Was viele befürchtet hatten, ist jetzt tatsächlich eingetreten: Beim Online-Speicher-Anbieter Dropbox gab es einen schwerwiegenden Sicherheitsfehler. Über mehrere Stunden hinweg war es am Montag möglich, sich auf einem Dropbox-Account mit beliebigen Passwort einzuloggen. Grund dafür sei ein Code-Update gewesen. Der Vorfall zeigt einmal erneut, wie wichtig es ist, Daten, bevor sie in die Dropbox geladen werden zu verschlüsseln. Nur so kann sicher gestellt werden, dass im Falle eines Datenlecks, die Daten nicht von Fremden eingesehen werden können.

Im übrigen gilt auch hier: Wer personenbezogene Daten in der Cloud verarbeitet, muss u.a. die Regelungen von § 11 BDSG zur Auftragsdatenverarbeitung einhalten. Besteht die Gefahr, dass bestimmte personenbezogene Daten in die Hände von Unbefugten gelangt sind, so ist §42a BDSG zu beachten. Mehr zum Thema gibt es auf brainosphere.de. Mehr zum Vorfall bei Dropbox gibt es bei ZDnet.

Wer nicht will, dass sein selbsterstelltes PDF für jedermann zu öffnen ist, kann sie ganz einfach mithilfe der Druckfunktion von Mac OS X 10.6. durch ein Passwort schützen. Einfach im Textverarbeitungsprogramm über den Menüpunkt Ablage auf den Befehl “Drucken” klicken. Im Druckmenü lässt sich nun die Option “Als PDF sichern” auswählen. Es öffnet sich ein Fenster mit den Sicherheitsoptionen. Hier lässt sich ein Kennwort zum Öffnen des Dokuments angeben.

Bei der Wahl eines Passwortes, ist es wichtig, darauf zu achten, dass es lang ist und aus vielen verschiedenen möglichen Zeichen besteht. Programme zum Knacken von Passwörtern benutzen nämlich häufig die Brute-Force-Methode, d.h. sie probieren alle möglichen Kombinationen von Zahlen und Buchstaben aus. Gerne testen sie auch alle Wörter und Wortkombinationen eines Wörterbuches. Einfache Wörter eignen sich daher nicht besonders gut als Passwort – besser ist z.B. eine zehnstellige Zeichenkombination, die aus Zahlen sowie Groß- und Kleinbuchstaben besteht. Volle Sicherheit gibt es natürlich nie: es ist immer möglich, dass der Passwortcracker zufällig das richtige Passwort als erstes testet. Wer mehr wissen will über den Zusammenhang von Wortlänge, Anzahl der Zeichen und Sicherheit, dem sei diese Seite zu empfehlen. Weiter unter – nach den ganzen Tabellen – gibt es auch ein paar Tipps.

Soll das Passwort-geschützte PDF nun per E-Mail versandt werden, so sollte das Passwort nicht in der E-Mail sondern seperat, zum Beispiel per SMS, verschickt werden.

Am 30.12. haben wir zum Abschluss des Geschäftsjahres 2009 die gesetzlich vorgeschriebene Inventur durchgeführt. Beim Aufräumen und Aussortieren finden wir immer wieder Dinge, die sich sicher leider nicht mehr verkaufen lassen. Diese Dinge werden dann “abgeschrieben”.

Seit dem 1.1. sind wir gesetzlich verpflichtet, “monatlich gleichzeitig mit der Entgeltabrechnung eine Meldung zu erstatten”, die die für das Verfahren des elektronischen Entgeltnachweises (ELENA) bestimmten personenbezogenen Daten unserer Mitarbeiter/innen enthält. Die Daten werden in “der Datenstelle der Träger der Rentenversicherung” gespeichert. Wir erledigen die Meldung dieser Daten relativ unkompliziert über unsere Lohnbuchhaltung, die mit der Software der DATEV arbeitet. Sehr verwundert hat uns allerdings die Tatsache, dass die so erfassten Daten erst ab 2012 von den Mitarbeiter/innen genutzt werden können (“Ab dem 01.01.2012 wird das ELENA-Verfahren dann in der Praxis angewendet werden.“).

Auf der Suche nach einer Übersicht der zu übermittelnden Daten, mussten wir leider feststellen, dass die entsprechende Datensatzverordnung erst im Februar 2010 veröffentlicht werden kann, da sich die Ressortabstimmung verzögert hat.

Es stellt sich offensichtlich die Frage, ob das ganze Verfahren tatsächlich schon zu Ende gedacht wurde. Änderungswünsche und Kritik sind aus allen Teilen der Gesellschaft zu vernehmen:

• Datenschutz beim ELENA-Verfahren, Pressemitteilung des Bundesdatenschutzbeauftragten vom 29.12.2009
• Heribert Prantl in der SZ vom 31.12.2009
• Pressemitteilung der Piratenpartei vom 31.12.2009
• Arbeitgeber kritisieren neues Datenerfassungssystem “Elena”, Die Welt am 4.1.2010

Hoffen wir, dass die hohen Summen an öffentlichen Geldern, die bisher in den Aufbau des Verfahrens gesteckt wurden, nicht noch “abgeschrieben” werden müssen.