D: E-Mail-Irrläufer beschäftigen Bremer Datenschutzbeauftragten
Rubrik: NachrichtenR. Olschewski - 2B Advice GmbH - the privacy benchmark
Zum 31.03.2011 hat der Landesbeauftragte für den Datenschutz der Stadt Bremen seinen Jahresbericht für das Jahr 2010 der Bremer Bürgerschaft vorgelegt.
Neben den klassischen Problemfeldern wie Google Street View, Cloud-Computing, Videoüberwachung und Volkszählung 2011 fällt bei genauerer Durchsicht des Berichts ein interessanter Schwerpunkt auf, der auch viele Nutzer von sog. Groupware und insbesondere der E-Mailkommunikation über Firmennetzwerke betrifft.
So wurde die Polizei in Bremen intern auf einige Fälle hingewiesen, in denen elektronische Nachrichten versehentlich an einen unberechtigten Empfängerkreis gesendet worden sind. So haben Polizeimitarbeiter bei dem Versenden von E-Mails offenbar Adressen aus dem globalen Adressverzeichnis der Verwaltung gewählt, weil dies so voreingestellt war, anstatt das eingeschränkte Adressverzeichnis der Polizei Bremen zu wählen. Die vertraulichen Mails gingen dann auch an unberechtigte Personen und der Vorgang wurde dem Datenschutzbeauftragten gewahr.
Ursächlich für solche Vorkommnisse ist oftmals eine Unachtsamkeit bei der Auswahl der voreingestellten Adresslisten im Netzwerk. Das Risiko besteht aber nicht nur im Bereich der öffentlichen Verwaltung, sondern insgesamt bei Nutzern von Groupware und E-Mailkonten sowie voreingestellten Adresslisten. Namensähnlichkeiten und Namensgleichheiten sowie nicht gepflegte Namensgruppen können dann zu empfindlichen und unternehmenskritischen Datenverlusten führen.
Auch wenn die Mitarbeiter entsprechende trainiert und sensibilisiert worden sind, ist bei einer solchen Konstellation das Risiko vorhanden, dass Daten unberechtigt übermittelt werden.
Im Zusammenhang mit diesen Vorfällen wurde durch den Bremer Datenschutzbeauftragten auf eine Mitteilung des IT-Sicherheitsbeauftragten der Polizei verwiesen. In dieser Mitteilung an die Belegschaft wird ausdrücklich auf die Regelungen zu Verschlüsselung und zur Verwendung der digitalen Signatur beim Versand von E-Mails hingewiesen.
Der Hinweis ist durchaus berechtigt. Unternehmenskritische Daten oder solche deren Bedeutung im Rahmen eines Datensicherheitskonzepts als hoch vertraulich eingeschätzt worden sind, sollten in der Regel nicht unverschlüsselt versendet werden. Aber der öffentliche Schlüssel sollte nicht unmittelbar beim ausgewählten Kontakt hinterlegt sein, damit nicht mit dem Schlüssel verschlüsselt wird, der mit Auswahl des (ggf. falschen) Kontaktes zur Verfügung steht. In diesem Fall könnte der unbeabsichtigte Empfänger immer noch die Nachrichten lesen, die nicht für Ihn bestimmt sind.
Zentrale Bedeutung hat daher die ständige Aktualisierung der Gruppen in den Adressverzeichnissen und eine besondere Sorgfalt bei der Auswahl des Adressaten.
Quelle: www.datenschutz-bremen.de/pdf/jahresbericht_33.pdf
(840 mal gelesen)
