▶︎ Eine unverschlüsselte SSD von SAP ist bei eBay aufgetaucht.
🤥 SAP verweist darauf, dass sich »keine sensiblen Daten« darauf befänden – obwohl es sich wohl um Personaldaten handelt. Aber das Entscheidende ist, das sowas überhaupt passiert.
✅ Hardware-Sicherheit ist eigentlich gar nicht so schwer: auf Datenträgern sollten die Daten verschlüsselt gespeichert werden. Das scheint beim Hersteller der Corona-App nicht üblich zu sein – obwohl die Gesetze das so vorsehen. Selbst, wenn ein Datenträger in falsche Hände gelangen sollte, kann mit den Daten nichts angefangen werden, weil sie unleserlich wären. Im aktuellen Fall ist das wohl nicht so gewesen.
Datenträger löschen
Wenn ein Datenträger ein Rechenzentrum verlassen muss, wäre es ein Leichtes, diesen Datenträger zu löschen. Selbst verschlüsselte Daten sollte man löschen, denn theoretisch ist möglich, dass der Schlüssel zum dechiffrieren auch in diese falschen Hände gerät. Vor allem, wenn es jemand darauf anlegt, um etwa an geheime Daten von SAP oder Corona-App-User zu gelangen, wird ein solches Szenario denkbar. Ist aber offenbar nicht geschehen.
Anlagegüter im Auge behalten
Schon aus Gründen der ordentlichen Buchführung sollte die Protokollierung des Ein- und Ausgangs von Datenträgern funktionieren, denn es sind verbuchte Betriebsausgaben, deren Abschreibung gewissenhaft verzeichnet sein muss, schreibt das Handelsgesetzbuch vor. Dann wüsste man auch anhand einer entsprechenden Meldung der ausrangierenden Person, wann und vom wem ein Datenträger aus dem Betriebsvermögen genommen wurde. Wir bei SAP jedoch offenbar nicht so gehandhabt. Al Capone wurde 1931 wegen Steuerhinterziehung verurteilt.
So sind die Deutschen
SAP hat in der deutschen Wirtschaft eine Vorbildfunktion. Will sagen, dass dieses Fehlverhalten leider symptomatisch für die Zustände in deutschen Firmen ist. Ein Bewusstsein für den Datenschutz – selbst für die eigenen Betriebsgeheimnisse – wird nach wie vor katastrophal ignoriert. Anwältx, Ärztx, Psycholigx – alle antworten auf die Frage nach Verschlüsselung mit Kopfschütteln. Supporters Alltag.
Fachkompetenz mangelhaft
Der Grund für diese Haltung ist die vollkommene Ignoranz einiger Berufsgruppen gegenüber der Elektronischen Datenverarbeitung (EDV) bzw. der Informations-Technologie (IT). Da es meist die Unternehmensinhaber und -lenker sind, bei denen die fehlende Fachkompetenz zu solchen Vorfällen führt, zeigt sich hier, wie wenig unternehmensrelevante Bedeutung der IT beigemessen wird: aus Sicht der Geschäftsführung ist das eine Hilfskostenstelle, die nur Kosten verursacht. Dahinter steht das in Deutschland immer noch sehr ausgeprägte Hierarchie-Denken von Führungskräften: etwas können und arbeiten sollen die Untergebenen – ich nicht. Und deshalb wird eine »Digitalisierung« in Deutschland auf absehbare Zeit nicht in Gang kommen.
Aufhänger für diesen Beitrag: »SSD mit Mitarbeiterdaten aus SAP-Rechenzentrum auf eBay aufgetaucht«: www.heise.de/news/SSD-mit-Mitarbeiterdaten-aus-SAP-Rechenzentrum-auf-eBay-aufgetaucht-9194619.html
