Das Online-Magazin Heise weist in seinem heute veröffentlichten Artikel auf ein bisher wenig beachtetes Datenschutzproblem hin: Anbieter von Online-Virenscannern, von sogenannten Analysediensten, behandeln die Dateien, die Nutzer:innen bei den entsprechenden Portalen häufig bedenkenlos hochladen, um zu prüfen, ob sie möglicherweise mit Schadsoftware infiziert sind, nicht so vertraulich, wie man meinen könnte. Der Zugang für Dritte und Unbefugte zu den hochgeladenen Dateien wird von den Anbietern weder mit einem Passwort, noch mit irgendeiner weiteren Verschlüsselungstechnologie geschützt. Gelöscht werden die Dateien nach der Prüfung auch nicht automatisch. Im Gegenteil: Viele Analysedienste werben damit, dass die Dateien, wie bei einer Cloud, geteilt und somit weiter verbreitet werden können - mit Freunden, Familienmitgliedern oder mit Kolleg:innen im Unternehmen, in sozialen Netzwerken, per Messenger oder E-Mail.
Das bedeutet: Handelt es sich um Dokumente mit E-Mail-Adressen, Anschriften, Telefonnummern, Geschäfts., Gesundheits- oder Zahlungsdaten, so sind jene vetraulichen und höchst sensiblen Daten jederzeit und für jede Person mit grundegenden IT-Kenntnissen ständig öffentlich einsehbar. Rechnungen, Arztberichte, Bewerbungen und Arbeitsverträge - das IT-Magazin Heise hat eine Vielzahl solcher Dokumente bei Analysediensten gefunden. Das kann nicht nur für Privatpersonen zu einem Risiko werden, vor allem Unternehmen und Selbstständige setzen sich so dem Risiko aus, Geschäftsgeheimnisse oder Personaldaten zu veröffentlichen und zu verbreiten.
SiBa rät zu Datensparsamkeit. Laden Sie keine vertraulichen Dateien oder persönlichen Daten in Online-Virenscannern hoch. Zu groß ist das Risiko, dass sensible Informationen in fremde Hände gelangen. Installieren Sie Virenscanner lokal auf dem Rechner oder im System des Unternehmens und aktivieren Sie ihn, sodass dieser regelmäßig Prüfungen durchführt.So wird Schadsoftware umgehend und sofort erkannt. Ein aufwändiges Hochladen erübrigt sich somit.
Generell rät SiBa dazu, beim Upload vertraulicher und sensibler Dateien Vorsicht walten zu lassen. Unternehmen sollten sich die Frage stellen, ob zum Beispiel Arbeitsverträge, Bewerbungen oder Rechnungen in einer Cloud liegen müssen oder ob sie auch lokal gespeichert werden können. Sollte eine Cloud-Nutzung in Frage kommen, sollten Berechtigungen für den Zugriff auf die Dateien an die Personen vergeben werden, die Einblick erhalten dürfen. Im Übrigen sind die Dateien und somit die persönlichen Daten vor unbefugten Zugriffen zu schützen, beispielsweose über die Rechteverwaltung des jeweiligen Cloud-Systems oder mit starken und sicheren Verschlüsselungstechnologien.