Ihr habt Euch vielleicht auch gewundert, dass selbst eine Software-Firma, die sich dem Thema «Homeland-Security» verschrieben hat, Opfer einer Ransomware-Attacke werden konnte. Besonders beunruhigend ist, dass durch diesen Angriff offenbar heikle Personendaten, die von verschiedenen staatlichen Behörden erhoben wurden, im Darknet gelandet sind.
Datenschutz geht nicht ohne Datensicherheit. Die jüngsten Ransomware- und Hacking-Fälle haben diese simple Tatsache wieder einmal klar zutage gefördert. Insbesondere der Xplain-Fall bietet uns sehr viel Anschauungsmaterial dazu, was alles schiefgehen kann, und wo überall Gefahren, insbesondere im Kontext der internen Prozesse, lauern.
Alle Unternehmen, ob gross oder klein, müssten sich eigentlich laufend mit dem Thema Datensicherheit auseinandersetzen. Datensicherheit und Datenschutz sind keine Set-and-forget-Geschichten, sondern Prozesse, die das ganze Unternehmen durchdringen sollten. Und weil dem so ist, sollten wir permanent lernen und uns verbessern.
Lernen können wir nicht nur aus unseren eigenen Fehlern, sondern auch aus den Fehlern anderer. Marcel Waldvogel hat einen Brief, den die Bundesverwaltung ihren IT-Dienstleistern im Zusammenhang mit dem Xplain-Fall verschickt hat, en détail analysiert und im Online-Magazin dnip.ch* einen Beitrag mit seinen Überlegungen dazu publiziert sowie mit Martin Steiger in der Episode 156 des Podcasts «Datenschutz Plaudereien»** darüber diskutiert.
Im Brief der Bundesverwaltung werden verschiedene Hinweise auf ICT-Sicherheitsmassnahmen gemacht, die der Bund von seinen Dienstleistern erwartet. Marcel zeigt in seiner Analyse, dass das Thema mit einer Checkliste und Allgemeinplätzen nicht zu erschlagen ist. Es braucht im Gegenteil, neben Best Practices und wünschbaren Idealzuständen, immer den Realität-Check im Rahmen einer Betrachtung der individuellen Situation. So ist es zwar grundsätzlich sinnvoll, VPN-Verbindungen zu nutzen, aber nicht immer nötig. Oder es ist richtig, dass wir 2FA einrichten sollten, aber leider nicht immer möglich. Es gibt aber auch ein paar Hinweise, die durchaus Allgemeingültigkeit haben, aber tragischerweise immer noch nicht zum Allgemeinwissen geworden sind. Zum Beispiel, dass es essenziell ist, für jeden Dienst ein separates, sicheres Passwort zu setzen und wir deswegen unbedingt einen Passwort-Manager nutzen sollte. Und dass es falsch ist von den Cloud- und SaaS-Anbietern, dass sie höhere Sicherheit nur zu massiv höheren Preisen anbieten, was insbesondere für KMU ein Problem darstellt.
Der wichtigste Punkt ist aber, dass Datensicherheit und Datenschutz nicht einfach wegdelegiert werden können. Wir alle haben auch als Nutzer:innen von ICT die Verantwortung und die Pflicht in unserem Einflussbereich zu prüfen, was wir zur Erhöhung der Sicherheit beitragen können. Darum lohnt sich auf jeden Fall, sowohl Marcels Beitrag zu lesen, als auch die Podcast-Episode mit Martin zu hören, um sich zum Thema Datensicherheit im eigenen Einflussbereich inspirieren zu lassen.
*dnip.ch wird im Verlag buch & netz, meiner Firma Von Gunten & Co. AG publiziert. dnip.ch richtet sich an Nerds und interessierte Laien, die aktuelle Geschehnisse rund um die Digitalisierung genauer verstehen möchten. Der Blog wird durch Spenden finanziert.
**«Datenschutz Plaudereien» ist ein Podcast der Firma Datenschutzpartner AG, die Rechtsanwalt Martin Steiger und ich gemeinsam gegründet haben. Etwas später ist auch noch meine Lebenspartnerin Cornelia Diethelm dazu gekommen.
(Diesen Beitrag habe ich für den smartKMU Blog verfasst)
Kommentare