe Adressstrukturen und Verteilerlisten für die Mehrfachversendung. Werden solche Verteilerlisten nicht zentral geführt oder nicht in regelmäßigen Abständen aktualisiert, können Datensätze an Adressen versendet werden, die zu nicht mehr autorisierten Personen gehören.

Immer wieder kommt es vor, dass Informationen auf Datenträgern, die weitergegeben, verkauft oder ausgemustert werden sollen, nicht vollständig gelöscht wurden. Die einfachen Löschbefehle der meisten Betriebssysteme können rückgängig gemacht oder die Daten mit frei verfügbaren Softwarewerkzeugen wieder hergestellt werden. Vermeintlich vernichtete Daten können ausgelesen und unberechtigt verwendet werden.

Auch beim klassischen Postversand kommt es immer wieder vor, dass vertrauliche Unterlagen versehentlich an den falschen Empfänger versandt werden oder dass Briefe zusammen mit internen Kommentaren ausgedruckt und unbemerkt kuvertiert werden. Häufig sollen auch Unterlagen weitergegeben werden, aus denen nur einige vertrauliche Teilinformationen wie Namensnennungen entfernt werden müssen. Dabei kann es passieren, dass dies nicht oder nur unzulänglich erfolgt, z. B. weil Passagen übersehen wurden oder die falsche Methode gewählt wurde.

Beispiele:

  • In einer Behörde wurden bei der Ausmusterung von Datenträgern die darauf gespeicherten Daten nicht vollständig und unumkehrbar gelöscht, da ein ungeeignetes Tool dafür genutzt wurde. Die Rekonstruktion mit frei verfügbaren Softwarewerkzeugen war daher möglich. Nach dem Verkauf von IT-Systemen und Datenträgern war es Käufern möglich, vertrauliche Daten einzusehen und weiterzuverbreiten.
  • Eine häufig benutzte Methode, um in Dokumenten Teilinformationen unkenntlich zu machen, ist das Schwärzen. Hierbei kann allerdings vieles schief gehen:
    • Bei Schriftstücken auf Papier werden vertrauliche Passagen oft mit schwarzen Filzstiften übermalt. Die Originalinformation kann dabei oft schon wieder sichtbar gemacht werden, indem das Schriftstück gegen das Licht gehalten wird.
    • Das Pentagon hat im Mai 2005 einen Untersuchungsbericht im Internet veröffentlicht, in dem Personennamen und Informationen zur militärischen Lage im Irak unkenntlich gemacht worden waren. Aus der PDF-Datei ließen sich die geschwärzten Daten jedoch durch einfaches Kopieren und Einfügen über die Zwischenablage wieder sichtbar machen. Im ursprünglichen Word-Dokument hatte das Pentagon die Passagen nur mit einem schwarzen Hintergrund versehen. Beim PDF-Export blieb der darunterliegende Text jedoch erhalten.

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK