heise security berichtet über einen Versuch, Firmennetzwerke über Sharingdienste mit Malware zu infizieren. Dies scheint vergleichsweise leicht zu sein. Betroffen seien nicht nur Dropbox, sondern auch Google Drive, SkyDrive, SugarSync und Amazon Cloud Drive.
Alle, die ihn noch nicht wahr genommen haben, möchte ich auf den Präsidiums-Beschluss zur Verschlüsselung von Mails (HU-Info 13/13, S. 10) aufmerksam machen.
Hiernach sollen bei der elektronischen Kommunikation an der HU Mails verschlüsselt werden, wenn diese
besonders schützenswerte Daten, d.h. Daten vertraulichen Charakters,
enthalten. Als (sehr plastisches) Beispiel werden Personaldaten genannt. Freilich können auch diverse weitere Datenarten aus allen Bereichen der Universität vertraulichen Charakter besitzen. Insoweit kann nur geraten werden, im Zweifelsfall stets zur Verschlüsselung zu greifen – man vergibt sich nichts, es ist nicht kompliziert und man ist auf der sicheren Seite. Der Beschluss führt weiter aus:
Elektronische Post (Mail) ist grundsätzlich ein unsicheres Übertragungsmedium. Auf dem Weg vom Sender zum Empfänger passiert eine Mail eine Vielzahl von Servern und Netztechnik
als Zwischenstation, die auch nicht nur zur HU gehören müssen. Für technisch versierte Personen ist es nicht schwer, die Inhalte von Mails auszulesen und/oder zu protokollieren.
Abhilfe hierbei schafft die Möglichkeit des Verschlüsselns von Mails, welches es für Dritte praktisch unmöglich macht, Mailinhalte zu interpretieren. Hierbei wird auf der Basis von elektronischen Schlüsseln der Text der Mail inkl. Attachments durch den Sender für Dritte entsprechend unkenntlich gemacht.
Hier kann man nur voll zustimmen. Zu beachten ist hierbei eine Besonderheit: Betreffzeilen werden nicht verschlüsselt! Bei einem E-Mail-Betreff „Verfahren zur Abmahnung gegen XY wegen Diebstahls zu Lasten der Universität“ hilft also auch die sorgfältigste Verschlüsselung nicht!
Weitere Infos zur Verschlüsselung und Links, an wen man sich an der HU wenden kann, finden sich auf der Datenschutz-Homepage.
Inhalt des Datenschutzkonzeptes ist die Dokumentation der Datenschutz-Maßnahmen, welche ergriffen werden, um die gesetzlichen Schutzziele erreichen zu können.
Ganz wesentlicher Grundsatz ist es dabei, dass man den gesamten Ablauf des Projektes im Blick hat. In Der Praxis findet man häufig nur punktuell greifende Maßnahmen, in der Art: Wir denken an Datenschutz, denn wir schließen die Daten im Schrank ein.
Dazu muss man sagen: Gut so! Reicht aber nicht!