Zum Umgang mit Datenlecks
Mit Marie-Claire Koch, Ronald Eikenberg, Dr. Christopher Kunz und
Joerg Heidrich
1 Stunde 9 Minuten
Podcast
Podcaster
Beschreibung
vor 9 Monaten
Kaum eine Woche vergeht auf heise online ohne Meldungen über neue
Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken,
bei dem hochsensible Patientendaten offen im Netz einsehbar waren.
Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und
sogar Befunddaten unverschlüsselt übertragen wurden und über das
Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast
berichten die Newsroom-Redakteurin Marie-Claire Koch und
c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem
erfahren haben und was genau passiert ist. heisec-Redakteur
Christopher Kunz kann überdies brandaktuelle Informationen zu zum
Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern,
auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC)
hingewiesen hat. Wegen unzureichend gesicherter Webservices standen
massenhaft Mandanteninformationen nahezu offen für jeden im
Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg
Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen
vorbeugen können und wie sie sich verhalten sollten, wenn es
dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei
der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich
gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell
in fremde Hände geraten sind? Nach Christophers Meinung ist es
erschreckend, dass Patientendaten aufgrund grober Fehler wie
fehlender Verschlüsselung und falscher Serverkonfiguration frei
zugänglich waren. "Es geht hier um grundlegende
Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich
selbstverständlich sein sollten", kritisiert er. Doch stattdessen
würden immer wieder die gleichen Anfängerfehler gemacht. Auch die
Kommunikation der betroffenen Unternehmen lasse oft zu wünschen
übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse"
seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden
und Kunden häufig gar nicht oder nur zögerlich informiert. Hier
fordern die Experten unisono deutlich mehr Transparenz. Für Ronald
liegt die Wurzel des Problems im mangelnden Risikobewusstsein:
"Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen
werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig
seien regelmäßige Sicherheitsaudits und die Einbindung externer
Experten, um Lücken frühzeitig zu erkennen und zu schließen.
Unternehmen sollten zudem offener mit Sicherheitsforschern
zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät
Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht
dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten
sich sicherlich mehr Informationen darüber, ob und wie ihre Daten
in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim
Schutz sensibler Daten gibt es noch viel Luft nach oben.
Unternehmen müssen ihrer Verantwortung besser gerecht werden - im
Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn
Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern,
sondern können auch immense Imageschäden nach sich ziehen.
Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken,
bei dem hochsensible Patientendaten offen im Netz einsehbar waren.
Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und
sogar Befunddaten unverschlüsselt übertragen wurden und über das
Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast
berichten die Newsroom-Redakteurin Marie-Claire Koch und
c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem
erfahren haben und was genau passiert ist. heisec-Redakteur
Christopher Kunz kann überdies brandaktuelle Informationen zu zum
Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern,
auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC)
hingewiesen hat. Wegen unzureichend gesicherter Webservices standen
massenhaft Mandanteninformationen nahezu offen für jeden im
Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg
Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen
vorbeugen können und wie sie sich verhalten sollten, wenn es
dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei
der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich
gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell
in fremde Hände geraten sind? Nach Christophers Meinung ist es
erschreckend, dass Patientendaten aufgrund grober Fehler wie
fehlender Verschlüsselung und falscher Serverkonfiguration frei
zugänglich waren. "Es geht hier um grundlegende
Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich
selbstverständlich sein sollten", kritisiert er. Doch stattdessen
würden immer wieder die gleichen Anfängerfehler gemacht. Auch die
Kommunikation der betroffenen Unternehmen lasse oft zu wünschen
übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse"
seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden
und Kunden häufig gar nicht oder nur zögerlich informiert. Hier
fordern die Experten unisono deutlich mehr Transparenz. Für Ronald
liegt die Wurzel des Problems im mangelnden Risikobewusstsein:
"Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen
werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig
seien regelmäßige Sicherheitsaudits und die Einbindung externer
Experten, um Lücken frühzeitig zu erkennen und zu schließen.
Unternehmen sollten zudem offener mit Sicherheitsforschern
zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät
Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht
dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten
sich sicherlich mehr Informationen darüber, ob und wie ihre Daten
in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim
Schutz sensibler Daten gibt es noch viel Luft nach oben.
Unternehmen müssen ihrer Verantwortung besser gerecht werden - im
Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn
Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern,
sondern können auch immense Imageschäden nach sich ziehen.
Weitere Episoden
1 Stunde 8 Minuten
vor 1 Woche
1 Stunde 9 Minuten
vor 3 Wochen
1 Stunde 7 Minuten
vor 1 Monat
1 Stunde 14 Minuten
vor 1 Monat
1 Stunde 10 Minuten
vor 2 Monaten
In Podcasts werben
Kommentare (0)