Mitarbeiter halten das Thema Datenschutz häufig für überbewertet. Daher sollten die Kanzleiinhaber regelmäßig über bestehende und zukünftige Risiken informieren.
Rechtsanwälte und Steuerberater unterliegen einer berufsrechtlichen Verschwiegenheitspflicht, die jegliche Information umfasst, die dem Berufsträger in Ausübung seines Berufs oder bei Gelegenheit der Berufstätigkeit anvertraut oder bekannt wird. Sie verdrängt innerhalb ihres Anwendungsbereichs die Vorschriften des Bundesdatenschutzgesetzes (BDSG). Allerdings findet der Ausschluss des BDSG nur statt, wenn die berufsrechtliche Verschwiegenheitspflicht eine Regelung für den exakt gleichen Sachverhalt enthält. Das BDSG bleibt deshalb in Teilen anwendbar. In Kanzleien findet das Datenschutzrecht deshalb unstreitig auf Personaldaten der eigenen Mitarbeiter Anwendung, auch werbliche Maßnahmen, sofern berufsrechtlich zulässig, unterliegen den Regelungen des BDSG. Darüber hinaus sind die Bestimmungen des BDSG über technische und organisatorische Maßnahmen zu beachten. Die häufigste Ursache für Datenschutzverstöße in Kanzleien ist menschliches Fehlverhalten. Datenskandale werden sowohl durch den unachtsamen Umgang der Mitarbeiter mit den personenbezogenen Daten als auch durch externe Angriffe von Social Engineers oder Hackern auf die Daten einzelner Mitarbeiter beziehungsweise deren Arbeitscomputer ausgelöst.
Die Autofill-Funktion von Outlook
So unterschätzen Mitarbeiter vor allem das Ausmaß von Flüchtigkeitsfehlern. Entstehen können diese zum Beispiel bei der Eingabe von E-Mail-Adressen. Ein falsches Zeichen genügt, damit sensible oder vertrauliche Daten, wie etwa Gesundheits- oder Bankdaten von Betroffenen an unbeteiligte Dritte gelangen. Das verärgert nicht nur die Kanzleileitung und zieht Imageschäden nach sich, sondern verstößt auch gegen die rechtlichen Vorgaben. Die Übermittlung von personenbezogenen Daten an Dritte ist nämlich nur aufgrund eines Erlaubnistatbestands oder einer Einwilligung des Betroffenen zulässig. Nutzer des E-Mail-Programms Microsoft Outlook sind in dieser Hinsicht besonders fehleranfällig. Das Programm verfügt über die sogenannte Autofill-Funktion. Sie unterbreitet bereits bei Beginn der Eingabe einer E-Mail-Adresse automatisch Adressvorschläge. Dabei nutzt sie einen temporären Speicher für E-Mail-Adressen, die bereits genutzt wurden. Nach der Eingabe des ersten Zeichens schlägt die Funktion bereits die gespeicherten Adressen als Zieladressen vor. Dabei kann es natürlich verstärkt zu Verwechslungen kommen, insbesondere wenn sich die E-Mail-Adressen scheinbar optisch gleichen.Der unachtsame Klick eines Mitarbeiters auf den falschen Adressvorschlag genügt, um die E-Mail an die falsche Zielperson zu senden.
Versendung von offenen E-Mail-Verteilern
Viele Kanzleien versenden E-Mails zu Werbezwecken. Für den zuständigen Mitarbeiter ist das eine Routinetätigkeit, die er beiläufig erledigt. Dabei kann es schon einmal vorkommen, dass er die
Weitergabe von Passwörtern
Forscher der Universität Luxemburg und der International School of Management Stuttgart (ISM) bewiesen erst kürzlich im Rahmen einer Studie, dass Menschen eher dazu geneigt sind, ihr Passwort zu verraten, wenn sie zuvor eine Tafel Schokolade bekommen haben. Dieser Test gibt Aufschluss darüber, wie Social Engineering funktioniert. Die sogenannten Social Engineers manipulieren ihre Zielperson auf zwischenmenschlicher Ebene, um unberechtigten Zugang zu vertraulichen Informationen oder IT-Systemen zu bekommen. Oft nutzen sie dazu Kommunikationsmittel, wie etwa E-Mail, Telefon oder Briefe. Die geläufigsten Methoden sind dabei gefälschte E-Mails, wie zum Beispiel Phishing-Mails oder Scareware. Aber auch über das Telefon versucht man, die Opfer unter Vorspiegelung falscher Tatsachen zu täuschen. Per Post verschicken die Social Engineers vermeintliche Werbegeschenke, wie etwa CDs oder USB-Sticks. Selbst beim einfachen Surfen im Internet können Nutzer auf die gefälschten Homepages von Social Engineers gelangen. Ihre Methoden sind vielseitig, dienen aber alle nur dem einen Zweck, nämlich die Passwörter der Zielpersonen zu erhalten und einen finanziellen Vorteil daraus zu schlagen.
Abhören von Funktastaturen mittels Keysniffer
Funktastaturen erfreuen sich zunehmender Beliebtheit, stellen aber ein erhebliches Sicherheitsrisiko für die Kanzleien dar.
Funktastaturen erfreuen sich einer zunehmenden Beliebtheit, nicht nur Privatpersonen, sondern auch Kanzleien setzen sie vermehrt ein. Sie sind praktisch und verursachen keinen Kabelsalat auf dem Schreibtisch. Werden sie nicht mehr benötigt, kann man sie einfach wegstellen. Leider stellen Funktastaturen ein erhebliches Sicherheitsrisiko für Kanzleien dar. Sensible Informationen, wie Benutzernamen, Passwörter, Bank- oder Gesundheitsdaten, die zum Beispiel ein Personalsachbearbeiter über seine Funktastatur eingibt, kann ein Hacker mit einer sogenannten Sniffing-Attacke abhören. Dazu muss er sich in einem Umkreis von ungefähr 70 Metern Entfernung zum Zielobjekt befinden und einen Laptop sowie einen USB-Empfänger mit Antenne mit sich führen. Hat er sich entsprechend positioniert, muss er nur noch das sogenannte Reverse Engineering einsetzen, um das herstellerspezifische Protokoll zur Datenübertragung zu ermitteln. Nun kann der Hacker alle Zeichen, die der Kanzleimitarbeiter eingibt, auf seinem Laptop-Bildschirm mitlesen und entsprechend abspeichern.
Handlungsempfehlungen
Was können Kanzleien tun, um ihre Daten vor den voranstehend skizzierten Risiken zu schützen? Bei der Verarbeitung sensibler personenbezogener Daten sollte man in den Kanzleien ganz auf den Einsatz von Funktastaturen verzichten und wieder auf kabelgebundene Tastaturen zurückgreifen. Falls man dies nicht will, sollte man Bluetooth-Tastaturen als sicherere Alternative verwenden, da diese Tastaturen Verschlüsselungsverfahren nutzen beziehungsweise höhere Sicherheitsanforderungen haben. Um Datenschutzverstöße auszuschließen, ist es ratsam, im Falle werblicher E-Mails oder Einladungen zu Events die Nachricht an externe Empfänger nur als Blindkopie (BCC) zu verschicken. Zudem bietet es sich an, die Autofill-Funktion in Microsoft Outlook dauerhaft zu deaktivieren. Um sich gegen Angriffe von Social Engineers zu wappnen, sollten die Kanzleien technische Lösungen, wie etwa die Zweifaktorauthentifizierung, beschränkte Zugangsrechte oder Geo-Blocking nutzen. Schließlich ist es unabdingbar, die Mitarbeiter verstärkt über alle Risiken aufzuklären. Das kann durch Schulungen oder auch mittels eines Sicherheitsleitfadens erfolgen.
Foto: Aaron Tilley / Getty Images