Vergessene Daten sind besonders gefährlich
Moderne Schadsoftware und aktuelle Angriffe beschränken sich längst nicht mehr darauf, Systeme „nur“
zu verschlüsseln. Häufig werden vor oder parallel zu einem Angriff gezielt Daten abgegriffen.
So wird etwa durch Schadsoftware Zugriff auf die vorhandene E-Mail-Korrespondenz erlangt, um weitere Schadsoftware an diese zu versenden.
Damit sollen weitere Unternehmen zum Opfer werden. Teilweise greifen Kriminelle auch auf online erreichbare E-Mail-Postfächer zu, um entsprechende E-Mails manuell zu versenden. Häufig werden auch Daten aus lokalen Verzeichnissen oder zentralen Netzlaufwerken zuerst kopiert, bevor diese verschlüsselt werden.
Denn zahlt das Unternehmen kein „Lösegeld“ für die Entschlüsselung, wird mit einer Veröffentlichung gedroht. Da viele Unternehmen sich weigern, werden die Daten dann veröffentlicht. Leider befinden sich unter den erbeuteten Daten oft sensible und eigentlich nicht mehr notwendige Daten.
Diese sind als Dateien sowohl in der Dateiablage als auch als Anhang in E-Mails gespeichert. Bei der Analyse veröffentlichter Daten finden sich regelmäßig unter anderem:
- Ausweiskopien,
- Vertragsunterlagen,
- Zugangsdaten,
- eingescannte Dokumente,
- sensible interne Kommunikation.
Je mehr unnötige Daten vorhanden sind, desto größer ist der mögliche unnötige Schaden im Ernstfall.
Bitte nicht übersehen: Nahezu immer müssen die Aufsichtsbehörde dund je nach Sensibilität auch die Betroffenen bzw. im Fall der Auftragsverarbeitung auch die Auftraggeber über den Vorfall informiert werden.
IT-Sicherheit endet nicht bei der ITAbteilung
Die IT kümmert sich üblicherweise um die Infrastruktur, die Systeme, die Zugriffsrechte, die Datensicherung und – sofern vorhanden – um die Archivierungslösungen. Was sie jedoch nicht leisten kann, ist die fachliche Bewertung der einzelnen Inhalte.
Nur die Nutzerinnen und Nutzer selbst wissen häufig, welche E-Mails erledigt, welche Dateien Arbeitskopien und welche Informationen doppelt oder veraltet sind. Genau hier setzt der digitale Frühjahrsputz an.
Hinzu kommt: Viele Daten liegen mehrfach vor – etwa als E-Mail-Anhang, als lokale Datei und zusätzlich in einem führenden System wie ERP, CRM oder DMS. Doppelte Datenspeicherung erhöht das Risiko, ohne einen Mehrwert zu schaffen.
Nicht wahllos löschen – Regeln beachten
Ein digitaler Frühjahrsputz bedeutet nicht, wahllos Daten zu löschen. Vor dem Löschen sollte immer geklärt werden:
- Gibt es eine zentrale E-Mail-Archivierung?
- Werden Dokumente zentral archiviert?
- Welche Aufbewahrungsfristen gelten?
- Welche internen Regelungen sind zu beachten?
Sind Daten ordnungsgemäß archiviert oder existieren sie in einem führenden System, können lokale Kopien und alte E-Mails oftmals gelöscht werden. Im Zweifel sollte Rücksprache mit der IT oder dem Datenschutzbeauftragten erfolgen.
Beispiel
Ein sehr pragmatischer Ansatz in einem mittelständischen Unternehmen, den zentralen Datei-Server zu bereinigen, war folgender: Im Unternehmen wurde eine neue Verzeichnisstruktur festgelegt. Die Beschäftigten wurden gebeten, nur die absolut notwendigen Daten dort hinzuschieben, welche sie benötigen.
Die anderen Daten wurden (mehrfach) auf externe Platten kopiert. Damit konnten sich alle Beschäftigten sicher sein, dass sie im Bedarfsfall auf die Daten zugreifen können, und beruhigt nur die notwendigen Daten in das neue Verzeichnis schieben.
Zentrale moderne Speichersysteme und Anwendungen erlauben zudem zunehmend, Speicherund Löschfristen festzulegen, womit man sich im
Anschluss eine manuelle Bereinigung sparen kann.
Fazit:
Das Löschen von Daten nach Wegfall des Zwecks oder Ablauf der Aufbewahrungsfrist ist nicht nur eine datenschutzrechtliche Pflicht. Es ist auch eine wirksame Maßnahme zur Reduzierung von möglichen Schäden.
Denn Daten, die nicht mehr vorhanden sind, können weder gestohlen, missbraucht noch unbefugt veröffentlicht werden. Ein regelmäßiger digitaler Frühjahrsputz schützt Unternehmen, Beschäftigte und Betroffene gleichermaßen – und sollte fester Bestandteil der IT- und Datenschutzpraxis sein.
