Google und der Datenschutz: Das sollten Sie unbedingt wissen

Zugegeben, wahrscheinlich schauen sich viele gern hin und wieder einen spannungsgeladenen Action-Film mit Geheimagenten, Mafia-Konflikten, Explosionen und Gefängnisausbrüchen an. Im letzten Teil der „Mission Impossible“-Reihe sieht man zum Beispiel, wie es Tom Cruise als Ethan Hunt zusammen mit seinem Filmpartner gelingt, in den Kreml einzudringen und geheime Dokumente zu sichten. Mittels moderner Technologie werden alle Sicherheits- und Kontrollmechanismen ausgehebelt.

Sicherheitslücken in der IT

Was im Film cool wirkt und großen Unterhaltungswert hat, ist leider in vielen Firmen Realität. Obwohl das Thema Datenschutz, vor allem bei Verbrauchern, hierzulande eine hohe Brisanz hat, ist den Verantwortlichen auf Unternehmensseiten oft gar nicht bewusst, wie viele vertrauliche Dokumente und Dateien im Web frei zugänglich sind. In der Regel ist dies auf eine Lücke in der IT und mangelnde Sicherheit zurück zu führen.
Sobald solche sensiblen, digitalen Inhalte von Googles Crawlern indiziert wurden, lassen sich wichtige Dateien mit einfachen Suchwort-Kombinationen in der Suchmaschine finden, öffnen und einsehen. Das kann den Kleinunternehmer ebenso betreffen wie den Weltkonzern. Hier braucht es noch nicht einmal clevere, böswillige Hacker – die Unwissenheit genügt bereits, schon werden die Dateien auffindbar.

Über Google Suche ungeschützte Dokumente finden

Betroffen sind dabei alle möglichen Arten von Servern und Dokumenten – egal, ob es „nur“ um die Vertriebsunterlagen aus dem letzten Jahr geht, intime Fotos von der betrieblichen Weihnachtsfeier, die Personal- und Marketingplanung für die kommenden fünf Jahre oder sogar um die Überwachungskamera. Bei mangelnder Sicherheit und unzureichender Verschlüsselung sind solche und weitere Unterlagen auch für technische Laien auffindbar, wenn diese nur die passenden Such-Kombinationen für Google kennen.

Der Notfallplan

Wie es dazu kommt, was im Notfall zu tun ist und wie man vorbeugen kann – nachfolgend die besten Tipps von CrossOverPoint rund um die Sicherheit vor der Suchmaschine:

1. Die Ursache

Dass Dokumente, die nur für den internen Gebrauch bestimmt sind, plötzlich der ganzen Online-Welt zugänglich werden, kann verschiedene Ursachen haben. In der Regel beginnt dies, wenn mehrere Mitarbeiter auf einen gemeinsamen Server zugreifen. Falls der Zugriff über mehrere Büros, verschiedene Standorte, vielleicht auch für Mitarbeiter im Home Office und den Außendienst möglich sein soll, können schnell Probleme entstehen.
Eventuell ist gar kein Passwort-Schutz eingerichtet oder dieser entspricht nicht den aktuellen Sicherheits-Standards. Die Praxis zeigt, dass sogar vermeintlich sichere Server einem Hackerangriff oft nicht standhalten können. Ob Hacker-Attacke oder Google-Crawler: Sensible Dokumente sollten nur für die Mitarbeiter einsehbar sein, die mit einzelnen Themen und Projekten vertraut sind. Verlässt ein Mitarbeiter das Unternehmen, sollten auch dessen Zugriffsberechtigungen umgehend gesperrt werden.

2. Die Folgen

Die Konsequenzen aus der mangelnden Verschlüsselung und der lückenhaften Sicherheit können gering bis gravierend sein: Was passiert zum Beispiel, wenn Media-Files wie Bilder, Musik oder Video über den Firmenserver getauscht werden? Bereits dieser Vorgang stellt einen Verstoß gegen das Urheberrecht dar. Dumm, wer bei solchen Tätigkeiten noch durch die Suchmaschine „erwischt“ wird und somit abgemahnt werden kann. Denn wer haftet hierfür? Der einzelne Mitarbeiter oder die Gesellschafter?
Wie sieht es mit wichtigen strategischen Planungen aus, wenn diese plötzlich für den Wettbewerb einsehbar werden? Oder mit Bildern von feucht-fröhlichen Firmenfeiern, die vom Journalisten gefunden werden, der sehr versiert in der Onlinesuche ist? Wie teuer wird es, wenn vertrauliche Kundendaten, deren Einsicht per NDA nur einem kleinen Personenkreis zugänglich gemacht werden sollen, nun für jedermann sichtbar sind und der Kunde erfährt hiervon?
Ob kleine Dateien oder Dokumente, die strengsten Geheimhaltungsvereinbarungen unterliegen – Datenschutz und IT-Sicherheit sollten auf der Agenda von jedem Unternehmen eine hohe Priorität erhalten. Die Ausmaße können ungeahnte Folgen haben – vom Reputations-Verlust bis zum Verlust von Kunden oder Marktanteilen.

3. Was im Notfall zu tun ist

Wenn ein solcher Fehler passiert ist und nun plötzlich entdeckt wurde, sollten umgehend Maßnahmen ergriffen werden – und umgehend meint in diesem Fall wirklich asap (as soon as possible), egal ob es Sonntag und 22.00 Uhr ist.
Im Zweifel hilft es, kurzfristig einen IT-Profi zu beauftragen. Im besten Fall sollten dann auch langfristig wirksame Maßnahmen ergriffen werden. Bei technischen Fragen gilt übrigens das gleiche wie beim Onlinemarketing: Einmalige Aktionen helfen wenig! Nur, wer hier konsequent am Ball bleibt und sich über Veränderungen informiert, kann seine Infrastruktur in dem gleichen Tempo schützen, indem sich Google und der Wissensstand von Hackern verändern.

4. In IT investieren

Eine sinnvolle Idee ist, langfristig in IT zu investieren. IT fängt damit an, wie die Zugriffsrechte im Intranet und auf dem Firmenserver eingerichtet werden, welche Dienstleister man an der eigenen Webseite arbeiten lässt und hört bei regelmäßigen Updates des Virenschutzes und der Firewall noch lange nicht auf. Es gibt bereits spezialisierte Anbieter, die zum Beispiel Einstellungen vornehmen, mit denen die Zugriffsrechte von einzelnen Abteilungen und Mitarbeitern auf verschiedene Ordner und Dokumente individuell eingestellt werden können.

5. In Mitarbeiter investieren

Alle technologische Firmenpolitik nützt wenig, wenn die Menschen, die täglich mit dem Server arbeiten, nichts bis wenig mit dem Thema Datenschutz anfangen können. Statt Mitarbeiter rigoros zu kontrollieren oder diese sogar abzumahnen, hilft es, zum Beispiel Fortbildungen und interne Anleitungen zu realisieren, in denen dem gesamten Unternehmen das gleiche Maß an Informationen und Tipps zu Gute kommt.
Nur so sind Angestellte für diese Themen sensibilisiert und pflegen im Tagesgeschäft auch den richtigen Umgang mit Dokumenten, die nicht für die Öffentlichkeit bestimmt sind.

6. In Hacker investieren

Inzwischen kommen auch immer mehr Unternehmen auf die Idee, die ehemals „böswilligen“ Hacker auf ihre Seite zu ziehen. Immer mehr dieser ehemals digitalen Panzerknacker sind nun als Berater tätig. Einige simulieren dabei einen externen Angriff auf das Firmennetzwerk, um so Schwachstellen zu identifizieren und sinnvolle Gegenmaßnahmen umzusetzen.
Es mag vielleicht absurd klingen, doch tatsächlich kennt sich wohl kaum jemand besser mit Sicherheit aus als eben die Spezialisten, denen es immer wieder gelingt, Sicherheitsbarrieren zu durchbrechen.

7. Interne Kommunikation hilft

Andere Themen, die unmittelbar mit dem Datenschutz zusammen hängen, sollten innerhalb einer Unternehmensorganisation unbedingt kommuniziert werden. So sollte es Mitarbeitern grundsätzlich nicht erlaubt sein, Videos, Musikdateien oder anderes, urheberrechtlich geschütztes Material, über den Firmenserver untereinander auszutauschen und so das Unternehmen in eine juristisch schwierige Lage zu bringen.
Besonders sensible Themen können auch mal in einem persönlichen Meeting besprochen und schriftlich protokolliert werden. Nicht immer ist der direkteste Weg – Telefon, E-Mail, etc. – auch der sicherste! Eine umfassende, firmeninterne Informationspolitik hilft außerdem dabei, Verständnis bei Mitarbeitern zu wecken und alle auf das Thema Datenschutz einzuschwören.

8. Personalpolitik ernst nehmen

Viele Fehler lassen sich außerdem vermeiden, wenn den Problemen und Anliegen der eigenen Mitarbeiter auch die Möglichkeit zur Kommunikation gegeben wird. Einerseits sind Mitarbeiter – vor allem im Dienstleistungssektor – ein wichtiges Marketinginstrument. Auf der anderen Seite kann es extrem rufschädigend und nachteilig sein, wenn sich frustrierte Mitarbeiter erst einmal über Facebook verbal über ihren vermeintlich schlechten Arbeitgeber auslassen.
Verlässt ein Mitarbeiter das Unternehmen im Streit, kann es sogar vorkommen, dass sensible Dokumente mitgenommen werden – ein schneller Mail-Versand oder ein USB-Stick genügen bereits. Umso wichtiger ist es also, solche Situationen gleich zu vermeiden.

9. Kunden ernst nehmen

Ähnlich wie mit den Mitarbeitern verhält es sich übrigens auch mit den Kunden. Frustrierte Kunden nutzen die sozialen Netzwerke immer häufiger, um sich negativ über ein Unternehmen zu äußern. Befinden sich sensible Kundendaten leicht auffindbar im Netz, kann dies bei Bekanntwerden einen Shitstorm auslösen – mit gravierenden Folgen für das Unternehmen.
Vielleicht befinden sich unter den enttäuschten Kunden sogar erfahrene Hacker, die nun aus Ärger über die Unternehmenspolitik ein Ventil suchen, um sich „abzureagieren“?

10. Bei SEO nur Profis ran lassen

Damit Google nur das zu sehen bekommt, was auch für die Öffentlichkeit bestimmt ist, sollte bei SEO nur in eine professionelle Agentur investiert werden. Schließlich nimmt ein SEO Dienstleister häufig umfassende Änderungen an der Webseite vor. Zudem kann ein SEO-Profi schnell herausfinden, an welchen Stellen wichtige Dokumente des Unternehmens unfreiwillig bei Google auffindbar sind und so noch rechtzeitig Alarm geben.