G 3.44 Sorglosigkeit im Umgang mit Informationen
Häufig ist zu beobachten, dass zwar eine Vielzahl von organisatorischen oder technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit der Technik wieder ausgehebelt werden. Ein typisches Beispiel hierfür sind die fast schon sprichwörtlichen Zettel am Monitor, auf denen alle Zugangspasswörter notiert sind. Auch andere Beispiele für Nachlässigkeit, Pflichtvergessenheit oder Leichtsinn im Umgang mit schützenswerten Informationen finden sich in großer Menge.
Beispiele:
- In der Bahn oder im Restaurant geben Mitarbeiter oft intimste Unternehmensdetails über ihr Mobiltelefon weiter. Dabei informieren sie jedoch nicht nur den Gesprächspartner, sondern auch die Umgebung. Beispiele für besonders interessante Interna sind,
- warum der Vertrag mit einer anderen Firma nicht zustande kam oder
- wie viele Millionen der Planungsfehler in der Strategie-Abteilung gekostet hat und wie das die Aktienkurse des Unternehmens drücken könnte, wenn irgendjemand davon erführe.
- Häufig ist es bei Dienstreisen erforderlich, ein Notebook, einen Organizer oder Datenträger mitzunehmen. Gerne werden diese dann während Pausen im Besprechungsraum, im Zugabteil oder im Auto zurückgelassen. Bei mobilen IT-Systemen sind die damit erfassten Daten oftmals nicht an anderer Stelle gesichert. Wenn die IT-Systeme dann gestohlen werden, sind damit die Daten unwiederbringlich verloren. Dazu kommt, dass sich brisante Daten auch Gewinn bringend weiterveräußern lassen, wenn der Dieb mangels Verschlüsselung und Zugriffsschutz einfach darauf zugreifen kann.
- Ein Grund, ein Notebook oder Akten auf Dienstreisen mitzunehmen, ist auch, die Fahrzeiten produktiv nutzen zu können. Hierbei bieten sich Mitreisenden oft interessante Einblicke, da es in der Bahn oder im Flugzeug kaum zu vermeiden ist, dass Sitznachbarn in den Unterlagen oder auf dem Bildschirm mitlesen können.
- Öffentliche Räumlichkeiten, z. B. Hotel-Foyer, Hotel-Business-Center, Zug-Abteil, bieten in der Regel nur wenig Sichtschutz. Gibt der Benutzer Passwörter ein oder muss Veränderungen an den Konfigurationen vornehmen, so kann ein Angreifer diese Informationen erlangen und missbräuchlich nutzen.
- Immer wieder sind in der Presse Artikel zu finden über Behörden und Unternehmen, in deren Hinterhöfen sich hochbrisante Papiere im Altpapiercontainer fanden. Bekannt wurden auf diese Weise beispielsweise die Gehaltszahlen aller Mitarbeiter eines Unternehmens und die geheimen Telefonnummern von Unternehmensvorständen.
- Wenn IT-Systeme Defekte aufweisen, werden diese schnell zur Reparatur gegeben. Meist besteht bei einem Defekt auch keine Möglichkeit mehr, die auf dem IT-System gespeicherten Daten zu löschen. Bei einem Schaden besteht aber häufig die erste Priorität darin, möglichst schnell wieder ein
- funktionierendes Gerät zur Verfügung zu haben. Daher zeigen viele Fachhändler besonderen Kundenservice, indem sie die defekten Komponenten einfach austauschen und die Kunden mit einem funktionsfähigen System nach Hause schicken.
- Es hat allerdings diverse Fälle gegeben, bei denen der Kundendienst den Fehler bei einer anschließenden Überprüfung schnell beheben konnte und der nächste Kunde ebenso kulant das jetzt reparierte Gerät erhielt - inklusive aller vom ersten Kunden erfassten Daten.