IT-Sicherheit im Unternehmen: Mitarbeitersensibilisierung (Datenschutz Deluxe Podcast #25)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Ja, hallo und herzlich willkommen zum Datenschutz Deluxe Podcast.

Ich bin natürlich Stephan Plesnik und bei mir ist Klaus Meffert.

Klaus, ich grüße dich.

Wie geht es dir?

Ja, Stephan, hallo.

Mir geht es auch wieder gut.

Ich würde mit deinen Worten mal sagen, alles tutti, hast du beim letzten Mal ja gesagt.

Vielleicht für den Zuhörer, wir haben uns jetzt eben auch nochmal auf ein Thema spontan geeinigt und ich finde es auch sehr gut, dass wir da spontan einsteigen.

So ist es natürlicher und jeder kann vielleicht unsere Gedankengänge nachvollziehen.

Manchmal fehlt vielleicht ein bisschen Hintergrundwissen, aber ich denke, mit dem, was wir haben, können wir sehr gut und kompetent drüber sprechen und ich bin sicher, du wirst uns jetzt auch verraten, worum es geht.

Ja, ich bin auch mal sehr gespannt, denn was mich eigentlich auf die Idee des Themas gewandelt, die Idee des Themas ist Sicherheit in Unternehmen, beziehungsweise Datensicherheit, eben auch das Wahren von Privatsphäre, das Schützen personenbezogener Daten, wo wir dann wieder in der Datenschutzrechtsthematik ankommen.

Allgemein, weil ich gefühlt jeden Tag in irgendeinem meiner Social Media Accounts irgendetwas präsentiert bekomme, dass wieder irgendein Unternehmen es wieder irgendwie hingekriegt hat, gehackt zu werden, dass wieder Daten abgeflossen sind, wo sie nicht sollten.

Und was ich dabei am spannendsten finde, ist, es wird dann immer darüber geredet, die Unternehmen versichern dann, dass sie ihre Systeme sicherer gestalten und so weiter, dass sie die Sicherheitslücken schließen werden.

Die größte Sicherheitslücke bei diesen Dingen, die immer, immer, immer wieder auftaucht, ist, dass am Ende irgendein Mitarbeiter auf irgendeinen Link in irgendeiner E-Mail geklickt hat oder in irgendeiner SMS-Nachricht oder WhatsApp-Nachricht und damit dann Chartcode ins Unternehmen einschleust und ein Virus als Ransomware irgendwie Daten verschlüsselt oder irgendwie sowas.

Egal, wie jetzt das Ausmaß ist, die Frage, die ich mir dabei stelle, ist, wie genau läuft eigentlich so ein Prozess in so einem Unternehmen ab, wenn die dann so eine Sicherheitslücke haben?

Weil ich habe das Gefühl, es wird ein bisschen wenig auf die Sensibilisierung der Mitarbeiter beziehungsweise auf das Know-how im Umgang mit Technologie der Mitarbeiter geachtet.

Wie empfindest du das?

Ja, also es kommt, glaube ich, darauf an, über welche Art von Sicherheitslücken wir reden.

Du hattest ja schon gesagt, diese E-Mail-Geschichte, also Phishing-Attacken heißt das ja oder Spear-Phishing.

Das heißt, man versucht beispielsweise für einen Mitarbeiter was herauszufinden.

Viele breiten ja auch ihr Leben in sozialen Medien aus, auch in Business-Netzwerken wird ja auch alles geschrieben, was zu sagen ist, bis hin zur eigenen Körpergröße und wer dann der Chef ist und so weiter, kann man vielleicht auch danach lesen.

Und dann kann ich jemandem eine Mail schicken und sagen, hier, ich bin der Chef, du mir geben 5.000 Euro vom Firmenkonto auf mein Privatkonto.

Und schon macht der Mitarbeiter.

Das ist natürlich jetzt leicht übertrieben dargestellt, aber so funktioniert es.

Und es gibt auch tatsächlich Fälle, es reicht ja, wenn einer von 500, naja 500 vielleicht nicht, aber einer von 100 Fällen erfolgreich ist und man das vielleicht sogar automatisieren kann, dieses Spear-Phishing.

Absolut.

Also da würde ich sagen, ist natürlich Mitarbeiter Sensibilisierung ein sehr großer und wichtiger Punkt.

Das Problem kann man übrigens auch relativ leicht lösen, wenn es um diese internen Mails geht.

Also es ist ja eine interne Mail, wenn ein Chef mir, also zumindest was fachliche Zuordnung angeht, im Unternehmen selbst findet eine Kommunikation statt.

Ob das jetzt vom Privatrechner des Chefs aus zu meinem privaten Rechner ist und es geht um Firmensachen oder ob es im Firmennetzwerk ist und es geht um Firmensachen, ist ja erstmal zweitrangig.

Es geht um Firmenangelegenheiten.

Und da kenne ich zum Beispiel eine Firma, die hat gesagt, wir schreiben uns jetzt intern überhaupt gar keine Mails mehr.

Wir brauchen das nicht, sondern wir verwenden jetzt ein System, in dem wir uns Nachrichten schicken können.

Das sind aber keine E-Mails.

Ist ja auch irgendwie logisch, dass das so sinnvoll sein kann, weil man ja den Weg kennt, den man beschreiten muss, um die Nachricht zu übermitteln.

Das ist nämlich das eigene Netzwerk.

Da muss ich keinen Mail selber von einem Dritten verwenden dafür, um die ganze Welt schicken sozusagen, um es von Schreibtisch A zu Schreibtisch B zu schicken im selben Unternehmen.

Also das kann man durch Mitarbeiter Sensibilisierung lösen oder auch durch technische Lösungen, wie ich es eben gesagt habe, komplett entschärfen, diese Phishing-Attacken zumindest.

Was man aber dann durch Mitarbeiter Sensibilisierung weniger entschärfen kann, sind Dinge wie Sicherheitslücken durch veraltete Softwarestände auf dem Webserver zum Beispiel.

Da muss man schon andere Ansätze verwenden.

Ja, da kommt ja dann auch immer wieder diese Thematik, wenn halt alle dasselbe nutzen, ist ja Thema Microsoft, eine Exchange-Server und so weiter, und dafür eine Schwachstelle bekannt ist, dann ist natürlich auch das Angriffsrisiko viel größer, weil natürlich ein Hacker, der sagt, wie du gerade sagtest, einer von 500 öffnet das, und ich habe dann den Umsatz gemacht.

Wenn ich das automatisieren kann, wenn ich weiß, dass es 20 Millionen Exchange-Server auf der Welt gibt bei irgendwelchen Firmen verteilt, dann habe ich natürlich einen riesen Fundus, den ich abgraben kann, um für mich selber eben auch schneller Profit aus so einer Hacker-Attacke zu schlagen.

Was du zu der Sensibilisierung meintest, fand ich sehr interessant.

Ich hatte da nämlich jetzt gerade aktuell einen Fall bei einem Unternehmen, da wurde mir quasi zurückgeschrieben, ja, entschuldigen Sie, dass ich bestimmte Dinge noch nicht beantwortet habe aus der letzten Mail.

Die ist bei mir im Spam-Ordner gelandet, automatisch, weil sie von einer externen Domain kommt und Links enthält.

Da war ein Link zu einem Dokument drin, das halt beachtet werden musste, mit dem die Person arbeiten musste.

Und da habe ich dann gedacht, da haben wir zum Beispiel so einen Fall, genau wie du gerade beschrieben hast, da ist systemisch irgendwas entschieden worden, und man hat gesagt, okay, automatisch werden Links von externen Domains, die E-Mails mit Links von externen Domains, werden erstmal als Spam weggelegt.

Jetzt ist aber die Frage, wer sieht die denn dann?

Sieht nämlich keiner.

Wenn ich nach zwei Wochen nachfrage, heißt es, ich habe mal nachgeguckt, und jetzt habe ich die erst gesehen.

Das heißt, es kommt keine Info zustande, keine Rückmeldung, dass da etwas in Spam gelegt wurde.

Dadurch können dann Informationen verloren gehen, wo man ja auch die Mitarbeiter hätte schulen können und nicht sagen können, ich baue eine Sperre ein und lasse die Mitarbeiter weiter dumm sein und damit so umgehen, wie sie das normalerweise gewöhnt sind, sondern sagen, ich investiere lieber darin, dass meine Mitarbeiter wissen, ey, ich muss bei Links in E-Mails vorsichtig sein, ich muss gucken können, was steht in der Header-Information der E-Mail drin, ist das wirklich ein seriöser Absender?

Ist mir der Absender vielleicht persönlich bekannt, auch wenn mein System den noch nicht kennt?

Irgendwie solche Geschichten, denke ich, sind in der Sensibilisierung im Umgang am Arbeitsplatz viel, viel essentieller und wichtiger als immer nur zu sagen, ja gut, da ist etwas schiefgegangen, jetzt schließen wir eine Sicherheitslücke und dann ist alles wieder okay.

Also die Technik, ich glaube, viele verlassen sich auf Technik, so fühlt sich das an.

Jaja, also du hast natürlich recht, ich glaube, man kann jeden Mitarbeiter, egal wie alt er ist, weil viele, die kurz vor der Rente sind, sagen, ich will jetzt nichts Aufregendes mehr lernen sozusagen, das, was ich weiß, das bleibt auch so.

Aber ich glaube, so eine Schulung, die du ansprichst, wie man verdächtige E-Mails erkennt oder wie man E-Mails überhaupt erst mal untersucht, die kann jeder vertragen und die ist auch jetzt nicht so, dass man Informatik studiert haben muss oder Hacker sein muss, um das wirklich nachzuvollziehen, das kann man, glaube ich, mit sehr einfachen Mitteln, du hast ja auch teilweise schon gesagt, prüfen.

Ich kenne zum Beispiel allerdings auch ein Unternehmen, was zusätzlich noch was anderes macht.

Du hast ja davon gesprochen, dass Spam-Mails dann teilweise im Nirvana verschwinden und keiner sieht sie mehr sozusagen.

Das ist natürlich ein Problem, das hatte ich auch schon bei mir und dann hat der andere mich nach zwei Wochen gefragt, was ist denn jetzt?

Und da sage ich, Entschuldigung, ich habe ja die Mail gar nicht gesehen oder ich habe es zufällig selbst gesehen, aber erst nach zwei Wochen, dann war mir dann etwas peinlich, wobei ich ja gar nichts dafür konnte und es war vielleicht wegen einem fehlerhaften Spam-Filter von mir übrigens in dem Fall.

Aber ein Unternehmen, ein größeres, was ich kenne, 250.000 Mitarbeiter, für die ich auch schon tätig war, die haben folgendes gemacht, die schicken einmal am Tag eine Zusammenfassungs-Mail an den Mitarbeiter, wenn er Spam-Mails bekommen hat oder die als Spam klassifiziert wurden.

Und da ist in einer Liste sozusagen die Mail mit dem groben Inhalt usw. wiedergegeben und dann kann der Mitarbeiter sich das anschauen, ich sage jetzt mal in einem geschützten Bereich, also ohne dass irgendwas nachgeladen wird, ohne dass er irgendwo draufklicken kann und kann dann sagen, ja, das ist Spam oder das ist kein Spam.

Das heißt, das ist so ein Mittelding, die Spam-Mails gehen nicht verloren und er kann das, was irrtümlich als Spam klassifiziert wurde, aus fachlicher Sicht zumindest, kann er dann zurückholen in seinen Posteingang.

Das finde ich den besten Weg, der allerdings jetzt auch nicht jedem zur Verfügung steht.

Trotzdem, zusätzlich würde ich sagen, dass das, was du sagst, sinnvoll ist, nämlich eine Mitarbeiterschulung.

Man muss einfach ein bisschen Geld investieren, das kann ja auch eine Online-Schulung sein, die ist auch jetzt nicht wirklich so teuer, dass man davon sprechen muss.

Man muss ein Sparkonto plündern, damit der Mitarbeiter jetzt besser ist und dann sollte man natürlich, da würdest du mir wahrscheinlich zustimmen, dem Mitarbeiter alle zwei, drei Monate nachschulen, damit er dann, weil wir kennen das ja beide, man lernt irgendwas oder man hat einen Autounfall gebaut und fährt dann ganz, ganz vorsichtig die nächsten sechs Monate und danach fährt man wieder normal.

Also man muss sich irgendwie auffrischen sozusagen, wieder neu sensibilisieren lassen.

Ja, das finde ich total gut, dass du das ansprichst, auch diese Sensibilisierung, dass man die regelmäßig durchführt.

Wir vergessen ja immer, wie Gewohnheiten entstehen.

Und gerade, wenn ich so was habe wie eine E-Mail-Bearbeitung, das ist ja ganz schnell eine Gewohnheit, da bin ich ja total drin.

Die habe ich ja seit Jahren.

Die Leute kommen morgens zum Arbeitsplatz, die machen ein E-Mail-Programm auf, chacken ihre Mails.

Die kriegen ja gar nicht mit, was da für Prozesse sich im Hintergrund und in dem großen Weiten des Internets und der weiten Welt verändern, die sie vielleicht heute bedrohen.

Und wenn man sich nicht wie wir, weil das jetzt unser Fachthema ist und wir das gerne tun und das interessant finden, regelmäßig damit beschäftigt, dann habe ich ja auch so gar nicht die Grundvoraussetzung geschaffen, dass dieser Gedankengang überhaupt angeht.

Huch, ich könnte bedroht sein.

Huch, das könnte etwas sein, das vielleicht mir eine Information entlocken soll, die mir gar nicht entlockt werden sollte.

Oder das ist ein Eindringling.

Irgendwie solche Geschichten.

Und ich glaube, das ist auch etwas, was gerade bei den Sensibilisierungen viel zu häufig vernachlässigt wird, das Überprüfen der Umsetzung in der Praxis.

Also nicht nur zu sagen, so geht das und so könnt ihr das machen in so einer Frontalschulung, sondern dieses Rückprüfen.

Wie geht ihr denn in den nächsten Tagen am Arbeitsplatz damit um?

Wie ist es euch in den letzten zwei Wochen, in den letzten Monaten, in den letzten drei Monaten ergangen?

Hat sich etwas an eurer Art und Weise im Umgang mit Informationen und der Wahrnehmung dieser Informationen auch verändert?

Was habt ihr daraus gelernt?

Ich finde auch diese Frage unglaublich essentiell wichtig, wenn es darum geht, Menschen zu sensibilisieren, die Frage zu stellen, was hast du denn da eigentlich mitgenommen und daraus gelernt?

Weil dann weiß ich ja auch erst, was dieser Mensch verinnerlicht hat, wie er in Zukunft unter Umständen seine Gewohnheiten ändern möchte, auch wenn das im ersten Schritt halt nicht so schnell geht, weil wir Menschen sind halt sehr träge.

Ja, ja, stimmt.

Also mir ist da noch eine Sache eingefallen.

Wir hatten ja auch schon letztes Mal das Thema Künstliche Intelligenz und ich hatte ja diesmal auch schon fast wieder den Vorschlag, weil es uns am Hand heiß ist und auch nicht mehr ein Hype ist, sondern jetzt wirklich eine Revolution mit den Möglichkeiten.

Es wird natürlich immer wahrscheinlicher, dass durch Künstliche Intelligenz diese Phishing-Mails geschrieben werden.

Bisher, wir kennen es ja beide und die Zuhörer wahrscheinlich auch, die Mails sind meistens extrem schlecht, was die Grammatik angeht.

Ein einzelnes Wort reicht schon, um das Ding als Betrug zu entlarven.

Das wird zukünftig nicht mehr so möglich sein.

Der thailändische Hacker kann jetzt auch sehr leicht eine perfekt deutsch formulierte Mail rausschicken, indem er einfach eine KI verwendet dafür.

Das ist möglich zukünftig und da steigt natürlich die Bedrohungskulisse.

Wir haben da alle mehr Arbeit.

Man könnte natürlich auch eine Künstliche Intelligenz einsetzen, um die Schulung etwas zu verbessern, weil zum einen ist natürlich wichtig, dass man individualisiert erstellte Videos oder vielleicht auch allgemeine Videos, die aber der Mensch erstellen muss, als Schulung verwendet.

Und zum anderen könnte man das natürlich ergänzen durch sozusagen automatisierte Tests, beispielsweise E-Mails, die auch das Unternehmensvokabular widerspiegeln.

Das ist ja auch wichtig.

Da kann man natürlich immer bezahlen, der das macht.

Wenn die Firma das möchte, kriegt sie auch das bestmögliche Ergebnis.

Aber die Firmen, die eben nicht das Geld investieren wollen, jemanden dafür auch noch zu bezahlen, wenn er ihnen schon die Schulung gegeben hat für die E-Mail-Sensibilisierung zum Beispiel, der könnte dann vielleicht sehr günstig auch was anbieten, automatisiert diese Spear-Phishing-Mails rauszuschicken, damit das Unternehmen dann eine Sensibilisierung bekommt und sozusagen nachtest dessen, was der Mitarbeiter gelernt hat.

Du meinst quasi so eine Art Penetration-Testing auf Mitarbeitersensibilisierungsebene im Nachgang zu der Schulung, als Verstärkung des Effekts, damit man so eine Art Stichprobenkontrolle machen kann und sehen kann, wer fällt noch drauf rein, weil es schon sehr authentisch ist.

Und das durch KI zu stützen, weil die KI einem helfen kann, die kann aus 15 E-Mails vom Unternehmen lernen, wie wirkt die Unternehmenskommunikation.

Dann schreibt die in dieser Unternehmenskommunikation irgendeine fiktive E-Mail.

Da packt man einen Link dran mit einem Virus und guckt, wie viele Leute klicken drauf.

Aber der Virus ist halt contained, weil es ein Test ist.

Versteh ich dich richtig.

Genau so kann man es sehen.

Mir fällt da noch ein sehr wahrscheinliches Szenario ein, weil typischerweise sind Hacker, die deutsche Unternehmen angreifen, nicht aus Deutschland.

Das hat einfach rechtliche Gründe.

Wenn ich Hacker wäre, würde ich mir ein Opfer im Ausland suchen, weil die Rechtsverfolgung schwieriger ist.

In Deutschland würde ich sofort die Polizei vor der Tür stehen haben, weil die sehen, wo mein Anschluss ist.

Das wäre ganz blöd.

Auch ein Internetcafé, da könnte man eine Videokamera auswerten usw. Aber was natürlich Hacker machen, sie greifen beispielsweise deutsche Unternehmen an, sie kommen dann in das Postfach rein, können da auch Mails lesen, die beispielsweise an dich geschickt wurden, an dein Unternehmen.

Und dann könnte man mit einer KI, weil diese Hacker ja Ausländer sind und kein Deutsch sprechen, typischerweise, jedenfalls nicht, jedenfalls nicht perfekt in der großen Masse, die können mit einer KI sozusagen aus diesen Mails eine Mail oder mehrere machen, die sie an Dichtern schicken können, weil sie ja dann die Sprache aufgenommen haben der bisherigen Kommunikation.

Die können sie nicht nachbilden ansonsten als Mensch, weil sie keine Ahnung von der deutschen Sprache haben.

Und mit einer KI kann man das sehr wohl machen.

Das heißt, das Betrugszenario wird noch viel größer werden.

Ich habe jetzt gestern gelesen, dass mit künstlich erzeugten Texten sozusagen Landingpages erstellt wurden, massenweise Zehntausende, auf denen Google Ads Werbung zum Beispiel, also Displaywerbung eingeblendet wurde.

Da haben natürlich die Werbekunden des Google Display-Netzwerks einen Schaden bekommen, weil deren Werbung auf Spamseiten gelandet ist, für die sie dann bezahlt haben für diese Werbung.

Und der Betrüger, der diese Spamseite erstellt hat, mit einer KI in Sekundenschnelle, der hat das Geld eingestrichen.

Also das war jetzt gestern.

Ich meine, das ist etwas weniger anspruchsvoll als diese E-Mail-Analyse, aber auch nicht viel.

Das Programm ist im Prinzip dasselbe.

Ich muss halt nur ein anderes Modell reinstecken.

Und das könnte ich nachprogrammieren, wenn du mich jetzt fragen würdest danach.

Ja, da hast du genau den Punkt.

An der Stelle zeigt sich so ein bisschen für mich persönlich so dieses Gefühl, was ich das erste Mal hatte, als ich mit Chats GPT zu tun habe, habe ich gedacht, ja, das ist eine Riesenchance, aber da alles, was wir Menschen erschaffen, ja immer nur widerspiegelt, was wir Menschen sind, mit allem Guten und Schlechten, habe ich mir direkt gedacht, wir machen daraus die Büchse der Pandora.

Das Erste, was wir Menschen damit machen werden, ist zu versuchen, großflächig kriminelle Handlungen durchzuführen.

Und weil du gerade vom Ausland sprachst, also hier, ich bin Hacker, das würde ich nicht in meinem eigenen Land machen und so weiter, alles richtig, so arbeiten die.

Da fiel mir noch ein, es gibt so einen sehr coolen YouTube-Channel, den ich mir zwischendurch mal reinfahre, das ist so ein bisschen Infotainment, aber auch so ein bisschen mit so einer Crime-Story-Geschichte dabei.

Und zwar sind das Leute, die gesagt haben, denen geht das so ziemlich gegen den Zeiger, dass es so viele Scammer gibt, wie du gerade beschrieben hast, die dann irgendwo im Ausland sitzen, in Thailand, in Indien oder was weiß ich, und schicken halt diese Mails raus oder belästigen Leute am Telefon nötigen, die auf Fake-Webseiten irgendwelche Dinge einzugeben, gerade alte Menschen und so weiter.

Und die haben sich eben auf die Fahne geschrieben, herauszufinden, wer die sind und die plattzumachen.

Diese Scammer.

Und das Interessante, was dann auch für mich eine wichtige Information war, wie absolut perfekt organisiert und großflächig angelegt das ist.

Also das sind richtige Unternehmen, die in Gebäuden in Indien ganze Floors, ganze Etagen, mehrere Etagen mieten, wo Leute in Callcenter-ähnlichen Situationen sitzen, aber sie machen halt keinen Service für ein Unternehmen, sondern sie betrügen.

Also das ist ein perfekt organisiertes Betrugssystem als Unternehmen nur in einem fremden Land.

Ja, ja, ja, das stimmt.

Ich denke immer an diesen Hacker, dieses Bild, was wir ständig gezeigt bekommen in den Medien von Hackern, wenn immer das Wort Hacker benutzt wird in einem Beitrag von den Öffentlich-Rechtlichen, dann siehst du irgendeine schattiert ausgegraute Person mit irgendeinem Gegenlicht an der Laptop-Tastatur.

Wo ich mir so denke, Leute, wer denkt, dass Hacker so operierend, so weit hinter dem Mond?

Also du hast recht, ich kenne jetzt die Zahlen nicht, also ich vermute mal ganz naiv, beispielsweise, dass vielleicht die Hälfte diese Hoodie-Typen sind und die andere Hälfte sind professionelle Hacker.

Zu den Hoodie-Typen würde mir jetzt ein Beispiel einfallen, das heißt jetzt nicht, dass es so viele gibt.

Shiny Flakes, das war ja ein Einzelner, der hat diese Drogenplattform aus Deutschland, der hat noch bei seinen Eltern gewohnt, hat dann im Postfach, der hat Millionen von Euro verdient in kürzester Zeit, der war natürlich ein bisschen clever, der hat technisch was draufgehabt und so, der hat das im Darknet gemacht, aber jetzt zu diesen Organisationen, die du angesprochen hast, diese Krypto-Trojaner, also die Festplattenverschlüsseln, wo Lösegeld in Bitcoins erpresst wird, die arbeiten ja genauso, ich glaube, der Spiegel oder wer hat es beschrieben, und zwar haben die dann eine Abteilung, die sucht die Opfer, der andere, der guckt, wie viel Geld können wir von dem erpressen, weil guckt er sich die Umsatzzahlen und so weiter an, der nächste ist der Verhandler und da haben sie dann geschrieben, der Verhandler, der hat auch diese menschlichen Züge gezeigt, ja, hallo, ich bin Wladimir, können wir vielleicht, also Sie können mir jetzt antworten und klären Sie mal, ob Sie uns so und so viel Geld zahlen können, aber bitte beachten Sie, ich habe jetzt Weihnachtsferien, ich würde dann erst ab dem 28. Dezember wieder für Sie zur Verfügung stehen für weitere Verhandlungen, so, und dann haben sie dann, also so, ja, und entschuldigen Sie, wir sind, also hat der Opfer dann geschrieben, wir sind ein kleines deutsches Unternehmen, haben nicht so viel Umsatz, könnten wir das Lösegeld nicht von 4 auf 2 Millionen reduzieren, oder könnten wir nicht sagen, Sie erlassen es uns, wenn wir positiv über Sie berichten oder so, ja, ich muss das klären mit dem Pressemanager von uns und dann, ja, okay, also Sie müssten jetzt das und das schreiben über uns und dann erlassen wir Ihnen das Lösegeld, also das sind hochprofessionelle Strukturen, also wirklich wie ein normaler Arbeitsplatz, wie du gesagt hast, die gehen da zur Arbeit, so wie jemand zur Sparkasse geht, wenn er da arbeitet, ja, die, so, jetzt such dir mal neue Betrugsopfer, ich erwarte, dass du mindestens 50 heute findest oder sowas, so.

Ja, ja, genau, wie in anderen Sales Teams danach geguckt wird, was sind neue Kunden, wo ist ein neuer Absatzmarkt, wo man versucht, sich jeden Tag zu übertrumpfen, versuchen die sich zu übertrumpfen damit, wen sie betrügen können, also man macht sich überhaupt keine Vorstellung davon, wie viel Kriminalität und kriminelle Energie da organisiert hintersteckt, das ist richtige Mafia und wenn wir dann denken, das sind irgendwelche Hoodie-Typen, die da mal eben kurz mir eine E-Mail schicken und das ist nur eine alleine, dann ist das eben auch schon ja eine sehr starke Verzerrung zum Teil der Wirklichkeit und sorgt natürlich auch wieder dafür, wenn ich als Unbedarfter, der jetzt nicht großartig vorgebildet ist, der einfach nur den normalen Office-Job macht, wo man die Leute nicht betrügt, der macht sich doch darüber gar keine Gedanken, der kommt doch gar nicht auf die Idee, der denkt doch nur, ach ja, das ist halt so eine Spam-Mail, dass dahinter eine millionenschwere Maschinerie des Betrugs, die fett organisiert ist, steckt, das sind eben so die Dinge, die gehen verloren und ich denke auch das ist in mir persönlich, ist das in Sensibilisierung viel zu wenig vorhanden, dass man diese Hintergründe mal erklärt bekommt und diese Zusammenhänge, damit man so ein bisschen das Gefühl bekommt, okay, man muss ja jetzt keine Angst schüren per se, weil man kann sich ja auch vernünftig dann verhalten, man kann ja lernen, wie kann ich sowas erkennen und wie kann ich damit umgehen, das ist ja alles super, aber zumindest mal so den Scope für die Realität so ein bisschen erweitern und sagen, guck mal, das existiert, ihr solltet das wissen, das ist nicht so wenig, so klein, das ist nicht einfach nur eine E-Mail im Internet, sondern das ist ganz schnell eben auch mal ein Identitätsdiebstahl auf einer ganz, ganz groß angelegten Fläche, der auch ja Existenzen bedrohen kann, also was die da teilweise machen, ist richtig perfide, die spionieren die Kreditkarten und Bankkontozugangsdaten von den Leuten aus, dann gehen die da rein, schließen da Verträge ab mit verschiedenen Dingen, ändern die Login-Zugänge und so weiter und die Person kann nichts machen, weil es irgendeine alte Oma war, die dachte, der Enkel hätte angerufen, der ein bisschen verschnupft ist, also es ist Wahnsinn, was da passiert.

Die gehen dann auch über, manchmal wird ja auch eine PIN zugeschickt ans Telefon und da gab's sogar Hacks, die werden dann vorzugsweise nachts gemacht, wenn die Opfer schlafen, wenn das Handy dann irgendwas bekommen hat und man aber nicht darauf reagiert hat, dann kann man noch einen anderen Übermittlungsweg verwenden und das funktioniert natürlich am besten, wenn das Opfer schläft, weil dann kriegt es sich mit, dass da drei WhatsApp kamen, ich würde übrigens davon abraten, diese amerikanischen Unternehmen zu nutzen, auch WhatsApp und so weiter, also als Unternehmen sowieso nicht, das würde sich für mich verbieten, ich kenne es von Autowerkstätten, die das beispielsweise WhatsApp verwenden für die Terminvereinbarung, weil die Kunden es unbedingt haben wollen, weiß ich nicht, ob das so unbedingt eminent ist, man kann es ja sicherlich auch per SMS machen, bei einer Reparaturmeldung, da muss man jetzt nicht einen Roman schreiben, da reicht's auch, Auto ist fertig oder sowas, Sie können es abholen, da muss man jetzt auch keinen Chat aufmachen oder sowas mit Smileys und dann weitergedacht, ich meine diese eine Sache mit der Mitarbeiterschulung, Sensibilisierung, die immer wieder stattfinden sollte, das ist ganz wichtig, aber man sollte vielleicht auch gucken, dass man seine Systeme nur so weit aufbaut, wie es nötig ist, also jetzt nicht Zusatzfunktionen ohne Ende einbaut, der goldene Hammer heißt es, ohne dass man das braucht und dann öffnet man weitere Sicherheitslücken und was natürlich nicht schlecht wäre, auch so ein Penetrationstest auf Netzwerkebene, sofern man mehr als einen Webserver hat nach außen hin und wenn man nur einen Webserver hat oder auch, dann sollte man natürlich darauf achten, dass die Webseite am besten minimalistisch aufgebaut ist, das heißt jetzt nicht, dass sie gar nichts können soll, sondern das, was nötig ist, aber eben auch nicht mehr und wenn die Agentur einem dann 27 Sachen aufschwatzen will, dann soll die Agentur darüber auch beraten, was das für Risiken mit sich bringt, sowohl rechtliche bezüglich Datenschutz, als auch Sicherheitsrisiken, weil wenn ich 47 WordPress -Plugins in meiner Webseite habe, dann habe ich halt auch 47 potenzielle Ankursmöglichkeiten, das muss man halt einfach wissen und ich finde die Kombination daraus, Dienstleister richtig aussuchen, sich beraten lassen, das kostet jetzt auch nicht wirklich viel mehr Geld oder gar nicht, wenn man einen guten Dienstleister hat, dann sagt das einem von selbst und diese Schulungen, ich glaube, die sind so teuer, dass man die sich nicht leisten könnte, teurer wäre es, wenn man ein Problem bekommt, da hätte man doch lieber 20 mal eine Schulung gebucht anstatt kein Mal, weil das wäre immer noch günstiger gewesen.

Da hast du auf jeden Fall Recht, ja, definitiv.

Ja, also mit all diesen Informationen es ist, mir ist das auf jeden Fall so klar, also wir haben immer diese Ebene, wir können immer entscheiden so, ja, ich konzentriere mich auf die Sicherheit meiner Systeme oder ich konzentriere mich auf die Bildung der Menschen und im besten Fall ist das ein Oder, das in beide Richtungen regelmäßig gefragt wird und geguckt wird, vernachlässige ich auch nichts von beidem und mein aktuelles Gefühl, zumindest laut den Medienberichten, wenn man so hört, was Unternehmen passiert, geht in die Richtung, dass dieses Oder Richtung Mitarbeiterseite, Sensibilisierung und auch Proofing, Controlling, haben die verstanden, worum es geht, wissen die auch, warum das wichtig ist, warum wirklich vermittelt wurde, mit den Konsequenzen, die da unter Umständen entstehen können, weil es wird sehr häufig immer nur über die Konsequenzen für Unternehmen gesprochen, aber dass hier wirklich auch Existenzen von Privatpersonen auf dem Spiel stehen können, finde ich, ist eine Sache, die sollte viel stärker thematisiert werden, damit die Menschen auch intrinsisch als Mitarbeiter in Unternehmen vielleicht eine Motivation bekommen zu sagen, hey, ich würde das gerne schon etwas genauer verstehen, mit welchen Systemen wir hier umgehen und warum, um einschätzen zu können, welche Informationen möchte ich denn mit diesem System verarbeiten von mir selbst.

Also das ist dann vielleicht das Stichwort Mitarbeiter da.

Genau, also vielleicht dann noch zwei Sachen, das eine ist, Datenschutz und Informationssicherheit hängt ja direkt miteinander zusammen, wir haben es ja schon mehrfach gesagt, Artikel 32 DSGVO, Sicherheit der Verarbeitung, das heißt, es kann keinen Datenschutz ohne IT-Sicherheit geben, also gemäß DSGVO, weil da geht es ja um die automatisierte Verarbeitung von Daten oder teilautomatisiert oder Speicherung und außerdem kann es keine IT-Sicherheit ohne Datenschutz, also IT-Sicherheit ohne Datenschutz und umgekehrt geht halt beides nicht, man muss beides gleichzeitig berücksichtigen und dann habe ich vor kurzem ein Urteil gelesen, was auch eigentlich logisch ist, aber es muss immer erst der EuGH entscheiden, ja, die deutschen Gerichte, die entscheiden irgendwelche Dinge, am Ende sagt der EuGH ja, so ist es, dann sagen alle, ach guck mal, so war es, das habe ich gar nicht geglaubt.

Da sagt der EuGH nämlich, eins plus eins ist zwei, ach, wusste ich gar nicht, ich bin ja auch kein Mathematiker.

Also jedenfalls hat er gesagt, hat der EuGH gesagt, dass es nicht notwendig ist, eine Person im Unternehmen zu benennen, die verantwortlich für den Datenschutzverstoß ist, wenn man jetzt Kläger ist zum Beispiel, ja, wenn du jetzt betroffene Person bist und du verklagst jetzt ein Unternehmen, weil es deine Daten rechtswidrig weitergegeben hat, dann musst du nicht benennen, dass der Herr Müller oder die Frau Meier schuld da dran war in dem anderen Unternehmen, sondern du musst nur sagen, ihr seid dran schuld, dann muss das Unternehmen selbst rausfinden, wer intern dran schuld war und wenn dann die Frau Meier oder der Herr Müller schuld war, dann müssen die sich mit einer Kündigung zufriedenstellen lassen oder so.

Also ich finde das natürlich logisch, ja, warum soll ich entscheiden, wer von dem Gegner schuld war, das ist mir egal, das ganze Unternehmen war schuld, wer da drin, da können zehn Mitarbeiter sein, die da entlassen werden deswegen oder auch nur einer oder gar keiner, das können die sich untereinander überlegen oder vielleicht auch der Dienstleister, der die Webseite schlecht programmiert hat und deswegen Einfallstor für Hacker über Google Analytics zum Beispiel reingebracht hat, das ist mir vollkommen egal, das können die sich dann selbst überlegen und sich selbst gegenseitig intern verklagen, Hauptsache ich bekomme Recht als Kläger.

Und das hat der EuGH festgestellt und wieder mal eine Sache, die logisch ergründbar ist und wenn es so weitergeht, dann werden wir in zehn Jahren zehn Prozent aller logisch eindeutigen Fragen durch den EuGHen klären lassen und die anderen Fragen, die müssen dann alle drei Jahre lang noch ausgeurteilt werden in Deutschland.

Aber gut, das ist ein anderes Thema, am besten alles richtig machen, dann kommt man auch gar nicht erst in die Versuchung festführen zu müssen.

Absolut.

Und da sind wir ja auch auf der Ebene quasi wieder dieser Verantwortung, also der Unternehmer hat die Verantwortung für die Sicherheit der Verarbeitung zu sorgen, das impliziert aber nicht nur die Systeme, sondern eben genauso auch die Sensibilisierung der Mitarbeiter, damit die genau wissen, was für ein System benutze ich, mit welchem Zweck benutze ich das und verfolge ich diesen Zweck eigentlich, wenn ich so und so damit umgehe?

Welche Alternativen habe ich unter bestimmten Umständen für die Verarbeitung der Daten innerhalb dieses Systems, weil auch da ist man ja häufig gar nicht so limitiert, wie man glaubt.

Und dann eben der ganz große Punkt, Sensibilisierung für die Verantwortung.

Ich glaube sehr wichtig ist es da auch, dass der Mitarbeiter selber weiß, pass mal auf, du hast eine Verantwortung, wenn du mit Informationen in diesem Unternehmen arbeitest.

Nicht, dass man sagt, du bist da in der Haftung oder du machst dich verantwortlich.

Es ist immer diese Holzhammer-Methode, wenn über Datenschutz geredet wird.

Recht kommt von oben, mit dem Holzhammer.

Das bringt nichts.

Wir müssen den Leuten sagen, der Datenschutz hilft euch, bestimmte komplexe Prozesse, die technologisch so schwer zu ergründen sind und nur für Profis möglich sind, ihr auch verstehen könnt und euch eine Meinung, eine Position dazu beziehen könnt, die ihr dann vertreten könnt, weil ihr jetzt etwas wisst über einen Vorgang, der vorher nebulös war.

Das ist die Aufgabe des Datenschutzes.

Zumindest verstehe ich den so.

Ja, finde ich gut.

Also Verantwortung klar machen.

Der Mitarbeiter soll wissen, dass er nicht machen kann, was er will, aber dass es auch einen Sinn hat.

Also es ist jetzt nicht einfach von oben herab gesagt, du musst das und das machen, sondern dem Mitarbeiter erklären.

Ich meine, eigentlich weiß jeder, wenn er falsch vor der Feuerwehr zufahrt, parkt, dass es Konsequenzen hat, die nicht gut sind und dass er vielleicht deswegen mal fünf Minuten weiterlaufen muss.

Und ich meine, klar, wer natürlich nur seinen Job machen will, damit die Zeit vorbei ist, bei dem ist es schwer.

Mit solchen Leuten muss man halt dann fertig werden.

Dem muss man dann ganz klare Anweisungen geben, damit sie wissen, was sie machen sollen.

Und die motivierten Mitarbeiter, mit denen kann man das in einer konstruktiven Weise aushandeln, wie sie am besten arbeiten, damit sie selbst was davon haben und das Unternehmen auch.

Weil wer gute Arbeit macht, der sollte auch einen Vorteil daraus haben als Mitarbeiter.

Und vielleicht kriegt der ja dann auch mal einen Tag frei zusätzlich oder sowas.

Keine Ahnung.

Man kann auch mal ein höheres Gehalt.

Es gibt ja Jahresgespräche.

Es gibt ja auch Jahresgespräche, da kann man auch mal ein höheres Gehalt… Genau, man kann ja auch über Boni verhandeln.

Genau.

Ja, das finde ich ein schöner Schlusssatz.

Also, liebe Unternehmer, die uns zuhören, wenn euch das gefallen hat, was wir hier gesagt haben, dann nehmt doch bitte davon mit, dass die Sicherheit eurer Systeme mindestens genauso wichtig ist wie die Sensibilisierung eurer Mitarbeiter zum Umgang mit diesen Systemen.

Und dass ihr das Warum vermittelt und in den Vordergrund stellt, als immer nur das Wie etwas zu tun ist.

Denn daraus entstehen ja leider auch die Mitarbeiter, die dann irgendwann nicht mehr motiviert sind.

Und damit würde ich sagen, wir haben unsere 30 Minuten wieder mal geschafft.

Der Tag beginnt.

Klaus, ich danke dir vielmals für das Gespräch.

Das war sehr hellend und spannend.

Und ich freue mich schon auf das nächste Mal.

Ja, Stephan, kann ich nur zurückgeben.

Mir hat es auch viel Spaß gemacht.

Danke fürs Gespräch.

Ich habe auch einiges mitgenommen und ich hoffe, das hören auch.

Ich würde sagen, tschüss, bis zum nächsten Mal.

Tschüss.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal.