Gefahrenaufkärung bei ungeschützten E-Mails

[tneub 10]

Hallo

 

gibt es irgendwo ein Dokument, was jeder nutzen kann, wo darüber aufgeklärt wird, welche

Gefahren bei ungeschützten E-Mails auftreten können.

Sollte schon so geschrieben sein, daß es so ziemlich jeder kapiert.

[onewayticket 10]

Hallo,

 

welche

Gefahren bei ungeschützten E-Mails auftreten können.

 

Kannst Du das ein wenig näher definieren?

Nicht verschlüsselt, signiert, Kein Av Prg oder Dateianhänge ?

 

Meine Erfahrung ist, dass Abstrahieren hilft um Usern Vorgänge zu erklären.

 

MfG

Onewayticket

 

MfG

Onewayticket

[tneub 10]

Also am meisten gehts mir um das unverschlüsselte Schicken von betriebswirtschaftlichen Daten.

 

Was soll man als Admin machen, wenn Mandanten Auswertungen unverschlüsselt erhalten möchten. Verschlüsselungssoftware/-hardware setzen Sie in der Regel nicht ein, signierte E-Mails werden teilweise gleich gelöscht: "ist ja so ein komisches Zeichen oben dran".

Also sind wir zumindest dazu übergegangen die Auswertung als PDF-Anhang mit einem Passwort zu versehen. Doch selbst das ist manchen zu viel.

 

Jetzt habe ich im Internet recherchiert und gefunden, daß eine unverschlüsselte E-Mail wie eine mit Bleistift geschriebene Postkarte ist. Jeder kann Sie ändern und lesen. Das ist schonmal ein guter Ansatz, aber nicht drastisch genug. Ich muß es soweit bringen, daß sowohl die Mitarbeiter, als auch Mandanten aufgeweckt werden. Ich will, daß es keine Anweisung ist (die gibt es schon, wird aber teilweise durch den Willen der Mandanten ausgehebelt), sondern daß Sie alle selbst begreifen, was passieren kann.

[onewayticket 10]

Hallo,

 

Jetzt habe ich im Internet recherchiert und gefunden, daß eine unverschlüsselte E-Mail wie eine mit Bleistift geschriebene Postkarte ist.

Ja das ist klar,

event. kannst Du deine Mandanten mit dieser Metapher überzeugen.

 

Frag doch einfach mal ob die Kto. Auszüge auch als Postkarte gesendet werden sollen?

Macht doch nichts wenn das jeder lesen kann. Ihre betriebswirtschaftlichen Daten sind ja auch öffentlich einsehbar.

 

Eventuell noch die Wege der Mail aufzeigen wieviele Relays unter umständen im Spiel sind.

 

Oder frag mal nach Onlinebanking. Wie siehts denn da aus warum werden die Daten den über SSL gesendet?

 

Beispiele fallen mir genug ein.

 

Allerdings hilft das bei absoluter Sturheit des Mandaten das wohl auch nicht manche müssen durch Schmerzen lernen.

 

MfG

Onewayticket

[tneub 10]

Allerdings hilft das bei absoluter Sturheit des Mandaten das wohl auch nicht manche müssen durch Schmerzen lernen.

 

Ob das unbedingt sein muß, weiß ich nicht. Noch dazu haften wir ja eigentlich für die Daten. Ich laß mir zwar mittlerweile schriftlich geben, daß der Mandant das unverschlüsselt übetragen haben möchte, aber ob das gerichtlich stand hält, weiß ich nicht. Ich habe auf jeden Fall meinen Beitrag geleistet und bin kein Chef.

[onewayticket 10]

Gibt es einen Datenschutzbeauftragten?

[tneub 10]

öhmmmm.....pro forma ....ja.

Ein Admin darfs ja nicht sein, also wurde jemand eingesetzt, der sich zumindest mit den Kanzleizusammenhängen auskennt und auch EDV-technisch nicht ganz unbewandert ist.

Aber letztendlich den Job machen wir als Admins mit.

[onewayticket 10]

Gibt es einen Datenschutzbeauftragten?

öhmmmm.....pro forma ....ja.

 

Was heist Proforma, entweder gibt es einen oder es gibt keinen dazwischen gibtes nichts!

Das geht genausowenig wie "ein bisschen schwanger"

Ich bin der Meinung gelesen zu haben dass, wenn mehr als 5 Leute zugriff auf Personenbezogenen Daten haben muss man einen Dateschutzbeauftragten haben.

( NEIN DIES IST KEINE RECHTSAUSKUNFT )

 

Teil den Sachverhalt und die damit verbundenen Risiken deinem Datenschutzbeauftragten schriflich, mit Empfangsbestätigung, mit.

Dann solltest Du aus dem Schneider sein.

 

Vielleicht ist es besser mit einem Rechstanwalt deines Vertrauens über die Sachlage zu sprechen.

 

MfG

Onewayticket

[tneub 10]

wie gesagt, diejenige, die auf dem Papier steht, ist jemand anders, als den Job eigentlich macht. Ich weiß auch nicht, was das soll. Wie soll jemand der nichts mit EDV zu tun hat, feststellen, wo die Sicherheitslücken sind. Außerdem mußten wir als STB Kanzlei schon immer verstärkt auf Datenschutz achten. Nicht erst seit Einführung des Bundesdatenschutzgesetz.

Ich sehe auch mich hier nicht in der Haftung, da ich Anweisungen gegeben habe.

Ich suche halt nur irgendwas, was die Mitarbeiter und die Mandanten zusätzlich noch wachrüttelt. Vielleicht entwerfe ich auch bei Gelegenheit selbst mal ein Schreiben.

Ich habe noch was von einer Uni gefunden, da steht das auch relativ leicht verständlich mit Beispielen drin.

[nimo 11]

@onewayticket

 

Das mit dem Datenschutzbeauftragten wurde ab diesem Jahr auf 10 Mitarbeiter erhöht.

 

@tneub

 

Ich bin bei uns in der Kanzlei auch der Admin und der Datenschutzbeauftragter.

Bei unseren Mandanten habe ich erst gar nicht angefangen die Mails verschlüsseln zu wollen.

Wenn es dir um das Datenschutzgesetz geht, ist es OK wenn es ein Pdf ist, das mit Passwort nur geöffnet werden kann. Wie sicher die Lösung allerdings ist… naja

 

Ich weiß, in der Praxis ist das ganz schön nervig, nicht nur für die Mandanten sondern auch für die Mitarbeiter. Vergibt man ein festes Mandantenpasswort oder ändert man es immer. Hat man ein festes, verlegt der Mandant den Zettel auch das zehnte mal, wo das Passwort vermerkt ist und alles verzögert sich einfach.

Aber da musst Du wirklich sehr konsequent vorgehen. Eure Mitarbeiter müssen einfach kommunizieren, das Sie die Auswertungen nur mit Passwort verschicken dürfen, (auf Grund vom Datenschutzgesetz) ansonsten geht es halt nur per Fax.

 

Einen Anwalt brauchst du wegen der Absicherung nicht zu fragen. Ich würde lieber bei der Zuständigen Aufsichtsbehörde nachfragen, oder direkt beim Bundesdatenschutzbeauftragen.

[Gast]

Ich habe noch was von einer Uni gefunden, da steht das auch relativ leicht verständlich mit Beispielen drin.

 

Kannst du den Link posten? Wäre nett. Mich interessiert dieses Thema auch. Vielen Dank

[tneub 10]

Hallo,

 

der Inhalt ist zwar schon etwas Älter(aus 98), aber das Thema gibt es ja schon seit Jahren.

Wie gesagt, man müsste sich ein paar Teile rauspicken und selber etwas aufsetzen.

 

E-Mail ist unsicher

 

Falls du noch was findest, dann immer her damit.

 

MfG

 

tneub

[nimo 11]

Zu der Übermittlung von ungesicherten Daten in einem pdf File o.ä. habe ich noch mal bei unser zuständigen Datenschutzaufsichtsbehörde nachgefragt.

 

Laut denen ist das kein Problem wenn der Empfänger zustimmt. Zur Beweissicherung sollte diese Zustimmung schriftlich dokumentiert sein.

 

Und wenn wir mal ganz präzise sind. Fällt z.B. die BWA eine übermittelte BWA einer GmbH ja nicht unter den Datenschutz § 3 (1) BDSG, da keine natürliche Person.

 

Da könnte man höchstens Probleme mit dem Berufsrecht bekommen, aber ich denke da sieht es genau so aus. Wenn der Mandant da zustimmt ist das kein Problem, aber am besten noch mal bei der Kammer nachfragen.

[marka 584]

Hier ist auch noch was interessantes:

https://www.sicher-im-netz.de/content/sicherheit/ihre/mittelstand/db/06_Awareness/Sicherer%20Umgang%20mit%20eMails.pdf

oder

https://www.sicher-im-netz.de/content/sicherheit/ihre/mittelstand/db/06_Awareness/Umgang%20mit%20Virenmail.pdf

oder

https://www.sicher-im-netz.de/content/sicherheit/ihre/mittelstand/db/06_Awareness/Virenmail%20Dateitypen.pdf

[StefanWe 14]

ok, aber wie sieht es in der Praxis aus? Es ist ja nun nicht sonderlich einfach mal eben die Mails von jemanden mitzulesen oder sogar zu verändern. Dafür müsste man ja den gesamten mailverkehr über seinen pc leiten lassen, oder direk den mailserver kompomitieren.