Thought Leadership
Ein Kommentar von Stephan Brack zur Datenschutz-panne in Schleswig-Holstein.
Ein neuer Datenschutz-Skandal geht durch die Medien: Laut Berichten der Lübecker Nachrichten waren über Monate hinweg etwa 3600 Patientenakten auf den Servern des IT-Dienstleisters Rebus frei für Jedermann zugänglich – auch für Besucher der Unternehmenswebsite.1 Der Fall gewinnt vor allem dadurch noch besondere Brisanz, dass es sich um hochsensible Datensätze von psychisch Kranken gehandelt hat.
Stephan Brack, Geschäftsführer und Mitgründer des Berliner IT-Sicherheitsunternehmens protected-networks.com, bemängelt vor allem die erste Reaktion und den offensichtlich fehlenden Überblick der Betroffenen:
„Dieser ganze Skandal zeigt einige interessante Aspekte auf, aus denen man lernen sollte. Zum einen wäre da die erste Vermutung des Unternehmens, es könnte – neben einem Konfigurationsfehler – natürlich ein Hacker-Angriff gewesen sein. Das ist als Erklärung heutzutage sehr beliebt – sie geht von einer bösartigen Bedrohung von Außen aus. Die größte Gefahr für Daten ist aber nicht Bösartigkeit von Außen, sie ist auch ungenaues und unkoordiniertes Management der Zugriffsrechte im Inneren.
Wie später dann aber zu lesen war, waren es nicht irgendwelche anonymen Hacker, sondern das Ergebnis chaotischer interner Organisation, fehlende Übersicht und mangelnde Überprüfung der Sicherheit.2 Hinzu kam, dass versucht wurde, die Berechtigungen mit ‚handgestrickten Lösungen’ zu managen – also durch den unkoordinierten und unübersichtlichen Einsatz verschiedener Tools. Damit schafft man aber keine Sicherheit, sondern reißt eben solche Lücken, mit denen wir es heutzutage so häufig zu tun haben. Und auch die Antworten nach der Datenpanne sind nicht unbekannt: Eigentlich weiß man nicht so recht, an welcher Stelle jetzt eigentlich etwas schief gelaufen ist.
Frei zugängliche Patientenakten sind da leider kein Einzelfall. Als Hersteller von Lösungen zum effektiven Berechtigungsmanagement begegnen uns solche Strukturen fast täglich: Unternehmen, in denen der Praktikant auf die Geschäftsleitungsdaten zugreifen kann; Firmen, in denen ein einzelner IT-Administrator versucht die Berechtigungsvergabe in Excel-Tabellen zu dokumentieren, die nur er selbst versteht; oder auch Fälle, in denen ganze Ordner mit sensiblen Daten zusammen mit einem gekündigten Mitarbeiter aus dem Unternehmen verschwinden – obwohl dieser eigentlich nie darauf hätte zugreifen dürfen.
Auch bei immer stärker wachsenden Datenvolumen ist das Management als Dateneigentümer für die Berechtigungsvergabe verantwortlich. Die IT stellt als interner Dienstleiter die Basis dafür her, die Führungskräfte der einzelnen Abteilungen sollten aber verantwortlich dafür sein, wer wo zugreifen darf. Es ist nicht hilfreich, wenn man versucht, alle Lücken nach Außen zu schließen, obwohl der Fileserver nach Innen offen ist wie ein Scheunentor. Stattdessen muss man Struktur in das Berechtigungsmanagement bringen und dafür sorgt, dass die Verantwortung und der Überblick auch bei denen liegt, die wissen, welche ihrer Daten wie zu schützen sind. Dann lassen sich auch solche Datenschutzpannen wie jetzt in Schleswig-Holstein vermeiden.“
Stephan Brack, Geschäftsführer und Mitgründer des Berliner IT-Sicherheitsunternehmens protected-networks.com
