Als Journalist musst du dich nur in einen Zug oder ein Café setzen und den Leuten zuhören, hat mir einmal vor vielen Jahren ein Ausbilder erklärt. Und auch wenn es sich wohl kaum ein Redakteur zeitlich leisten kann, den ganzen Tag im Kaffeehaus rumzuhängen, entstehen tatsächlich manche Geschichten beim Zuhören – wenn der Chef im ICE mit seinen Mitarbeitern lautstark über die Versäumnisse in einem bestimmten Geschäftsfeld des eigenen oder eines Konkurrenzunternehmens schwadroniert, ein Personalberater in der S-Bahn zum Flughafen über mögliche Kandidaten für eine konkrete Führungsposition spricht (die zu dem Zeitpunkt noch besetzt war) oder ein wichtiger Mitarbeiter eines großen deutschen Internetproviders im Flugzeug an wichtigen Geschäftszahlen arbeitet. Alle drei Fälle sind mir in den letzten Jahren persönlich untergekommen – und ich habe mich immer gefragt, warum dieser Faktor des Datenschutzes neben Hacking und anderen Sicherheitsproblemen so sträflich vernachlässigt wird.
In der 1. Klasse gibts erstklassige Firmeninterna
Das IT-Security-Unternehmen Kaspersky Lab hat nun fünf Tage lang einen Beobachter mit Strichliste durch Züge geschickt und ihn die Geschäftsgeheimnisse, die ihm per Auge und Ohr begegnet sind, zählen und auswerten lassen. Protokolliert wurden in fünf Tagen genau 2.245 einsehbare und mitzuhörende Informationen – Namen von Unternehmen und Kollegen, Einblicke in Präsentationen und Geschäftszahlen und Daten von Kooperationspartnern. Während des Kaspersky-Experiments konnte der beauftragte Tester 281 physische Dokumente und 1.193 Bildschirme (Laptops, Smartphones oder Tablets) mit Business-Bezug anonym einsehen. Hinzu kommen 106 mithörbare Geschäftstelefonate. Das entspricht 13 öffentlich zugänglichen Geschäftsinformationen pro Wagen – Reisende der Ersten Klasse gaben mit durchschnittlich 23 Informationen dabei fast doppelt so viel preis.
Die meisten geschäftlichen Interna verraten Mitarbeiter durch einen zu sorglosen Umgang mit Laptops, Smartphones und Tablets. Denn moderne Displays ermöglichen Dritten einen eigentlich unerwünschten Einblick in die virtuellen Büros und Meeting-Räume von Unternehmen. Die meisten sensiblen Geschäftsinformationen wurden im Kaspersky-Experiment über E-Mails einsehbar. 58 Prozent der Informationen wurden via E-Mail sichtbar, weitere 25 Prozent über Office-Dokumente, immerhin 11 Prozent durch Browser-Anwendungen und Cloud-Services.
Unternehmen sollten sich daher Gedanken machen, wie ihre Mitarbeiter mit Geschäftsinformationen umgehen, wie sorglos sie teilweise riskieren, dass persönliche Daten mitgelesen oder -gehört werden. Ein paar Beispiele aus der Untersuchung:
Ein Reisender verwendete ein Notebook, das per 2FA mit einer ID-Card gesichert war oder dessen Verbindung eine solche benötigte. Auf der ID-Card waren allerdings Klarname, Unternehmen und eine ID-Nummer eindeutig zu erkennen. Ein Beispiel dafür, wie selbst eine Sicherheitsmaßnahme Informationen verrät, die nicht für Außenstehende bestimmt sind. Ein anderer Reisender – offenbar Jurist – sprach in einem längeren Telefonat über einen juristischen Fall. Darin wurden Klarnamen der Verfahrensbeteiligten, das zuständige Gericht sowie Details des Falles sehr laut besprochen. Und, last not least, gab es einen Professor oder Dozenten, der Klausuren oder Abschlussarbeiten bearbeitete – Matrikelnummern und Namen der Studierenden waren sichtbar.
Mehr Datenschutz durch Blickschutzfilter und Diskretion
Doch welchen Rat kann man Unternehmen und Mitarbeitern angesichts der Tatsache geben, dass immer häufiger beim Pendeln oder Reisen gearbeitet wird und immer öfter das Büro gar nicht mehr der Mittelpunkt des Arbeitslebens ist? Blickschutzfilter oder Blickschutzbildschirme sollten bei in der Öffentlichkeit genutzten Laptops Standard sein – und nicht bloß teures Sonderzubehör, das erst den Führungskräften nach Begründung zusteht. Unternehmen wie Hewlett Packard statten beispielsweise ihre Business-Notebooks zunehmend mit Sure-View-Filtern aus.
Mitarbeiter sollten (auch wenn die Grenzen hier fließend sind) nur Dinge bearbeiten, die unverfänglich sind – zum Beispiel eine nicht vertrauliche Power-Point-Präsentation. Sensible Aktionen –wie eine E-Mail über ein zum Beispiel noch nicht veröffentlichtes Produkt – gehören in eine sichere Umgebung und nicht in den Zug. Und Unternehmen sollten bei den Inventarnummern auf den Geräten darauf achten, dass kein Unternehmenslogo oder ein entsprechender Aufkleber zu sehen ist, der vermittelt, dass man hier möglicherweise an Daten eines bestimmten Großunternehmens kommen kann.
Einige weitere Ratschläge müssten dagegen selbstverständlich sein, etwa dass man sensible Telefonate nicht in der Öffentlichkeit führt, sein mobiles Endgerät auch beim kurzen Gang auf die Toilette nicht unbeaufsichtigt lässt und Mobilgeräte so absichert, dass es kein Problem wäre, wenn sie verloren gehen. Auch Token oder ID-Karten sollten stets mitgenommen werden – denn sie lassen sich quasi im Vorbeigehen unauffällig abziehen.
Auf jeden Fall sollten Unternehmen das Verhalten der Mitarbeiter in puncto IT-Sicherheit und Datenschutz auf Geschäftsreisen in den Sicherheitsrichtlinien des Unternehmens festlegen und Empfehlungen aussprechen – und im besten Fall sogar durch regelmäßige Schulungen sensibilisieren.
Das könnte dich auch interessieren:
- Cookies – verstößt ein Zwang zum Speichern gegen die DSGVO?
- Facebook veröffentlicht erstmals seine Datenschutzgrundlagen
- Arbeit beim Pendeln muss bezahlt werden