Neulich habe ich bereits über IT-architektonischen Aspekte der Datensicherheit geschrieben. Diesmal will ich noch einen weiteren Aspekt ergänzen.
Gerade als Softwareentwickler erlebt man heutzutage immer wieder kuriose Auswüchse der Datensicherheit: "Ihr Software arbeitet fehlerhaft. Aus Datenschutzgründen kann ich Ihnen nichts genaueres sagen, aber ich erwarte, daß der Fehler bis morgen behoben ist." Dabei ist das meiner Ansicht nach größte Problem ganz wo anders.
Wer mit vertraulichen Daten umgeht, muß sich verpflichten, die geltenden Datenschutzbestimmungen einzuhalten. Wenn die Kenntnis dieser Bestimmungen abgefragt werden, so kommen dann Fragen vor wie folgende: "Eine Kollegin ruft sie an und will die private Telefonnummer eines Kunden wissen. Geben sie sie ihr?" Da der Mechanismus dieser Fragen leicht zu durchschauen ist, antwortet man sofort mit "nein". Was ist aber, wenn ich die Nummer selber gut gebrauchen könnte für etwas was nicht mit der Aufgabe zu tun hat, die mir Zugang zu den Daten gestattet. Es ist nicht zu erwarten, daß meine eine Gehirnhälfte diese Nummer kennt, die andere sie aber nicht benutzt.
Wenn also jemand vertrauliche Daten benutzt, so muß das nicht daran liegen, daß er Sicherheitslücken ausnutzt, er kann auch ganz legal, aber in anderem Zusammenhang, Zugang gehabt haben. Derartige Kompetenzüberschneidungen geschehen immer wieder fahrlässig. Es ist aber durchaus vorzustellen, daß jemand dies bewußt nutzt.
Kritisch kann so etwas auch werden, wenn ein Dienstleister Aufträge von verschiedenen Firmen gleichzeitig entgegennimmt. Wenn dasselbe Callcenter für konkurrierende Firmen arbeitet, so ist es wahrscheinlich, daß die Kundendaten der einen Firma benutzt werden, um Kunden für die andere zu werben.
Keine Kommentare:
Kommentar veröffentlichen