Denn die Fehler des Menschen liessen sich verhindern oder deren Folgen zumindest mindern, indem grundlegende technische und organisatorische Massnahmen umgesetzt werden, schreibt Dominika Blonski in ihrem am Mittwoch vorgestellten Tätigkeitsbericht 2021.
So müssten beispielsweise mobile Datenträger für den Fall, dass sie verloren gehen oder gestohlen werden, immer verschlüsselt sein. Und beim Einsatz von privaten Geräten müssten die Mitarbeitenden regelmässig auf minimale Sicherheitsanforderungen aufmerksam gemacht werden. Dazu gehöre etwa eine Bildschirmsperre, die automatisch nach einer kurzen Zeitspanne der Inaktivität greife.
Meldepflicht für Datenschutzvorfälle
Für öffentliche Organe besteht seit einiger Zeit eine Meldepflicht von Datenschutzvorfällen. Die eingegangenen Meldungen zeigten die alltäglichen Herausforderungen der öffentlichen Organe im Bereich der Informationssicherheit, heisst es im Bericht.
Ein öffentliches Organ stellte den Gemeinden in einem passwortgeschützten Bereich seiner Website Listen von registrierten Personen zur Verfügung. Über eine externe Suchmaschine konnten diese Listen aber ohne Passwort von jedem Internetsurfenden gefunden und eingesehen werden. Die für den Internetauftritt zuständige Stelle konnte den Konfigurationsfehler denn rasch beheben.
Mehrere Meldungen gingen auch ein, weil beim Versenden von E-Mails immer wieder die Adressen aller Empfängerinnen und Empfänger sichtbar waren. So werden oft auch sensitive Informationen über Personen bekanntgeben, warnt Blonski.
Denn wenn es etwa um Quarantäneverfügungen oder um Mitteilungen von Regionalen Arbeitsvermittlungszentren gehe, seien Rückschlüsse auf den gesundheitlichen Zustand oder die wirtschaftliche Situation möglich. «Hier könnten Mailinglisten einen guten Schutz bieten.»