Leak-it-yourself: Sicherheitsrisiko Intranet
Wie schnell Unternehmen die Kontrolle über vertrauliche Daten verlieren können, zeigt die Recherche eines Teams der Nachrichten-Website Heise online. In diesem Falle wurde gezielt nach der Datenleck-Stelle „Intranet“ gesucht. Aufwendige Tools braucht man dafür genauso wenig wie besonderes Expertenwissen: Die Recherche funktioniert über Google.
Dabei wurde der Suchoperator einfach so konfiguriert, dass die Suchmaschine nur Inhalte herausfiltert, welche Intranets entstammen („inurl:intranet“). Damit konnten zahlreiche Dokumente gefunden werden, welche nie für eine Öffentlichkeit bestimmt waren, und zudem personenbezogene Daten im Sinne des § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) beinhalteten. Neben Geburtsdaten, Telefonnummern und Angaben mit familiärem Bezug wurden sogar Dokumente online gefunden, welche Gesundheitsdaten aufführten – besonders sensible personenbezogene Daten also, welche der Gesetzgeber im Bundesdatenschutzgesetz unter ein erhöhtes Datenschutzniveau stellt.
Offenkundig wurden solche Dokumente von Mitarbeitern der betroffenen Unternehmen selbst aus dem Intranet heraus online verfügbar gemacht – wohl unwissentlich.
Wie sicher betriebliche Prozesse ablaufen, liegt dabei in der Hand der Unternehmen selbst. Wer seine Prozesse hinterfragt, seine Mitarbeiter durch Schulungen sensibilisiert und die technischen und organisatorischen Maßnahmen zum Datenschutz regelmäßig aktualisiert, vermeidet leicht solche Datenpannen, die mitunter nicht nur bußgeldbewährt sein können, sondern auch die Unternehmensreputation nachhaltig schädigen können. Die Hinzuziehung eines externen Datenschutzbeauftragten kann dabei eine sinnvolle Investition darstellen, die dazu beiträgt, Haftungsrisiken abzuwenden und Kosten zu minimieren.