Eine Mitarbeiterin der WestLB schickt sich mal eben per EMail „die Daten der 844 wichtigsten Kunden“ an ihren privaten Mailaccount. (Quelle WDR). Laut Heise wurde der Vorfall von der WestLB bestätigt.
Aufgeflogen ist die Sache, da die Dame einen Tippfehler bei der Mailadresse machte und die Daten so bei einer Privatperson landeten.
HALLO! Es gibt überhaupt die Möglichkeit, dass Mitarbeiter mal eben „die Daten der 844 wichtigsten Kunden“ per Mail versenden? Copy-Paste und schwuppdibupp sind interne Daten per Mail verschickt?
Früher – viel früher – gab es ein internes Netzwerk und ein internes Netzwerk und es war den Mitarbeitern unmöglich von einem „internen“ Rechner überhaupt auf das Internet zuzugreifen. Es wurde Aufwand betrieben um es unmöglich zu machen, genau solche Datendeppen ihr schändliches Werk zu tun.
Aber – abgesehen von den technischen Möglichkeiten – stellt sich die Frage wie eine Mitarbeiterin auf die Idee kommen kann, diese Daten aus dem Haus zu versenden? Hat die niemals eine Datenschutzbelehrung bekommen und unterschrieben?
„In Gegenwart eines Datenschützers wurde die Datei bei dem versehentlich angeschriebenen Empfänger inzwischen gelöscht.“
Achso, und dann ist natürlich sicher dass die Datei nicht vorher kopiert wurde? *Kopfschüttel*
@Marius:
Vor allem: An wieviele Menschen wurde die Daten per CC: und BCC: oder gar per Mailaliases-forwarding noch alles geschickt?
Aber siehe auch den dafür gleich noch zu erstellenden nächsten Blogeintrag 🙂
Pingback: Die WestLB setzt noch einen drauf | Reizzentrum
internes netz: ja, dass gibts in manchen behörden und firmen noch. obwohl… hier beim kunden gibt’s so was, aber man kann auch eine „externe emailberechtigung“ beantragen – schliesslich muss man ja auch mal mit externen firmen kommunizieren.
mail nach hause: ich denke mal, die wollte zu hause noch was arbeiten. u.a. umständen hätte sie sich die liste ausgedruckt und dann in der s-bahn vergessen. so wie es immer wieder in gb passiert.
@pw:
Mit einem Kunden kann man auch von einem anderen trechner aus, als von dem, von dem man/frau Zugriff auf die Datenbestände hat.
Und Zuhause arbeiten? Nimmt die das nächste Mal den Kassenbestand mit nach Hause und will das geld Zuhause zählen?
Sorry, aber man muss sich bewusst sein, welche Verantwortung man in seinem Beruf hat, ansonsten ist man eine Fehlbesetzung. Wer so ahnungslos (kriminell) mit seiner Verantwortung (Mitarbeiter und WestLB als Weisungsgeber und Kontrolleur/Arbeitgeber) umgeht, hat einfach das Vertrauen seiner Kunden verloren.
Nur sind wir schon so abgestumpft, dass wir uns alles Gefallen lassen und „ach, ist ja nicht so schlimm“. Ist es aber doch!
@reizzentrum: ich kenne die systeme der westlb nicht und auch nicht die anderer banken, daher weiss ich nicht, inwieweit teilsysteme in ein total abgeschottetes netzwerk trennbar ist und ein weniger abgeschottetes netzwerk trennbar ist. prinzipiell müssen die daten das abgeschottete netzwerk aber verlassen können, schlußendlich hätte sie es sich auch ausdrucken können. wie die WestLB im Heise-Artikel sagt: „Kein noch so gutes Sicherheitssystem könne einen Verstoß ausschließen.“ Nun können wir nur noch diskutieren, inwieweit eine Bank (bleiben wir mal im Finanzwesen) eine solche Aktion erschweren sollte.
Die WestLB spricht selbst davon, dass das Vorgehen der Mitarbeiterin gegen die Vorschriften verstossen hat. es geht hier auch gar nicht darum „es sich gefallen zu lassen“. Ich finde nur den Hinweis auf „interne Netze“ zwar im ersten Ansatz interessant, aber es kann derartige Datenlecks nicht verhindern und man muss immer das Aufwand/Nutzen-Verhältnis betrachten.
Im Übrigen erzählen solche Pressemeldungen meist nur die halbe Wahrheit. Wer weiß, wie es wirklich genau gewesen ist…
@pw:
Zum einen gibt es sicher zwei Arten von Meldungen: Eine, die schadensbegrenzend herunterspielt (die der WestLB z.B.) und die andere Version, die dramatisierend Punkte hervorhebt (wie hier im Reizzentrum 🙂 ).
Getrennte Netze kenne ich z.B. aus Behörden. Dort gab – oder gibt es vielleicht noch hier und dort – zwei physikalische Netzwerke – mit zwei PCs am Arbeitsplatz. Ohne Routing dazwischen. Der eine für den Zugriff auf das interne netz (ohne Diskettenlaufwerk etc) und der andere um zu recherchieren und Mail etc zu nutzen.
Auch wenn das Verhalten der Mitarbeiterin gegen interne Regeln verstösst: Was impliziert Delegation IMMER? Kontrolle! Mit dem Mass des Vertrauens fährt man Kontrolle langsam runter, aber man DARF sie niemals ganz aufgeben.
Aufwand/Nutzen ist ein prima Stichwort: Was ist das Vertrauen des Kunden wert? Bei den banken: NICHTS. Wieviel geld geht JEDEN Tag in den Datennetzen der Banken verloren? Darüber spricht man nicht, da es weniger kostet, dieses Geld klammheimlich „wieder in die Kasse zu legen“, als gegenüber den Kunden zuzugeben, dass die Netze der Banken unsicher sind. Ich kann für diese Aussage keine Beweise geben, ausser, dass mir dies ein EDV-Leiter einer grossen bank bestätigt hat, ohne dass er mir jemals erlauben würde seinen Namen zu nennen .. Warum bloss? 🙂
Banken haben Geld – unseres. Und das setzten sie so ein, dass SIE (die Banken) den grössten Nutzen davon haben. Dies muss man sich immer bewusst halten. Und wenn Datenschutz Geld kostet, so wird er vernachlässigt.