Quo Vadis Datenschutz?

[Shihatsu]

Lies das und dann behaupte nie wieder son Scheiß über mich:

Laden…

broodwar.net

Adminansage.

 

[Das Schaf]

Das BSI stellt es sich zb so vor. In der Praxis gibt's sonst andere Programme und der Schlüssel wird per Telefon übermittelt

Wie sieht das denn genau aus die Verschlüsselung?
Was macht ihr?
Ich kann mir das null vorstellen

 

[Benrath]

Wie sieht das denn genau aus die Verschlüsselung?
Was macht ihr?
Ich kann mir das null vorstellen

Das war @Celetuiw use case nicht meiner

 

[Das Schaf]

Das war @Celetuiw use case nicht meiner

Naja du hast dich dazu geäußert

 

[Celetuiw]

Wie sieht das denn genau aus die Verschlüsselung?
Was macht ihr?
Ich kann mir das null vorstellen

Noah wir haben halt sicheren Datenverkehr mit Behörden via https://de.m.wikipedia.org/wiki/Netze_des_Bundes DOI Netz. Aber eben nur mit Behörden, genau das ist in der Praxis mein Problemchen.

 

[Der Ziegentobi]

Verschlüsselte Mail von Behörden?
Wie sieht das denn aus?

Huom, tja... Das ist halt wieder so ein wunderbares Beispiel für Jahrzehntelanges Versagen des Gesetzgebers. Wie soll man einem Gesetzgeber erklären das E-Mails weniger Sicherheit bieten als eine Postkarte, wenn er Stand heute Fax als sicheres Übertragungsmedium für besonders schützenswerte Daten hält? Da verzweifeln Leute wie ich regelmässig und kriegen das kalte Grausen. E-Mail ist inherent unsicher, alle Versuche das zu ändern sind am Ende des Tages nur Flickschusterei.
(Technische) Alternativen dafür gibt es durchaus (sämtliche moderne föderierte Messenger wären besser geeignet), selbst eine staatlich geförderte Flickschusterei wurde ja gestartet aber dann - wie immer - nicht weiter getrieben (S/MIME, De-Mail, ...). Wenn aber der Wille fehlt und stattdessen hintenrum dem Bürger der schwarze Peter zugeschustert wird kommt halt so etwas dabei raus. Hat aber eher wenig mit Datenschutz und viel mehr mit digitaler Unfähigkeit zu tun.

@Benrath: interessant das du explizit auf mich eingehst, obwohl ich dir weiter oben schon erklärt habe das ich mit dir darüber nicht mehr diskutiere. Du hättest stattdessen auch auf Tobi oder Cele eingehen können, entscheidest dich aber bewußt dafür gegen mich zu fronten. Um dich zu zitieren: Kannste so machen, ist dann halt scheiße.

Was ist mit pgp? Da ist ja immerhin die Nachricht verschlüsselt.

 

[Celetuiw]

Hat aber eher wenig mit Datenschutz und viel mehr mit digitaler Unfähigkeit zu tun.

Völlig richtig, das ganze Thema wird bei uns aber völlig stur ignoriert und auf die Untergebenen abgewälzt. Jeder weiß, dass wir auf Emails angewiesen sind weil wir keine vergleichbar schnelle aber sichere Datentransfermethode haben. D.h. es läuft so, in irgendeiner bekackten Dienstanweisung steht man darf es nicht, alle tun es so lange trotzdem bis irgend eine Beschwerde aufploppt oder am schlimmsten noch der Datenschutzbeauftragte, die gesamte Leitungsebene tut ganz empört, so gehts ja nicht, das darf nicht sein. Schließlich steht das ja in der Dienstanweisung! dann kriegt random Mitarbeiter einen fürchterlichen Einlauf,
und dann gehts wieder von vorne los.

Also Datenschutz wird nicht ernst genommen und wenns ne Panne gibt, wird die Schuld auf die Individualebene wegdeligiert.

Das ist nicht der Fehler des Konzeptes und der Gesetzeslage zum Datenschutz, trotzdem krieg ich Hass wenn es in meinem Arbeitsalltag darum thematisch geht.
Ich bin ja nicht der einzige Öffi hier, ich denke die Kollegen Lehrer hier kenn das auch: theoretisch wird der Datenschutz ganz hoch gehängt, praktisch wird man ohne IT Infrastruktur halt völlig allein gelassen und muss rumwurschteln.

 

[Shihatsu]

Und das schlimmste daran ist: Zu Corona gab es erste zarte Ansätze wenigstens die funktionalen Grundlagen (Infrastruktur, Schulungen) gemeinsam bundesweit gemeinsam zu nutzen - also das was es gab zu teilen. Zwischen Unis, Behörden und Business. Ist dann ganz schnell wieder abgewürgt worden, aber es ginge wenn man nur wollte. Und dann könnte man den Datenschutz praktikabel oben druff packen, ohne das der Anwender der gearschte ist. Dieses Versagen ist aber allgegenwärtig und betrifft nicht nur den Datenschutz.

 

[Bootdiskette]

Was ist mit pgp? Da ist ja immerhin die Nachricht verschlüsselt.

pgp skaliert leider echt sehr beschissen.
s/mime dann schon eher, hat aber wieder den höheren infrastrukturaufwand und die höhere infrastrukturkomplexität

 

[Btah]

Und das schlimmste daran ist: Zu Corona gab es erste zarte Ansätze wenigstens die funktionalen Grundlagen (Infrastruktur, Schulungen) gemeinsam bundesweit gemeinsam zu nutzen - also das was es gab zu teilen. Zwischen Unis, Behörden und Business. Ist dann ganz schnell wieder abgewürgt worden, aber es ginge wenn man nur wollte. Und dann könnte man den Datenschutz praktikabel oben druff packen, ohne das der Anwender der gearschte ist. Dieses Versagen ist aber allgegenwärtig und betrifft nicht nur den Datenschutz.

Gäbe es eigentlich eine Instanz im Bund die dafür theoretisch zuständig wäre? Find das ja immer wieder hahnebünchen ineffizient, wenn bei so vielen Dingen offenbar jedes Bundesland oder gar jede Kommune für sich selbst gucken soll.

 

[saistaed]

Wir kriegen also täglich ne Menge Anträge, wenn es schnell gehen soll per mail. von Behörden soweit kein Problem, da verschlüsselt. Von Bürgern, Jugendhilfe, Wohlfahrtsträgern, da gehts Problem los, weil die Mails unverschlüsselt reingehen. Schon da macht sich meine Behörde einen schlanken Fuß, weil wir die Anträge in der Form zulassen und bearbeiten" wir habens ja nur bekommen". Antworten, nachfragen, etwas fehlt dürfen wir per Mail eiiiiigentlich nicht. Klar Personenidentität ist nicht gesichert, Mail könnte abgefangen werden. Unsere Daten unterliegen btw nicht nur der DSGVO sondern dem Sozialdatengeheimnis

Wo genau liegt das Problem/Risiko Leuten auf E-Mails zu antworten, z.B. um weitere Nachweise anzufragen?

 

[Der Ziegentobi]

Wo genau liegt das Problem/Risiko Leuten auf E-Mails zu antworten, z.B. um weitere Nachweise anzufragen?

ich koennte mich als dich ausgeben? ja natuerlich her celetuiw ich bin herr saistaed. vertrauen sie mir ruhig

 

[Stirling]

Und dann? Hättest du saistaeds Einkommensnachweise?

Ich verstehe schon, warum das eigentlich nicht gewollt ist. Sehe in vielen Fällen aber auch das praktische Risiko als äußerst gering.

 

[Celetuiw]

Und dann? Hättest du saistaeds Einkommensnachweise?

Ich verstehe schon, warum das eigentlich nicht gewollt ist. Sehe in vielen Fällen aber auch das praktische Risiko als äußerst gering.

Das wüsste ich auch gerne. So ein riesiges Risiko seh ich auch nicht, wer hackt Emails um an die Daten von Sozialhilfeempfängern zu kommen? Ich seh da auch kein praktisches Risiko.

 

[Xantos2]

Das ist doch (aus meiner Sicht) das Problem am deutschen Datenschutzrecht: Es nimmt eine Prinzipielle Position ein. Und schaut nicht auf praktische Risiken.

Das finden denke ich viele auch gut. Beispiel wäre ja, dass Google Forms auch kein praktisches Risiko sind, wenn wir es hier im Forum verwenden würden. Dennoch dürfen wir es nicht aus ebenjenen prinzipiellen Erwägungen heraus.

 

[saistaed]

ich koennte mich als dich ausgeben? ja natuerlich her celetuiw ich bin herr saistaed. vertrauen sie mir ruhig

Ok, dann reichst du für mich meine Einkommensnachweise oder was weiß ich ein (die du woher hast?) und was bringt dir das?
Celetuiw wird jetzt sicherlich nicht aufgrund eines informellen E-Mail-Austauschs Bescheide an eine neue Adresse schicken oder Geld auf ein anderes Konto überweisen.

 

[Shihatsu]

Ok, dann reichst du für mich meine Einkommensnachweise oder was weiß ich ein (die du woher hast?) und was bringt dir das?
Celetuiw wird jetzt sicherlich nicht aufgrund eines informellen E-Mail-Austauschs Bescheide an eine neue Adresse schicken oder Geld auf ein anderes Konto überweisen.

Äääää doch - mit einem kleinen bisschen Hilfe wird er genau das. Nennt sich social engineering und funktioniert genau deshalb so gut weil niemand rafft das E-Mails einfach komplett unsicher sind.
Das ist dann zwar nicht mehr unbedingt Datenschutz als solches, sondern Awareness, aber das ist nicht sauber trennbar im Sinne der Datenintegrität als Teil des Datenschutzes (oder dem besseren Oberbegriff IT-Sicherheit).

 

[Der Ziegentobi]

Ok, dann reichst du für mich meine Einkommensnachweise oder was weiß ich ein (die du woher hast?) und was bringt dir das?
Celetuiw wird jetzt sicherlich nicht aufgrund eines informellen E-Mail-Austauschs Bescheide an eine neue Adresse schicken oder Geld auf ein anderes Konto überweisen.

hallo herr cele

ich bin saistead koennten sie mir bitte helfen, fangen wir mal mit etwas kleinen an. und nach einiger zeit steht dann halt nicht mehr deine konto nummer da

 

[saistaed]

kA, wie das auf dem Amt genau funktioniert. Aber wenn jemand Geld vom Staat will, dann muss er doch einen rechtswirksamen Antrag stellen, in der Regel wohl in Papierform mit eigenhändiger Unterschrift - wie sicher das jetzt tatsächlich ist, lassen wir mal dahinstehen. Kontodaten wird man wohl nur diesem Weg oder über ein gesondertes Formular angeben bzw. ändern können - nicht per E-Mail - und einen Abgleich mit der Meldeadresse sollte auch Standard sein?

Ich seh jetzt nicht, was da groß schiefgehen soll, wenn man innerhalb des Antragsprozesses einzelne Fragen per E-Mail klärt, Nachweise einreicht usw. Letzteres haben wir bisher auch immer so gemacht, weil man mir mal gesagt hat, dass die eh alles scannen und dann shreddern. Antworten kommen allerdings afair immer schriftlich und nie per E-Mail.

Äääää doch - mit einem kleinen bisschen Hilfe wird er genau das. Nennt sich social engineering und funktioniert genau deshalb so gut weil niemand rafft das E-Mails einfach komplett unsicher sind.
Das ist dann zwar nicht mehr unbedingt Datenschutz als solches, sondern Awareness, aber das ist nicht sauber trennbar im Sinne der Datenintegrität als Teil des Datenschutzes (oder dem besseren Oberbegriff IT-Sicherheit).

Und was heißt das jetzt konkret für Normalos, die in der Materie nicht drinstecken?

 

[Der Ziegentobi]

kA, wie das auf dem Amt genau funktioniert. Aber wenn jemand Geld vom Staat will, dann muss er doch einen rechtswirksamen Antrag stellen, in der Regel wohl in Papierform mit eigenhändiger Unterschrift - wie sicher das jetzt tatsächlich ist, lassen wir mal dahinstehen. Kontodaten wird man wohl nur diesem Weg oder über ein gesondertes Formular angeben bzw. ändern können - nicht per E-Mail - und einen Abgleich mit der Meldeadresse sollte auch Standard sein?

Ich seh jetzt nicht, was da groß schiefgehen soll, wenn man innerhalb des Antragsprozesses einzelne Fragen per E-Mail klärt, Nachweise einreicht usw. Letzteres haben wir bisher auch immer so gemacht, weil man mir mal gesagt hat, dass die eh alles scannen und dann shreddern. Antworten kommen allerdings afair immer schriftlich und nie per E-Mail.



Und was heißt das jetzt konkret für Normalos, die in der Materie nicht drinstecken?

das man sich die zeit nimmt, vertrauen aufzubauen damit dein gegenueber glaubt du bist du. oder man halt darauf hoft das jemand wie cele ueberarbeitet ist und halt nicht so genau hinschaut

 

[Shihatsu]

Und was heißt das jetzt konkret für Normalos, die in der Materie nicht drinstecken?

Wikipedia kann das besser als ich:

Grundmuster​

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen CIA-Direktors Brennan zu öffnen und drei Tage lang darauf zuzugreifen.[1][2]

Beim automatisierten Social Engineering, auch Scareware genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen.[3]

 

[Celetuiw]

Äääää doch - mit einem kleinen bisschen Hilfe wird er genau das. Nennt sich social engineering und funktioniert genau deshalb so gut weil niemand rafft das E-Mails einfach komplett unsicher sind.
Das ist dann zwar nicht mehr unbedingt Datenschutz als solches, sondern Awareness, aber das ist nicht sauber trennbar im Sinne der Datenintegrität als Teil des Datenschutzes (oder dem besseren Oberbegriff IT-Sicherheit).

hallo herr cele

ich bin saistead koennten sie mir bitte helfen, fangen wir mal mit etwas kleinen an. und nach einiger zeit steht dann halt nicht mehr deine konto nummer da

Also konkret benötigen wir einige Dokumente zur Auszahlung der Sozialhilfe die schon teilweise schwierig zu fälschen sind.
-perso
-mietvertrag
-bankkarte
-Finanzstatus (Saldenaufstellung der Hausbank)
-Kontoauszüge
-rentenbescheide/einkommensnachweise
-Natürlich eigenhändig ausgefüllte und unterschriebene Anträge.

Klar ist das möglich in dem Rahmen zu betrügen in dem man Fälschungen einreicht, aber wenn man diese Fälschungen eh besitzt kann man sie auch per Post im falschem Namen abgeben? Da sehe ich jetzt noch nicht so hohes Mißbrauchspotential oder bin ich da naiv?

 

[Der Ziegentobi]

bin ich da naiv?

absolut, vielleicht nicht du aber du hast kollegen. du hast mal einen schelchten tag, bist muede wirst langsam krank. all das kann man nett ausnutzen.

edit: mein ziel muss ja nicht unbedingt sein das ich seine auszahlung auf meinem konto habe, aber die schwachstelle mensch gibt es immer. und wenn man was will kommt man sicherlich irgendwie hin.

 

[Celetuiw]

Ja, ist grundsätzlich klar, frage ist nur: wenn ich eh Kopien von gewissen Dokumenten brauche, dann isses egal ob ich erfolgreich per Mail oder Post mit Fälschungen verarscht werde. Daher sehe ich jetzt da die Fehlerquelle "unsicherer Datenversand" nicht.

Völlig logisch das jeder mal getäuscht werden kann, aber das ist nen bisschen anderes Thema, oder?

 

[Benrath]

Bleibt halt die Frage wozu? Um eventuell paar Euro Stütze abzugreifen? Dafür der Aufwand?

Bezeichnend ist halt dass wieder nur mit der Möglichkeit argumentiert wird und nicht mit dem Schadenspotential. Risiko bewertet sich aus Wahrscheinlichkeit mal schaden. Schaden ist hier klar begrenzt und Risiko wahrscheinlich im Zusammenhang mit dem niedrigen Wert niedrig. Das heißt ja nicht dass man nicht portale etc aufbauen kann um sowas sicher zu gestalten. Elster zb. Aber wenn cele oder die Kollegen vor der Wahl stehen kein Strom oder einen Beleg per Mail anfordern liegt der schwarze Peter nicht am letzten Teil der Kette.

 

[saistaed]

Wikipedia kann das besser als ich:

Grundmuster​

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen CIA-Direktors Brennan zu öffnen und drei Tage lang darauf zuzugreifen.[1][2]

Beim automatisierten Social Engineering, auch Scareware genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen.[3]

Sorry, das mal so sagen zu müssen, aber ich bin hier bei Benrath: Deine Art bei diesem Thema ist einfach unerträglich.
Ich weiß, was Social Engineering ist und was man damit an sich anstellen kann. Meine Frage war, wo du das Risiko in diesem konkreten Fall sehen würdest bzw. der allgemeinen Konstellation - geht hier offenbar um Sozialhilfe.

Wer betreibt bitte so einen Aufwand, um ein paar Euros abzugreifen? Das Ganze fliegt eh spätestens dann auf, wenn der eigentliche Antragssteller kein Geld sieht und nachfragt.
Überhaupt kann es ja wohl auch nicht darum gehen, ob man so einen Prozess an sich manipulieren kann - das stelle ich nicht in Frage. Es geht aber darum, inwiefern E-Mail-Verkehr zu den benannten Zwecken das Risiko signifikant erhöht.
Wenn ich offenbar eh Zugriff auf die benötigten Nachweise habe, kann ich auch in jemands Namen per Papierformular Sozialleistungen abgreifen oder haben die überarbeiteten Beamten einen Supercomputer zur Verfügung, der Unterschriften unfehlbar abgleicht?

Es ist halt leider ein sich wiederholendes Muster bei so Datenschutzgeschichten, dass bei Nachfragen nach konkreten Risiken Gemeinplätze oder völlig unrealistische Bedrohungsszenarien kommen.
Es gibt immer Möglichkeiten
des Missbrauch, auch im Status quo. Wenn eine etwas laxere Regelung des Datenschutzes aber nicht zu deutlich mehr Missbrauch führt, die Arbeit von Behörden aber deutlich vereinfacht, warum sollte man das nicht machen?
Weißt du, was praktisch nämlich ein deutlich größeres Problem sein dürfte als dass Ziegentobi und seine Social-Engineer-Freunde den deutschen Staat um ein paar Kröten bringen? Dass tausende von Menschen oft ewig und drei Tage darauf warten, dass sie Leistungen, auf die sie einen Anspruch haben, tatsächlich auch erhalten.

 

[Shihatsu]

Öhm, findest du das jetzt nicht etwas unfair? Denn woran soll ich erkennen das du social Engeneering per se kennst bei dieser Frage hier:

Und was heißt das jetzt konkret für Normalos, die in der Materie nicht drinstecken?

Ganz ehrlich, das klingt für mich auch beim zweiten Mal lesen nicht nach "Und wo tut mir das jetzt bei Celes Fall weh" sondern nach "Und was ist das?" Wenn ich dich da falsch verstanden habe - sorry, aber mir dann gleich Arroganz und Ignoranz vorwerfen ist dann doch wieder total drüber - deshalb bin ich in der Vergangenheit bei solchen Momenten dann auch einfach raus - wenn ihr nicht ohne Ad Hominem auskommt, dann eben nicht, aber da mache ich dann auch nicht mit. Ja, da reagiere ich dann extrem zickig. Ist nicht wunderbar, aber ich kann und will an der Stelle nicht anderster, sorry.

Mein Argument bezog sich auf "E-Mail ist inherent unsicher" - das Beispiel des social engineering war vielleicht für den konkreten Fall nicht gut gewählt, aber ein einzlener Vertipper bei der E-Mail Domain kann auch schon mal extrem peinlich sein. Das Argument ist nämlich nicht "Alle Sozialämter werden von Social Engineers aufs Korn genommen" sondern "E-Mail als sicheres Kommunikationsmedium ist nicht existent". Würdest du deinen Hartz4 Antrag auf eine Postkarte verschicken? Würden das andere, denen das peinlich ist? Ja, die Frage hat sich dann vielleicht im Gespräch etwas "extrem" entwickelt, gebe ich zu.

 

[Horst Schlemmer]

Und bei all dem Datenschutz reichte es bei mir aus, einen Zettel auszudrucken, da meine neuen Kontodaten einzutragen, den Zettel dann einzuscannen und per Email ans LBV zu schicken, um mein Gehaltskonto zu ändern.
Gleichzeitig mussten wir in unserer Software nahezu alle Timestamps anonymisieren, weil der Datenschutzbeauftragte das so ausgelegt hat. Jetzt kann man als Nutzer nicht mehr unterscheiden, ob man z.B. einen Kommentar im Codereview oder eine sonstige Nachricht vor 10 Minuten oder 3 Wochen erhalten hat und von wem die Nachricht kam weiß man auch nicht... Der Workaround? Wir verschicken jetzt dazu immer automatisiert eine Benachrichtigungs-Email. Da kann man ja sehen wann die ankam...

Ich sehe ja durchaus ein, dass Datenschutz wichtig ist, aber ich habe öfter das Gefühl, dass in der Auslegung an vielen Stellen extrem schlechte Arbeit gemacht wird...

 

[Shihatsu]

Ich sehe ja durchaus ein, dass Datenschutz wichtig ist, aber ich habe öfter das Gefühl, dass in der Auslegung an vielen Stellen extrem schlechte Arbeit gemacht wird...

Amen. ISt halt kacke wenn man so etwas wichtiges nicht vernünftig unterstützt, aber da waren wir ja schon: Digitalisierung 6, setzen.

 

[saistaed]

Öhm, findest du das jetzt nicht etwas unfair? Denn woran soll ich erkennen das du social Engeneering per se kennst bei dieser Frage hier:

Ganz ehrlich, das klingt für mich auch beim zweiten Mal lesen nicht nach "Und wo tut mir das jetzt bei Celes Fall weh" sondern nach "Und was ist das?" Wenn ich dich da falsch verstanden habe - sorry, aber mir dann gleich Arroganz und Ignoranz vorwerfen ist dann doch wieder total drüber - deshalb bin ich in der Vergangenheit bei solchen Momenten dann auch einfach raus - wenn ihr nicht ohne Ad Hominem auskommt, dann eben nicht, aber da mache ich dann auch nicht mit. Ja, da reagiere ich dann extrem zickig. Ist nicht wunderbar, aber ich kann und will an der Stelle nicht anderster, sorry.

Mein Argument bezog sich auf "E-Mail ist inherent unsicher" - das Beispiel des social engineering war vielleicht für den konkreten Fall nicht gut gewählt, aber ein einzlener Vertipper bei der E-Mail Domain kann auch schon mal extrem peinlich sein. Das Argument ist nämlich nicht "Alle Sozialämter werden von Social Engineers aufs Korn genommen" sondern "E-Mail als sicheres Kommunikationsmedium ist nicht existent". Würdest du deinen Hartz4 Antrag auf eine Postkarte verschicken? Würden das andere, denen das peinlich ist? Ja, die Frage hat sich dann vielleicht im Gespräch etwas "extrem" entwickelt, gebe ich zu.

Mea culpa, dann haben wir uns missverstanden. Ich wollte nicht E-Mail per se verteidigen, um vertrauliche Dinge zu erledigen.
Ich bin da halt für Pragmatismus: Die Sicherheitsmaßnahmen sollten sich daran orientieren, wie hoch die Wahrscheinlichkeit eines Angriffs ist, wie schlimm die Folgen wären und wie praktisch/effizient eine Lösung und ihre Alternativen sind.

 

[Shihatsu]

Das Problem hierbei ist: Der Anwender kann das nicht beurteilen und wird damit alleine gelassen. Was dann direkt zu "Der Datenschutz ist schuld!!!!1111elf" führt, was dann sachlich einfach falsch ist (und was mich halt so triggert). Und anstatt ihm zu helfen, wird er bei falschen Handlungen bestraft. Das ist halt einfach total gaga.

 

[Der Ziegentobi]

Völlig logisch das jeder mal getäuscht werden kann, aber das ist nen bisschen anderes Thema, oder?

Bleibt halt die Frage wozu? Um eventuell paar Euro Stütze abzugreifen? Dafür der Aufwand?

das war doch nur ein bleistift, da jeder davon betroffen sein kann. was ich jetzt genau vom deutschen sozialamt moechte weiss ich auch nicht

Amen. ISt halt kacke wenn man so etwas wichtiges nicht vernünftig unterstützt, aber da waren wir ja schon: Digitalisierung 6, setzen.

datenschutz schulungen sind halt immer scheisse, bei mir war das 30min power point mit anschliessendem quiz. ist ja jetzt toll, aber ich arbeite nur mit firmen als kunden und keinen privatleuten. wie die dann da greift hat uns niemand gesagt

 

[Benrath]

Mein neuster Clou ist, dass für die Einführung eines internen Umfragetools ein Datenschutzkonzept erstellt werden soll. Schön und gut. Scheinbar sind aber frei Texteingabefelder ein Problem, weil dort jemand personenbezogenen Informationen eingeben könnte....

Ich würde gerne noch einmal auf mein Anliegen zurückkommen. Woran liegt es jetzt?

 

[Der Ziegentobi]

Ich würde gerne noch einmal auf mein Anliegen zurückkommen. Woran liegt es jetzt?

das jemand ein arsch ist und das projekt blockieren moechte.

 

[Gustavo]

Ich würde gerne noch einmal auf mein Anliegen zurückkommen. Woran liegt es jetzt?

Ist doch offensichtlich: Jemand könnte irgendwelche NLP-Tools verwenden, um die Autorenschaft in Freifeldtexten zu eruieren.

 

[Benrath]

das jemand ein arsch ist und das projekt blockieren moechte.

Ne ich glaube das ist den daten Schutz Juristen ein ehrliches Anliegen.

Ich kann den Gedanken sogar nachvollziehen. In freitext Felder stehen häufig Dinge, die am Ende personenbezug haben. Die Leute tragen ohne Not nochmal ihre Adresse oder den Namen eines Nachbarn ein.

Hier geht's aber um eine interne Abfrage Software und Umfragen mit Arbeitsbezug. Sehe einfach keine Notwendigkeit diesen Fall aufzufangen oder besondere Auflagen ans Programm zu stellen, weil manche User behindert sind.

Btw immer noch mein Lieblings Beispiel dass Firmennamen dsgvo geschützt sind wenn der Name einer lebenden Person drin ist. Wenn du dafür entscheidest dein Unternehmen so zu nennen, ist das nicht mein Problem. Leider doch.

 

[saistaed]

Wenig überraschend seh ich auch hier den Sinn nicht: Man kann überall unbefugt personenbezogene Daten reinschreiben, wenn man will. Deshalb verbieten wir nicht Texteditoren, Stifte und Papier?
Was macht ein Umfragetool so besonders?

 

[Xantos2]

Weil das Umfragetool direkt assoziiert wird mit bösen Datenkraken und gefährlicher IT - und Stift und Papier gab's ja schon immer!!

 

[parats']

Der Vergleich hinkt natürlich. Die Kontrolle über die Weitergabe von Datensätzen ist durchaus schwieriger als bei einem physischem Stück Papier.

 

[Benrath]

Wie gesagt bei ner externen Erhebung kann ich es noch halbwegs erheben, dass es gewisse Vorgaben gibt und das Feld nur für den Zweck ausgewertet darf für den es gedacht war und von Personen die im Vorgang dabei sind.. Verknüpfung ist eh etwas albern.

Aber für das interne Tool den aufriss zu machen. Klar kann ich die gleiche Logik bringen aber die Info kommt aus der Behörde und bleibt in der Behörde...