Wenn Informationen „persönlich“ werden

Mit der Umsetzung des in diesem Beitrag vorgeschlagenen „Gelöbnisses“ kann jeder Einzelne seinen Teil dazu beitragen, Ärger, Kosten und Aufwand im Zusammenhang mit seinen oder ihren persönlichen Daten von vornherein aus dem Weg zu gehen.

4 Min. Lesezeit
Foto: ©AdobeStock/artbesouro

Am 28. Januar war wieder Europäischer Datenschutztag. Dieser wurde auf Initiative des Europarats bereits 2007 ins Leben gerufen – mit dem Ziel, die Bürger der Europäischen Union dafür zu sensibilisieren, dass Sorgfalt im Umgang mit persönlichen Daten von entscheidender Bedeutung ist. Mit der Umsetzung des in diesem Beitrag vorgeschlagenen „Gelöbnisses“ kann jeder Einzelne seinen Teil dazu beitragen, Ärger, Kosten und Aufwand im Zusammenhang mit seinen oder ihren persönlichen Daten von vornherein aus dem Weg zu gehen.

Der Datenschutz ist in einer Welt, in welcher der digitale Datenaustausch im geschäftlichen wie privaten Umfeld zunehmend mehr Raum einnimmt, besonders herausfordernd. Wenn die falschen Personen in den Besitz einschlägiger persönlicher Informationen gelangen, kann das weitreichende Folgen haben, die das Opfer zum Teil über Jahre zu spüren bekommt. Insofern ist es wichtiger denn je, dem Schutz von Personendaten die notwendige Aufmerksamkeit entgegenzubringen. Das trifft sicher zum einen den Gesetzgeber und Institutionen. Aber auch jeder Einzelne kann und sollte seinen Teil zum ordnungsgemäßen Umgang mit persönlichen Daten beitragen.

Datenschutz-„Gelöbnis“: 

Ich gelobe …

… unerwarteten Nachrichten mit der nötigen Skepsis zu begegnen

Ich erhalte E-Mails, SMS und Anrufe, die von scheinbar seriösen Unternehmen kommen oder von Personen, die ich persönlich kenne. Aber ich weiß auch, dass das Vortäuschen von vertrauten Absendern – vom renommierten Unternehmen bis hin zum langjährigen Bekannten oder Chef – mittlerweile keine Seltenheit mehr ist. Von daher werde ich selbst beim kleinsten Verdacht, dass an einer Nachricht von beispielsweise Amazon, der lokalen Kreissparkasse, Kollegen oder plötzlich aus dem Nichts auftauchenden ehemaligen Schulfreunden etwas faul sein könnte, nicht auf die Nachricht eingehen oder vertrauliche Daten weitergeben, bevor ich mich nicht selbst davon überzeugt habe, dass die Quelle vertrauenswürdig
ist.

… der Versuchung zu widerstehen, auf Links zu klicken oder Dateien herunterzuladen

Ich bin es gewohnt, Links anzuklicken, die mir Freunde, Familienmitglieder, Mitarbeiter oder Unternehmen, denen ich vertraue, zusenden. Diese Routine darf aber nicht greifen, wenn ich mir nicht sicher bin. Dann untersuche ich die Links, indem ich zunächst mit dem Mauszeiger darüberfahre, um die tatsächliche Webadresse einzusehen. Links, denen ich nicht traue, werde ich nicht anklicken. Das Gleiche gilt für den Download von Dateien, deren Quelle verdächtig erscheint.

… einen Passwortmanager zu nutzen

Keiner kann sich die Passwörter für alle genutzten Konten im Kopf merken – und wenn es doch jemand kann, sind die Passwörter in der Regel zu einfach gewählt. Dann haben meist
auch Hacker leichtes Spiel. Daher setze ich einen Passwortmanager ein, der nicht nur Kriminelle von den persönlichen Daten meiner Konten fernhält, sondern mir auch den problemlosen Zugriff auf meine Accounts ermöglicht.

… wo immer möglich, Multi-Faktor-Authentifizierung einzusetzen

Ich weiß, dass es Datenschutzverletzungen gibt, durch die meine persönlichen Daten und möglicherweise sogar meine Passwörter in die falschen Hände geraten könnten. Um
sicherzustellen, dass Kriminelle – selbst, wenn sie in den Besitz meiner Log-in-Informationen gelangt sind – nicht auf vertrauliche Daten in meinen Accounts zugreifen können, werde ich jede Möglichkeit zur Einrichtung einer Zwei-Faktor- oder Multi-Faktor-Authentifizierung nutzen. Denn dies bietet mir eine zusätzliche Prüfinstanz beim Zugriffsversuch, beispielsweise über die Bestätigung einer Pushnachricht auf meinem persönlichen Smartphone.

… vor der Einrichtung neuer Onlinekonten die Datenschutzrichtlinien lesen

Aufgrund von gesetzlichen Bestimmungen sind Unternehmen weltweit normalerweise dazu verpflichtet, offenzulegen, wie sie mit den persönlichen Daten von Nutzern bzw. Kunden
umgehen. Wenn ich die veröffentlichten Datenschutzrichtlinien lese, erfahre ich, ob sie Daten an Dritte verkaufen und wie sie die mithilfe von Website-Cookies gesammelten Informationen einsetzen. Bevor ich bei einem Unternehmen ein Konto einrichte und Informationen speichere, werde ich mich vergewissern, dass das Unternehmen meine persönlichen Daten nicht auf unsichere Weise weitergibt oder verwendet.

… die Antiviren- und Sicherheitssoftware auf meinen Endgeräten auf dem neuesten Stand zu halten

Mir ist bewusst, dass auf meinem Computer ohne mein Wissen Schadsoftware installiert werden kann, die es Cyberkriminellen ermöglicht, Informationen von meinem System zu stehlen und sogar Tastenanschläge bei der Eingabe von Daten an meinem Rechner zu erfassen. Um das damit einhergehende Risiko zu verringern, sind einschlägige Maßnahmen zur
Absicherung meines Endgeräts unabdingbar. Mit dem Einsatz entsprechender Antiviren- und Sicherheitssoftware kann ich mich effektiv vor solchen Bedrohungen schützen – allerdings nur, wenn die Programme auf dem aktuellen Stand sind. Daher achte ich auf Warnungen, die darauf hindeuten, dass meine Sicherheitssoftware inaktiv, abgelaufen und/oder veraltet ist, und ergreife in dem Fall unverzüglich Gegenmaßnahmen.

… öffentliche WLAN-Verbindungen grundsätzlich mit Argwohn zu betrachten

Selbst wenn ich nicht umhinkomme, ab und zu auf öffentliche WLAN-Hotspots zuzugreifen, ist mir stets bewusst, dass es dabei keine Garantie für Sicherheit gibt. Ich kann nicht davon ausgehen, dass der Anbieter einschlägige und vor allem ausreichende Maßnahmen zum Schutz der WLAN-Strukturen unternommen hat.

… in sozialen Medien vorsichtig zu agieren

Soziale Medien wie Facebook, Instagram, SnapChat, YouTube und Twitter bieten mir einzigartige Möglichkeiten, mich online mit Freunden und meiner Familie zu vernetzen oder Gleichgesinnte zu treffen und mit ihnen in Austausch zu treten. Allerdings kann ich nicht darauf vertrauen, dass mein virtuelles Gegenüber immer auch der ist, für den ich ihn halte. Daher muss ich besonders darauf achten, dass ich keine persönlichen Informationen an Unbekannte weitergebe, indem ich:

  • die mir angebotenen Privatsphäre-Einstellungen nutze, um beispielsweise sicherzustellen, dass nicht jeder beliebige Nutzer meine Profilinformationen und Beiträge einsehen kann
  • nur Personen, die ich kenne und von deren Identität ich überzeugt bin, zu meinem Netzwerk zulasse
  • keine persönlichen Informationen bei Gewinnspielen, Umfragen oder in sonstige Formulare eingebe, die durch Werbung „aufploppen“

Wer diese Vorsätze beherzigt, ist auf dem Weg zu mehr Datenschutz bereits ein ganzes Stück weit vorangekommen. Generell gilt: Bleiben Sie aufmerksam – und das nicht nur am Datenschutztag.

 

Autor: Michael Haas, Regional Vice President Central Europe bei WatchGuard Technologies

 

Sie finden den Artikel auch im eMagazine der IT-SICHERHEIT 1/2022.

Michael Haas
Foto: WatchGuard

Michael Haas, WatchGuard Technologies

Andere interessante Fachbeiträge

Ist Security-Awareness Zeitverschwendung?

Anfang der 2000er war die goldene Zeit der Awareness – es gab zahlreiche Tagungen in aller Welt, Gesamtpakete zur Steigerung der Awareness von Mitarbeitern mit Kantinen-Events (Security-Day), Tassen, Kugelschreibern und Postern. Heutzutage gibt es meist 08/15-Vorträge für die Mitarbeiter oder ein todlangweiliges computerbased Training. Ist daher die Zeit der Awareness vorbei? Ist es wirklich so, wie der „IT-Guru“ Bruce Schneider sagt: „Security-Awareness ist Zeitverschwendung“?

PCI DSS 4.0: Die wichtigsten Änderungen

Nach über vier Jahren Entwicklungszeit ist Ende März 2022 Version 4.0 des „Payment Card Industry Data Security Standard“ (PCI DSS) veröffentlicht worden. Die lange Entwicklungszeit und der Abstand zur vorherigen Hauptversion lassen schon erahnen, dass die neue Version signifikante Änderungen und Neuerungen mit sich bringt.

Welches Security Assessment sollte ich als Unternehmen durchführen?

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“ NEIN! Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.