G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
Durch Fehlverhalten können IT-Benutzer den Vertraulichkeits- bzw. Integritätsverlust von Daten herbeiführen bzw. ermöglichen. Die Folgeschäden ergeben sich aus der Schutzbedürftigkeit der Daten. Beispiele für ein solches Fehlverhalten sind:
- Mitarbeiter holen versehentlich Ausdrucke mit personenbezogenen Daten nicht am Netzdrucker ab.
- Es werden Datenträger versandt, ohne dass die vorher darauf gespeicherten Daten physikalisch gelöscht wurden.
- Dokumente werden auf einem Webserver veröffentlicht, ohne dass geprüft wurde, ob diese tatsächlich zur Veröffentlichung vorgesehen und freigegeben sind.
- Aufgrund von fehlerhaft administrierten Zugriffsrechten vermag ein Mitarbeiter Daten zu ändern, ohne die Brisanz dieser Integritätsverletzung einschätzen zu können.
- Neue Software wird mit nicht anonymisierten Daten getestet. Nicht befugte Mitarbeiter erhalten somit Einblick in geschützte Dateien bzw. vertrauliche Informationen. Möglicherweise erlangen überdies auch Dritte Kenntnis von diesen Informationen, weil die Entsorgung von "Testausdrucken" nicht entsprechend geregelt ist.
- Beim Ausbau, Verleih, Einsendung zur Reparatur oder Ausmusterung von Festplatten können Daten auf zum Teil intakten Dateisystemen in unbefugte Hände gelangen.
Betreut ein Outsourcing-Dienstleister mehrere Mandanten, so können Daten einer auslagernden Organisation durch menschliches Versagen anderen Mandanten des Outsourcing-Dienstleisters zugänglich werden.
Mögliche Ursachen können beispielsweise folgende sein:
- Falsches Routing einer Druckausgabe.
- Auswahl einer falschen E-Mail-Adresse aus dem Adressbuch.
- Fehler in einer Datenbank.
- Unbedachtes "copy - paste" (z. B. von Konfigurationsdateien von Systemen verschiedener Auftraggeber).
- Postversand (z. B. von Backup-Medien, Verträgen) an die falsche Adresse.