Bundesamt für Sicherheit in der Informationstechnik

G 3.44 Sorglosigkeit im Umgang mit Informationen

Häufig ist zu beobachten, dass in Institutionen zwar eine Vielzahl von organisatorischen und technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit den Vorgaben und der Technik wieder ausgehebelt werden. Ein typisches Beispiel hierfür sind die fast schon sprichwörtlichen Zettel am Monitor, auf denen Zugangspasswörter notiert sind. Auch andere Beispiele für Nachlässigkeit, Pflichtvergessenheit oder Leichtsinn im Umgang mit schützenswerten Informationen finden sich in großer Menge.

Beispiele:

  • In der Bahn oder im Restaurant geben Mitarbeiter oft intimste Unternehmensdetails über ihr Mobiltelefon weiter. Dabei informieren sie jedoch nicht nur den Gesprächspartner, sondern auch die Umgebung. Beispiele für besonders interessante Interna sind,
    • warum der Vertrag mit einer anderen Firma nicht zustande kam oder
    • wie viele Millionen der Planungsfehler in der Strategie-Abteilung gekostet hat und wie das die Aktienkurse des Unternehmens drücken könnte, wenn irgendjemand davon erführe.
  • Häufig ist es bei Dienstreisen erforderlich, ein Notebook, einen Organizer oder andere mobile Datenträger mitzunehmen. Immer wieder ist zu beobachten, dass diese während Pausen unbeaufsichtigt im Besprechungsraum, im Zugabteil oder im Auto zurückgelassen werden. Bei mobilen IT -Systemen sind die damit erfassten Daten oftmals nicht an anderer Stelle gesichert. Werden die IT-Systeme gestohlen, sind die Daten ebenfalls verloren. Dazu kommt, dass sich brisante Informationen auch gewinnbringend weiter veräußern lassen, wenn der Dieb aufgrund fehlender Verschlüsselung oder eines nur unzureichenden Zugriffsschutzes einfach darauf zugreifen kann.
  • Ein Grund, ein Notebook oder Akten auf Dienstreisen mitzunehmen, ist auch, die Fahrzeiten produktiv nutzen zu können. Hierbei bieten sich Mitreisenden oft interessante Einblicke, da es in der Bahn oder im Flugzeug kaum zu vermeiden ist, dass Sitznachbarn in den Unterlagen oder auf dem Bildschirm mitlesen können.
    Öffentliche Räumlichkeiten, z. B. Hotel-Foyer, Hotel-Business-Center, Zug-Abteil, bieten in der Regel nur wenig Sichtschutz. Gibt der Benutzer Passwörter ein oder muss Veränderungen an den Konfigurationen vornehmen, so kann ein Angreifer ohne größeren Aufwand an diese Informationen gelangen und sie missbräuchlich nutzen.
  • In jüngerer Zeit werden E-Mails häufig von einem Mobiltelefon oder Smartphone abgerufen, da die Zeit, um das Notebook zu starten, als zu lang empfunden wird oder weil in einem vollen Zug gerade kein Platz für das Notebook ist. Mobiltelefone und Smartphones besitzen jedoch viel seltener Sichtschutzfolien, sodass vertrauliche E-Mails von Personen in der Umgebung unbemerkt mitgelesen werden können.
  • Immer wieder sind in der Presse Artikel über Behörden und Unternehmen zu finden, in deren Hinterhöfen sich hochbrisante Papiere im Altpapiercontainer fanden. Bekannt wurden auf diese Weise beispielsweise die Gehaltszahlen aller Mitarbeiter eines Unternehmens und die geheimen Telefonnummern von Unternehmensvorständen.
  • Wenn IT-Systeme Defekte aufweisen, werden diese schnell zur Reparatur gegeben. Meist besteht bei einem Defekt auch keine Möglichkeit mehr, die auf dem betroffenen IT-System gespeicherten Daten zuverlässig zu löschen. Gelegentlich bieten Fachhändler ein funktionsfähiges Austauschgerät an. Es hat allerdings diverse Fälle gegeben, bei denen der Kundendienst den Fehler bei einer anschließenden Überprüfung schnell beheben konnte und der nächste Kunde ebenso kulant das jetzt reparierte Gerät erhielt inklusive aller vom ersten Kunden erfassten Daten.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK