… denn sie wissen nicht, was sie tun

Hi, Fabian hier. Heute mal mit einem Beitrag “der etwas anderen Art”, der meine persönliche Meinung zum Thema “Datenschutz” beinhaltet.

Gerade ist es mir wieder passiert: Ich stehe in der S-Bahn im Gang und hinter dem Glasfenster zum Viererabteil setzt sich ein Mann (geschätzt Mitte 40) auf einen der freien Plätze. Er ist offensichtlich zum Flughafen unterwegs, das selbe Szenario sehe ich im Prinzip jeden Tag. Nun geht er an einen seiner größeren rollenden Koffer und packt sein Notebook aus. Ich denke mir schon: “Nein, nicht schon wieder.” Aber doch – es kommt wie es kommen muß.

Das Notebook startet: Zuallererst erscheint der Bildschirm einer Verschlüsselungslösung, die nach dem Kennwort verlangt. Wer in der Bahn sein Notebook auf dem Schoß balanciert, nutzt oft nur eine Hand zum Tippen, die andere hält das Notebook fest. Daher wird nur mit dem Zeigefinger getippt – entsprechend langsam.

Im Normalfall schaue ich immer weg, wenn jemand sein Kennwort eingibt. In diesem Fall denke ich mir aber: Heute schaust Du einmal hin! Und siehe da, ein männlicher Vorname. Wahrscheinlich der Name seines Kindes. Wäre man also auch so drauf gekommen, wenn man ihn kennt oder kennenlernt…

Und selbst wenn nicht: Annähernd jedes mobile Telefon bringt mittlerweile eine kleine Kamera mit (inkl. Filmaufnahme), warum sollte ein schlechter Mensch, der hinter dem Herrn Mitte 40 steht, nicht einfach mitfilmen und es sich nach dem Diebstahl des Notebooks in Ruhe mit halber Geschwindigkeit anschauen?

Eine Scheibe ist mittlerweile nicht mehr zwischen mir und dem Reisenden, gekleidet mit Anzug und Krawatte – er hat sich mit den Knien so weit nach außen gelehnt, daß ich förmlich in Fahrtrichtung auf den Bildschirm des Notebooks schauen muß, wenn ich mich nicht aktiv weg bewege.

Weiter geht es, Windows lädt. Offensichtlich ein Domänenclient, ich sehe das Drop Down Menü der Domänenauswahl der Anmeldung. Den Benutzernamen natürlich auch. Das folgende Benutzerkennwort wird nun genauso langsam eingegeben wie das erste. Ok, sie unterscheiden sich. Nicht schlecht. Aber scheinbar ist es diesmal ein Mädchenname – wahrscheinlich der seiner Frau oder Tochter. Mit einer 3 am Ende. Da es sich nicht um ein Datum handeln kann liegt die Vermutung nahe, daß der Mädchenname schon 4x zur Anwendung kam: 1x nur der Name, 1x mit einer “1” am Ende, es folgt beim nächsten Kennwortwechsel die “2” usw. “Daumen hoch”, denke ich mir.

Ich schüttele vor Entsetzen einfach nur noch den Kopf. Nun gut, schlimmer kann es ja fast nicht mehr kommen.

Zumindest denke ich das so lange, bis das erste Word Dokument aufgeht – und das Logo einer größeren gesetzlichen Krankenkasse erscheint. Als Kopf von einem Dokument, das mir auf den ersten Blick aussieht wie ein Vertrag. Spätestens jetzt drehe ich mich wirklich weg, denn das geht mir zu weit. Dem Mittvierziger scheinbar nicht, denn er verbringt die restliche gemeinsame Fahrt mit mir munter mit dem E-Mail prüfen, der Word-Dokument Bearbeitung usw.

Aber gut – wenigstens hat er nicht zusätzlich nebenbei mit einem Kollegen telefoniert und dabei allen Mitreisenden die Geschichte der heutigen Vertragsverhandlung noch einmal laut und deutlich mitgeteilt, wie ich es sonst so auf dem Weg zum Flughafen mit anhören darf.

In solchen Situationen spielt sich bei mir dann immer mein Kopfkino ab:

Ich nehme mir den Hörer meines Mobiltelefons zur Hand, wähle die Nummer des Arbeitgebers vom mitteilungsbedürftigen Fahrgast und melde mich in der Zentrale oder besser gleich beim Marketing:

“Einen schönen guten Tag, Mustermann mein Name.

Ich habe da eine PowerPoint Präsentation mit abfotografierten Bildern Ihrer Krankenkassen-Kundendaten gebastelt. Schön mit Animationen usw. – wirklich ansehnlich, ein Augenschmaus. Die Liste ist von heute Nachmittag, habe ich gerade frisch herein bekommen. Die haben Sie noch nicht einmal auf dem Tisch, so neu ist die.

Ich würde die Präsentation gern beim Bundesdatenschutzbeauftragten halten, benötige dafür jedoch noch ein nettes Logo von Ihnen – das auf dem Foto ist ein wenig unscharf. Das macht keinen guten Eindruck – und Sie wissen ja: Der erste Eindruck zählt.

Könnten Sie mir bitte ein aktuelles Firmenlogo per E-Mail senden?”

Aber dann denke ich, daß dort der Kopf des Bahnfahrers rollen würde; und das möchte ich natürlich auch nicht.

Vielleicht werde ich nun besser beginnen, die Reisenden aktiv auf die Thematik anzusprechen und sie fragen, ob Ihnen überhaupt klar ist, was sie da gerade tun. Aber vermutlich riskiere ich dann ein paar Beleidigungen und vollkommenes Unverständnis. Sei’s drum.

Ok, ich gebe zu, die Geschichte ist “nichts neues”. Aber gerade das macht es aus meiner Sicht so schlimm – wir haben hier täglich mit diversen sicherheitsrelevanten Themen zu tun, unsere Kunden setzen immer mehr Technik ein, die die Firmen- als auch Kundendaten schützen soll. Festplattenverschlüsselung, Verschlüsselung auf Dokumentenebene, E-Mail Verschlüsselung und Signierung, RMS usw. usf. – aber all dies wird durch eine 20 minütige Bahnfahrt vom Mitarbeiter ad absurdum geführt.

Und das, obwohl im Grunde jeder Arbeitsvertrag eine Verschwiegenheitsklausel enthält; wenn man sich also schon nicht für den Datenschutz interessiert (schlimm genug), dann ist man doch zumindest an seinem Arbeitsplatz interessiert?

Mich würde interessieren, was Ihr in Eurem Unternehmen zur Schulung bzw. Benutzer-Sensibilisierung tut. Bei uns gibt es wiederkehrende, zwingende Mitarbeiterschulungen (für alle Mitarbeiter, nicht nur die rein technisch geprägten), die sich mit solchen Themen beschäftigen. Plus die zyklischen Hinweise auf SharePoints, E-Mails etc., die etwaige Neuerungen, relevante Fragestellungen oder Hinweise dazu enthalten. Denn die beste Technik nützt nicht viel, wenn den Benutzern nicht klar ist, warum die Technik allein nicht “schützt”.

Wie sieht es also bei Euch aus?

Viele Grüße
Fabian