… denn sie wissen nicht, was sie tun

… denn sie wissen nicht, was sie tun

  • Comments 4
  • Likes

Hi, Fabian hier. Heute mal mit einem Beitrag “der etwas anderen Art”, der meine persönliche Meinung zum Thema “Datenschutz” beinhaltet.

Gerade ist es mir wieder passiert: Ich stehe in der S-Bahn im Gang und hinter dem Glasfenster zum Viererabteil setzt sich ein Mann (geschätzt Mitte 40) auf einen der freien Plätze. Er ist offensichtlich zum Flughafen unterwegs, das selbe Szenario sehe ich im Prinzip jeden Tag. Nun geht er an einen seiner größeren rollenden Koffer und packt sein Notebook aus. Ich denke mir schon: “Nein, nicht schon wieder.” Aber doch – es kommt wie es kommen muß.

Das Notebook startet: Zuallererst erscheint der Bildschirm einer Verschlüsselungslösung, die nach dem Kennwort verlangt. Wer in der Bahn sein Notebook auf dem Schoß balanciert, nutzt oft nur eine Hand zum Tippen, die andere hält das Notebook fest. Daher wird nur mit dem Zeigefinger getippt – entsprechend langsam.

Im Normalfall schaue ich immer weg, wenn jemand sein Kennwort eingibt. In diesem Fall denke ich mir aber: Heute schaust Du einmal hin! Und siehe da, ein männlicher Vorname. Wahrscheinlich der Name seines Kindes. Wäre man also auch so drauf gekommen, wenn man ihn kennt oder kennenlernt…

Und selbst wenn nicht: Annähernd jedes mobile Telefon bringt mittlerweile eine kleine Kamera mit (inkl. Filmaufnahme), warum sollte ein schlechter Mensch, der hinter dem Herrn Mitte 40 steht, nicht einfach mitfilmen und es sich nach dem Diebstahl des Notebooks in Ruhe mit halber Geschwindigkeit anschauen?

Eine Scheibe ist mittlerweile nicht mehr zwischen mir und dem Reisenden, gekleidet mit Anzug und Krawatte – er hat sich mit den Knien so weit nach außen gelehnt, daß ich förmlich in Fahrtrichtung auf den Bildschirm des Notebooks schauen muß, wenn ich mich nicht aktiv weg bewege.

Weiter geht es, Windows lädt. Offensichtlich ein Domänenclient, ich sehe das Drop Down Menü der Domänenauswahl der Anmeldung. Den Benutzernamen natürlich auch. Das folgende Benutzerkennwort wird nun genauso langsam eingegeben wie das erste. Ok, sie unterscheiden sich. Nicht schlecht. Aber scheinbar ist es diesmal ein Mädchenname – wahrscheinlich der seiner Frau oder Tochter. Mit einer 3 am Ende. Da es sich nicht um ein Datum handeln kann liegt die Vermutung nahe, daß der Mädchenname schon 4x zur Anwendung kam: 1x nur der Name, 1x mit einer “1” am Ende, es folgt beim nächsten Kennwortwechsel die “2” usw. “Daumen hoch”, denke ich mir.

Ich schüttele vor Entsetzen einfach nur noch den Kopf. Nun gut, schlimmer kann es ja fast nicht mehr kommen.

Zumindest denke ich das so lange, bis das erste Word Dokument aufgeht – und das Logo einer größeren gesetzlichen Krankenkasse erscheint. Als Kopf von einem Dokument, das mir auf den ersten Blick aussieht wie ein Vertrag. Spätestens jetzt drehe ich mich wirklich weg, denn das geht mir zu weit. Dem Mittvierziger scheinbar nicht, denn er verbringt die restliche gemeinsame Fahrt mit mir munter mit dem E-Mail prüfen, der Word-Dokument Bearbeitung usw.

Aber gut – wenigstens hat er nicht zusätzlich nebenbei mit einem Kollegen telefoniert und dabei allen Mitreisenden die Geschichte der heutigen Vertragsverhandlung noch einmal laut und deutlich mitgeteilt, wie ich es sonst so auf dem Weg zum Flughafen mit anhören darf.

In solchen Situationen spielt sich bei mir dann immer mein Kopfkino ab:

Ich nehme mir den Hörer meines Mobiltelefons zur Hand, wähle die Nummer des Arbeitgebers vom mitteilungsbedürftigen Fahrgast und melde mich in der Zentrale oder besser gleich beim Marketing:

“Einen schönen guten Tag, Mustermann mein Name.

Ich habe da eine PowerPoint Präsentation mit abfotografierten Bildern Ihrer Krankenkassen-Kundendaten gebastelt. Schön mit Animationen usw. – wirklich ansehnlich, ein Augenschmaus. Die Liste ist von heute Nachmittag, habe ich gerade frisch herein bekommen. Die haben Sie noch nicht einmal auf dem Tisch, so neu ist die.

Ich würde die Präsentation gern beim Bundesdatenschutzbeauftragten halten, benötige dafür jedoch noch ein nettes Logo von Ihnen – das auf dem Foto ist ein wenig unscharf. Das macht keinen guten Eindruck – und Sie wissen ja: Der erste Eindruck zählt.

Könnten Sie mir bitte ein aktuelles Firmenlogo per E-Mail senden?”

Aber dann denke ich, daß dort der Kopf des Bahnfahrers rollen würde; und das möchte ich natürlich auch nicht.

Vielleicht werde ich nun besser beginnen, die Reisenden aktiv auf die Thematik anzusprechen und sie fragen, ob Ihnen überhaupt klar ist, was sie da gerade tun. Aber vermutlich riskiere ich dann ein paar Beleidigungen und vollkommenes Unverständnis. Sei’s drum.

Ok, ich gebe zu, die Geschichte ist “nichts neues”. Aber gerade das macht es aus meiner Sicht so schlimm – wir haben hier täglich mit diversen sicherheitsrelevanten Themen zu tun, unsere Kunden setzen immer mehr Technik ein, die die Firmen- als auch Kundendaten schützen soll. Festplattenverschlüsselung, Verschlüsselung auf Dokumentenebene, E-Mail Verschlüsselung und Signierung, RMS usw. usf. – aber all dies wird durch eine 20 minütige Bahnfahrt vom Mitarbeiter ad absurdum geführt.

Und das, obwohl im Grunde jeder Arbeitsvertrag eine Verschwiegenheitsklausel enthält; wenn man sich also schon nicht für den Datenschutz interessiert (schlimm genug), dann ist man doch zumindest an seinem Arbeitsplatz interessiert?

Mich würde interessieren, was Ihr in Eurem Unternehmen zur Schulung bzw. Benutzer-Sensibilisierung tut. Bei uns gibt es wiederkehrende, zwingende Mitarbeiterschulungen (für alle Mitarbeiter, nicht nur die rein technisch geprägten), die sich mit solchen Themen beschäftigen. Plus die zyklischen Hinweise auf SharePoints, E-Mails etc., die etwaige Neuerungen, relevante Fragestellungen oder Hinweise dazu enthalten. Denn die beste Technik nützt nicht viel, wenn den Benutzern nicht klar ist, warum die Technik allein nicht “schützt”.

Wie sieht es also bei Euch aus?

Viele Grüße
Fabian

Comments
  • Hi Fabian,

    ein wares Wort was du da sagst: "Denn Sie wissen nicht was sie tun."

    Beim Thema Datensicherheit hört zwar jeder gern zu aber wenn es um's aktiv daran teilhaben und einhalten geht, dann schalten sehr viele diesen Sichehheitsmechanismus im Kopf wieder ab.

    Da fragt man sich doch wirklich ob Mitarbeiter im Unternehmen ausreichend sensibilisiert auf dieses Thema werden.

  • Hallo Roland, Hallo Fabian,

    nein das sind die nicht. Sicherheitmechanismen wie lange und komplexe Kennwörter etc. werden größtenteils immer noch als lästig empfunden. Wenn man aber den Usern grade solche Szenarien vorhält, wie von Fabian beschrieben, dann könnte bei dem Einen oder Anderen ein Denkprozess einsetzen :-)

    Gruß

    Martin

  • Hallo Fabian

    Deine Geschichte kann ich nur zu gut nachempfinden. Hier in Shanghai ist das Ganze leider noch viel schlimmer.

    Das empfinden für Sicherheit und Privatsphäre ist hier nicht, mit der schnellen Einführung von Technik, mit gewachsen.

    Viele Engineers mit denen ich täglich zusammenarbeite, denken immer noch 'App-name' 'admin' ist eine gute Benutzername Passwort Kombination. Auch ein Klassiker ist, bei allen Kunden das gleiche Passwort zu verwenden.

    Noch ein Beispiel gefällig. Alle SIM Karten, die man hier bekommt, haben keine voreingestellte PIN. Vielen Verkäufern ist nicht mal klar, das eine SIM Karte eine PIN haben kann.

    Es mag sein, dies ist der anderen Mentalität geschuldet ist. Jedoch wenn ich einem langjährigen Engineer erklären muß, das eine Städtename und eine Jahreszahl kein gutes Passwort ist, dann weiß ich auch nicht.

    Fast schon lächerlich ist, daß so viele Hackerangriffe aus China kommen. Vielleicht kommt ja mal jemand auch die Idee, man könnte den Spieß umdrehen. Die Erfolgschancen sind auf alle Fälle sehr viel besser.

    Viele Grüße aus Shanghai

  • Moin!

    Netter tatsachenbericht.

    Weil ich das von meinen Arbeitskollegen auch kenne, haben wir uns dazu entschlossen von 3M die Sichtschutzfolien zu kaufen. Jeder Mitarbeiter hat sowas nun an seinem Notebook.

    Zumindest bietet das etwas Schutz....

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment