Aus aktuellen Anlass eine erneuter Appell.
Im vorliegenden Fall sollten regelmäßig Digital-Fotos an externe Haushalte ausgehändigt werden, die auf einem Büro-PC gespeichert waren.
In einer Datenschutzschulung erhielt der Betrieb den Hinweis, dass personenbezogenen Daten zu schützen seien.
Korrekt! So weit, so gut.
Die Empfehlung war, USB-Sticks mit einem geräteseitig eingebauten Passwortschutz zu verwenden.
Begründung: Wenn ein Haushalt den Stick verliert, kann der Finder den Stick (ohne die am Gerät einzugebende PIN) nicht verwenden.
So weit, so gut.
Was dabei nicht bedacht wurde : Der passwortgeschützte USB-Stick kann sich in den Haushalten an den dortigen Rechnern Schadsoftware (Würmer, Trojaner, Verschlüsselungs-Epressungssoftware, Datenklausoftware etc) einfangen, die – nach Rückkehr des Stick an den Besitzer – beim erneuten Übertragen von Daten auf den Stick – direkt nur beim Reinstecken des USB-Sticks – auf den Büro-Rechner oder gar ins gesamte Büro-Netzwerk überspringen kann.
KURZUM:
- USB-Sticks, die das eigene Büro zur Nutzung verlassen haben, sollten aus Sicherheitsgründen nicht mehr an Bürorechner (bzw Rechner mit personenbezogenen/wichtigen Daten) angeschlossen werden.
- Wir verwenden bei unseren Kundeneinsätzen USB-Sticks mit Schreibschutz!
- Das gilt auch für die Unsitte, ein Smartphone oder Tablet per USB-Kabel an einer USB-Buchse des Arbeitsplatz-PCs zu laden! Unser Artikel dazu hier.
Was man also NICHT tun sollte:
- Fotos/Daten auf USB-Sticks überspielen und die Sticks an Freunde / Kunden / Mandaten zum Zwecke des Überspielens ausleihen – NEIN!
- Fotos/Daten auf externe Festplatten überspielen und dieses Geräte an Freunde / Kunden / Mandaten zum Zwecke des Überspielens ausleihen – NEIN!
- Fotos/Daten auf eine SD-Karte überspielen und diese Karte an Freunde / Kunden / Mandaten zum Zwecke des Überspielens ausleihen – NEIN!
- Sticks löschen/leeren/formatieren und dann anderweitig verleihen – NEIN!
(Daten können nach dem Löschen und auch nach dem Formatieren eines Datenträgers problemlos wiederhergestellt werden; es sei denn, man hat ein stundenlang löschendes Eraser-Programm über den Stick laufen lassen).
Stattdessen sind – in punkto Datensicherheit – bessere Lösungen:
- Daten auf CD/DVD brennen und die CD/DVD der Zielperson dauerhaft überlassen
- Daten auf einen fabrikneuen USB-Stick überspielen und den Stick der Zielperson schenken/berechnen
(Achtung: keine USB-Sticks von ebay, amazon etc. Nur Marken-USB-Sticks aus dem Elektronik-/EDV-Fachhandel! Sonst besteht Gefahr durch gefälschte, ab Werk computervireninfizierte Sticks!) - Daten auf eine fabrikneuen SD-Karte überspielen und die Karte der Zielperson schenken/berechnen
(Achtung: keine SD-Karten von ebay, amazon etc. Nur Marken-SD-Karten aus dem Elektronik-/EDV-Fachhandel! Sonst besteht Gefahr durch gefälschte, ab Werk computervireninfizierte Sticks!) - Daten als passwortgeschützte zip-Datei nur für den Zeitraum des Downloads in eine Cloud stellen (Cloudanbieter, der die DSGVO erfüllt!)
- Vor der Herausgabe von Datenträgern kontrollieren, ob auch nur die beabsichtigten Daten darauf enthalten sind!
Was tun im Falle eines Kindergartens / einer Grundschule, die die Fotos eines Schuljahres an die Eltern verteilen will?
- Unsere Empfehlung: Fotodaten jeder Gruppe/Klasse auf einen Satz DVDs brennen. Den DVD-Satz beschriften mit „Fotos Giraffangruppe 2020/21 – DVD 1 von 2“. Diese DVDs dann für je einen Tag schrittweise an alle Eltern der Gruppe/Klasse verleihen. Protokoll führen, wer wann was ausgeliehen/zurückgebracht hat. Vor der Herausgabe der DVDs kontrollieren, ob auch nur die beabsichtigten Daten darauf enthalten sind!