Digitales Chaos: Eine reale Cyberbedrohung für Unternehmen

25 Apr 2019

Kürzlich hat das Online-Umfrageinstitut OnePoll eine Forschung betrieben, bei der die Einstellung von Nutzern zur Ordnungshaltung ihrer Kühlschränke mit der ihrer digitalen Ressourcen am Arbeitsplatz verglichen wurde. Oder besser gesagt: OnePoll verglich die unterschiedlichen Stufen der Unordnung.

Warum sich das Institut ausgerechnet für den Vergleich mit Kühlschränken entschieden hat, ist mir noch immer ein Rätsel – vielleicht, weil das Innenleben der allgegenwärtigen Küchengeräte auf den ersten Blick nicht sichtbar ist, genauso wie die Unordnung, die im digitalen Raum herrscht. Dennoch muss ich zugeben, dass ich den Bericht mit großem Interesse gelesen und beispielsweise gelernt habe, dass ein Drittel der Befragten am Arbeitsplatz schon einmal über die vertraulichen Daten Ihrer Arbeitskollegen gestolpert ist. Und ein weiteres Drittel war auch nach Beendigung des Arbeitsverhältnisses in der Lage, auf die Dateien des ehemaligen Arbeitgebers zuzugreifen. Diese Erkenntnisse haben mich letztendlich dazu bewegt, drei reale Fallbeispiele aus meinem Privatleben erneut aufleben zu lassen. Und da sie die Gefahren der digitalen Unordnung bestens widerspiegeln, möchte ich Sie gerne hier mit Ihnen teilen.

1. Remote-Workstations

Vor einigen Jahren habe ich für ein kleines Systemintegrationsunternehmen gearbeitet; zu meinen Aufgaben gehörte unter anderem die Berichterstattung über Prerelease-Softwareprodukte des Unternehmens. Um meinen Workstations die unnötige Last wiederholter Programminstallations und -deinstallationszyklen zu ersparen, bat ich meine Firma um eine virtuelle Maschine, die im Handumdrehen auf einen sauberen Systemstatus zurückgesetzt werden kann. Darüber hinaus sollte der Gebrauch einer virtuellen Maschine eigentlich auch eine sinnvolle Sicherheitsmaßname sein – selbstverständlich nur dann, wenn diese gut konfiguriert ist.

Mein Wunsch wurde erfüllt – zumindest teilweise. Das Unternehmen stellte eine VM zur Verfügung; allerdings musste diese mit dem gesamten Team geteilt werden und war darüber hinaus mit dem Unternehmensnetzwerk verbunden. Doch das war nicht das eigentliche Problem.

Ich habe das besagte Unternehmen vor über fünf Jahren verlassen, die virtuelle Maschine ist allerdings weiterhin aktiv. Und genau das ist das Problem. Sie ist noch immer über dieselbe Adresse verfügbar und gewährt Nutzern mit denselben Anmeldedaten (wie vor fünf Jahren!!!) Zugriff. Also habe ich mich aus reiner Neugierde eingeloggt und siehe da: Mir wurde Einblick in alle aktuellen Dateien gewährt. Selbstverständlich habe ich sofort eine Empfehlung abgefeuert, die ich an einen firmeninternen Drucker weitergeleitet habe: „Ändert das VM-Passwort! Und wenn ihr schon dabei seid, solltet ihr die virtuelle Maschine vom Unternehmensnetzwerk isolieren!“

2. Verwaiste Google-Dokumente

Vor einiger Zeit habe ich als freiberuflicher Autor mit einem Unternehmen zusammengearbeitet, das ernsthaft um seine physische Sicherheit besorgt war. Um die Büroräume betreten zu können, musste ich jedes Mal einen der Mitarbeiter benachrichtigen, der dann eine Art Zugangsberechtigung mit meinen Passdaten an der Rezeption hinterließ.

Irgendwann wurde mein alter Reisepass durch einen neuen ersetzt. Ich informierte einen der Redakteure darüber und schlug ihm vor, ihm die neuen Passdaten zukommen zu lassen, woraufhin er mir antwortete, dass er dafür keine Zeit habe und mir einen Link zu einem Google-Dokument mit einer Liste aller Autoren, inklusive Geburts- und Passdaten, schickte. Zwar versuchte ich den guten Mann zur Vernunft zu bringen, doch er war noch immer zu beschäftigt, um die Aufgabe für mich zu übernehmen.

Auch in diesem Fall ist das Problem, dass diese Datei noch immer existiert und für jeden, der im Besitz des Links ist, verfügbar ist. Niemand kann die vorhandenen Informationen löschen, sodass jeder den Bearbeitungsverlauf und alle an der Datei vorgenommenen Änderungen sehen kann. Und auch der Account-Inhaber kann nichts dagegen tun, da er sein Passwort längst vergessen und seine E-Mail-Adresse geändert hat.

3. Die alte Festplatte

Zu meinen Hobbies gehört das Sammeln alter Computerhardware. Normalerweise kaufe ich diese für einen Apfel und ein Ei auf irgendwelchen Flohmärkten. Vor nicht allzu langer Zeit habe ich einen Satz alter Systemreste erworben. Der Verkäufer sagte mir, all das sei reinster Müll und sein Nachbar habe ihn darum gebeten, den Schrott zu entsorgen, wenn sich kein Käufer finden würde.

Zu Funktionstestzwecken habe ich einen kurzen Blick auf die Festplatte geworfen. Abgesehen von den persönlichen Dingen des ehemaligen Besitzers fand ich dort einen Ordner mit dem Namen „Arbeit“, der zahlreiche Kostenvoranschläge und Verträge enthielt, die alle als „vertraulich“ gekennzeichnet waren. Die neuesten wurden mit August 2018 datiert.

Ich weiß nicht, ob der Vorbesitzer den alten PC für die Arbeit von zu Hause oder lediglich für die Speicherung seiner Archive verwendet hat, aber er hat die Folgen der Weitergabe ganz offensichtlich nicht bedacht. Die Festplatte habe ich daraufhin selbstverständlich formatiert.

Natürlich habe ich keinen Einblick in die Kühlschränke bekommen, die einst den hier genannten Privatpersonen und Unternehmen gehörten, aber nach dem oben erwähnten Bericht zu urteilen, würde ich dort mit Sicherheit jahrelang vergammelten Aufschnitt oder fossilierte Krabbensticks finden. Ich bekomme tatsächlich Gänsehaut, wenn ich an all die vertraulichen Daten denke, die in irgendwelchen alten, längst aufgegebenen Google-Dokumenten und Festplatten vor sich hin existieren; ganz zu schweigen von ehemaligen Mitarbeitern, die noch immer auf jegliche Unternehmensressourcen zugreifen können. Und leider unterstützt dieser Bericht meine Bedenken.