Datenmüll im Unternehmen sicher entsorgen

Unsichere Datenentsorgung stellt ein Sicherheitsrisiko für Unternehmen dar und kann außerdem zu Rufschädigung führen.

Während der Vorbereitung eines Angriffs auf ein Unternehmen durchsuchen Cyberverbrecher oft den Datenmüll, in der Hoffnung, nützliche Informationen zu finden. Diese Methode ist auch als Dumpster-Diving bekannt. Im echten Leben werden die Angreifer nicht wie im Film Hackers zufällig 50 gültige Kennwörter im Papierkorb finden, aber im Unternehmensabfall befindet sich oft auch heutzutage noch eine Menge an sensiblen Daten.

Was nicht im Papierkorb entsorgt werden sollte

Selbst der optimistischste Datenplünderer wird es nicht erwarten Unterlagen mit der Aufschrift „STRENG GEHEIM“ vorzufinden. Für einen erfolgreichen Angriff auf ein Unternehmen oder für Rufschädigung ist es auch gar nicht notwendig ein sorgsam gehütetes Geheimnis herauszufinden – bereits mit kleinen Informationsfetzen aus dem Unternehmensmüll können Mitarbeiter durch Social Engineering überlistet werden.

Kompromittierender Abfall

Vorausgesetzt im Unternehmen werden üblicherweise keine Beweise von unsauberer Buchführung oder Berichte die belegen, dass die Firma die Umwelt verschmutzt weggeschmissen, geht die Gefahr von den personenbezogenen Kunden- und Mitarbeiterdaten aus. Nach den aktuellen Datenschutzgesetzen bedeutet ein solcher Fund einen Besuch der Aufsichtsbehörden und saftige Geldstrafen.

Dennoch wird immer wieder über Vorfälle berichtet, die auf nicht richtig entsorgte personenbezogene Daten zurückzuführen sind. Trotz all den abschreckenden Beispielen, sind sich nicht alle Mitarbeiter bewusst, dass beispielsweise eine Adressenliste für Pizzalieferungen als vertrauliche Information behandelt werden muss. Beängstigend ist auch die Tatsache, dass selbst Krankengeschichten mit Sozialversicherungsnummern, Rechnungen mit Daten von Bankkarten und gescannte Personalausweise ohne Weiteres in der Datenmülltonne landen.

Diese Daten können von Cyberverbrechern für Social Engineering verwendet werden

Scheinbar harmlose Daten in den falschen Händen können zu einer Katastrophe führen. Darüber hinaus ist zu beachten, dass in leichtsinnig weggeworfenen Unternehmensunterlagen, Briefumschlägen und digitalen Speichermedien eine Menge dieser Daten zu finden sind.

Unternehmensunterlagen, selbst wenn sie keine geheimen Daten enthalten, liefern Informationen darüber womit sich das Team gerade beschäftigt, welche Terminologie verwendet wird, welche Arbeitsvorgänge im Unternehmen angewendet werden usw. Mit dieser Art von Daten ausgerüstet, kann sich ein Angreifer entweder per E-Mail oder sogar über das Telefon als Teammitglied ausgeben, um zusätzliche Informationen herauszufinden oder einen BEC-Angriff (Business E-Mail Compromise) ausführen, ohne den geringsten Verdacht zu erregen.

Briefumschläge von Unternehmen sind immer mit der Adresse des Absenders beschriftet. Zu wissen, dass ein Mitarbeiter des Unternehmens M Unterlagen von Vertretern des Unternehmens N erhalten hat, ermöglicht es einem Cyberverbrecher beispielsweise den Empfänger mit einer glaubwürdigen Anfrage für weitere Informationen zu kontaktieren oder eine Bestätigungs-Mail mit einem schädlichen Link zu schicken.

Digitale Speichermedien können eine wahrhafte Informationsschatzkiste sein. Ein kaputtes Smartphone enthält in der Regel komplette Adressbücher und umfangreiche Nachrichten-Threads, die sehr nützlich sein können, um sich als den ehemaligen Besitzer des Handys auszugeben. Oft werden auch Flashspeicher oder sogar ausrangierte Festplatten, die eine riesige Menge an Dokumenten und personenbezogenen Daten enthalten, einfach weggeworfen.

Selbst die Tüte mit dem Mittagessen vom Lieferservice, auf der der Name eines Mitarbeiters angegeben ist, bietet Cyberverbrechern die Möglichkeit beispielsweise eine Phishing-E-Mail mit einem gefälschten Link zu Menüangeboten oder einem Treueprogramm zu schicken. (Das ist zwar keine gängige, aber eine durchaus machbare Methode.)

So wird Datenmüll sicher entsorgt

Als Erstes empfehlen wir Papier als Speichermedium entweder vollkommen zu vermeiden oder zumindest auf ein Minimum zu reduzieren. So schützen Sie die Umwelt und können gleichzeitig das Problem der fachgerechten Akten- und Dokumentenvernichtung umgehen.

Der erste Schritt besteht darin alle unternehmensbezogene Papierunterlagen auf sichere Weise zu entsorgen. Dazu zählen alle Dokumente, nicht nur diejenigen die personenbezogenen Daten enthalten. Schreddern Sie das Papier, einschließlich der Briefumschläge.

Digitale Speichermedien (Festplatten, USB-Sticks usw.) gehören nicht in den Betriebsabfall. Der nächste Schritt besteht darin die ausrangierten, digitalen Speichermedien mechanisch zu zerstören und sie im nächstgelegenen Wertstoffhof zu entsorgen. Brechen Sie die Discs und Flashspeicher mithilfe von einer Zange auseinander. Für das mechanische Zerstören von Festplatten eignet sich am besten eine elektrische Bohrmaschine oder ein Hammer. Denken Sie daran, dass jedes Smartphone über einen Flashspeicher und jeder Computer über eine Festplatte verfügt. Versichern Sie sich grundsätzlich, dass die gespeicherten Daten nicht mehr gelesen werden können, bevor Sie solche Geräte wegwerfen.

Zerreißen Sie sämtliche Aufkleber mit Name und Adresse auf Tüten von Lieferservices und auf Paketen, bevor die Verpackung in den Mülleimer kommt.

Denken Sie immer daran, dass die Sicherheit Ihres Unternehmens davon abhängt, ob jeder einzelne Mitarbeiter der Firma – vom Rezeptionsteam bis hin zur Chefetage – diese Regeln versteht und sie auch einhält. Egal welche Arbeitsstelle ein Mitarbeiter besetzt, ist es unabdingbar, dass er über das grundlegende, praxisnahe Wissen zur korrekten Handhabung von potenziell gefährlichen Informationen verfügt.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.