Sensible Daten

Kunden erhalten von mir ab und zu sensible Daten oder ich erhalte sie von ihnen — im Rahmen von Projekten und Aufträgen natürlich. Wie sollten Sie als Kunde mit solchen Daten umgehen? Hier ein paar Empfehlungen:

  1. Übertragen Sie sensible Daten ausschließlich verschlüsselt. Große Datenpakete übertragen Sie am besten als verschlüsseltes Archiv über Skype.
  2. Speichern Sie sensible Daten nicht unverschlüsselt auf mobilen Geräten oder mobilen Datenträgern, auch nicht vorübergehend.
  3. Wenn Sie oft mit sensiblen Informationen umgehen müssen, speichern Sie sie auf verschlüsselten Datenträgern. Die Stichworte sind hier Bitlocker (Windows), TrueCrypt (Windows, Linux, MacOS), FileVault (MacOS). Wenn Sie nicht ausreichend Kenntnisse für die Einrichtung haben — investieren Sie bitte etwas Geld in Ihre Sicherheit und beauftragen Sie dafür einen Fachmann oder eine Fachfrau.

Zu Punkt 1 — die Empfehlung halte ich für sehr einfach umsetzbar bei relativ hoher Sicherheit. Es gibt noch andere, noch sicherere Möglichkeiten, beispielsweise GPG und SFTP, die IMHO aber ein schlechteres Verhältnis zwischen Einfachheit und Sicherheit haben, gerade für Nicht-Admins/Nicht-Techniker. Weiterhin sollte man sicherstellen, dass ein sicheres Kennwort verwendet wird. Wer bei der Auswahl eines neuen Kennworts Probleme hat, sollte ein Programm dafür nehmen: KeePass hat einen guten Passwort-Generator. Mehr über das Programm gibt es bei Dr. Web zu lesen.

Zu Punkt 3: Ich nutze auf meinen Arbeitsplatzmaschinen überall TrueCrypt, sowohl unter Linux als auch unter Windows XP/Vista.

Ich bin Kunden gegenüber natürlich prinzipiell nicht weisungsberechtigt, daher ist jedem Kunden selbst überlassen, ob er die Empfehlungen beherzigt oder nicht. Er ist andererseits in erster Linie aber auch selbst für den Datenschutz seiner Daten verantwortlich.

PS für erfahrene Nutzer

Schon seit Jahren biete ich meinen Kunden verschlüsselte E-Mail-Kommunikation per GPG an. Mein GPG-Schlüssel. Einmal eingerichtet, ist es IMHO eine der sichersten Methoden, sicher zu kommunizieren. Ich halte es für noch sicherer als Skype — denn immerhin könnte Skype die übertragenen Daten abfangen und speichern. GPG mit Thunderbird (oder anderen Mail-Clients) ist schnell eingerichtet, aber eben nichts für Gelegenheitsnutzer.

Auf Youtube gibt es ein deutschsprachiges Video mit einer Anleitung für Thunderbird. Der Sprecher ist für den Video-Nutzer eine… “Herausforderung” sag ich mal. Aber die Anleitung erfüllt wohl ihren Zweck.

Bitte ändern Sie Ihr Kennwort

Manche Kunden senden mir Zugangsdaten per Mail zu, in der Regel unverschlüsselt. Das ist zwar angenehmer, als Kennworter und Benutzernamen per Buchstabiertafel oder gar NATO-Alphabet telefonisch zu übermitteln, aber auch recht fahrlässig. Sensible Daten wie auf einer Postkarte für jeden sichtbar zu verschicken, ist nicht sicher.

Mein Horror ist, dass die Zugangsdaten abgefangen werden, der Kundenserver dann von Kriminellen missbraucht wird und ich dessen beschuldigt werde.

Dabei habe ich bei mir lokal relativ hohe Sicherheitsstandards: Meine Mails sind per GPG signiert und werden grundsätzlich verschlüsselt gespeichert. Auf Wunsch übertrage ich Mails auch verschlüsselt — aber gerade das verlangt kein einziger Kunde von mir. Da helfen meine Sicherheitsvorkehrungen dann auch nicht mehr viel, wenn diese Informationen unverschlüsselt durchs Netz gehen.

Meine Bitte daher an alle Kunden, die mir Zugangsdaten per Mail geschickt haben:
Ändern Sie bitte diese Zugangsdaten jetzt! :)

Ob das dann tatsächlich gemacht wird oder nicht überprüfe ich nicht. Meine Kunden sind da natürlich völlig frei.

So, jetzt kann ich einfach auf diesen Beitrag verlinken und spare mir Schreibarbeit :)