Wenn der Arbeitstag endet und alle nach Hause gehen, fangen manche erst an. Angreifer agieren nicht nur im digitalen Raum, sie sind auch physisch unterwegs, kundschaften Unternehmensstandorte aus, beobachten Abläufe und suchen gezielt nach Schwachstellen. Eine davon wird regelmäßig übersehen: der Müll.
Ausgedruckte E-Mails, Rechnungen und Verträge, handgeschriebene Notizen mit Passwörtern oder Zugangscodes, interne Telefonlisten, Organigramme und Namensschilder von Veranstaltungen, all das landet irgendwann im Papierkorb. Hinzu kommt Hardware wie USB-Sticks, alte Laptops, ausgemusterte Smartphones und externe Festplatten, Geräte, die irgendwann nicht mehr gebraucht werden.
Genau hier ist Vorsicht geboten. All diese Dinge, die am Ende im Müll landen, können potenzielle Angriffsflächen bieten. Das gilt allerdings nur, wenn man sie nicht ordnungsgemäß entsorgt.
Ein Beispiel, das viele kennen: Der USB-Stick wird nicht mehr gebraucht, die Dateien wandern in den digitalen Papierkorb, der Stick wird irgendwie beschädigt und dann in den Büromüll geworfen. Erledigt?
Leider nein. Warum das gefährlicher ist als es aussieht, zeigen wir im folgenden Video:
Wer glaubt, dass ein paar Papierschnipsel oder ein alter Stick nichts wert sind, unterschätzt, wie gezielt Angreifer vorgehen. Wiederhergestellte Speichermedien oder unzerstörte Dokumente liefern genau das, was für überzeugende Angriffe gebraucht wird: Namen, E-Mail-Adressen, Telefonnummern, interne Strukturen.
Das macht z. B. Phishing-Angriffe deutlich gefährlicher. Eine Nachricht, die den richtigen Namen, die richtige Abteilung und den passenden Kontext enthält, wirkt authentisch und wird viel häufiger angeklickt als eine offensichtlich generische Mail. Die Informationen dafür wurden nicht gehackt. Sie lagen im Müll.
Und hier liegt ein Punkt, der oft unterschätzt wird. Phishing trifft zunächst immer eine einzelne Person, privat wie beruflich. Im privaten Umfeld können die Folgen bereits gravierend sein: gestohlene Identitäten, geleerte Konten, kompromittierte persönliche Daten. Das betrifft in erster Linie die betroffene Person selbst. Im beruflichen Kontext hört es dort jedoch nicht auf. Wer auf einen schadhaften Link klickt, Zugangsdaten eingibt oder einen Anhang öffnet, öffnet damit unter Umständen die Tür ins gesamte Unternehmensnetzwerk. Ein kompromittierter Account reicht, um interne Systeme anzugreifen, Daten abzugreifen oder sich unbemerkt weiterzubewegen. Was wie ein persönlicher Fehler aussieht, kann eine unternehmensweite Konsequenz haben.
Im beruflichen Umfeld gilt: Alle technischen Geräte, die ausgemustert werden, gehören in die Hände der IT-Abteilung, nicht in den Büromüll. Die IT kann sicherstellen, dass Daten korrekt und endgültig gelöscht werden. Dafür gibt es je nach Gerät verschiedene Verfahren:
Daten können mit spezieller Software mehrfach überschrieben werden, sodass eine Wiederherstellung ausgeschlossen ist. Bei modernen Festplatten gibt es zusätzlich die Möglichkeit, einen Löschbefehl direkt auf Firmware-Ebene auszuführen, der sogenannte ATA Secure Erase Standard entfernt alle Daten endgültig. Smartphones und Laptops lassen sich auf den Werkszustand zurücksetzen, allerdings mit einem wichtigen Vorbehalt: Je nach Gerät und Betriebssystem wird dabei oft nur das Inhaltsverzeichnis gelöscht, die eigentlichen Daten bleiben physisch auf dem Datenträger erhalten und könnten wiederhergestellt werden. Das gilt besonders für Desktop-PCs und Laptops mit klassischen Betriebssystemen. Eine softwarebasierte Löschung sollte daher immer der erste Schritt sein. Die physische Zerstörung des Datenträgers kann danach als abschließende Maßnahme sinnvoll sein, als Ergänzung, nicht als Ersatz. Wer ein Gerät einfach zerstört, ohne die Daten vorher zu löschen, riskiert, dass Fragmente noch auslesbar bleiben.
Besonders leicht geraten dabei kleine Geräte in Vergessenheit. USB-Sticks wandern oft unbemerkt in Schubladen oder den Büromüll, obwohl sie regelmäßig sensible Daten enthalten. Auch sie gehören in die Hände der IT, nicht in den Restmüll. Dasselbe gilt für Ausdrucke, Notizen und interne Unterlagen: Alles, was vertrauliche Informationen enthält und nicht mehr gebraucht wird, muss geschreddert werden. Ein zerrissenes Blatt Papier bietet keinen ausreichenden Schutz.
Eine Clean Desk Policy schafft dafür den nötigen Rahmen. Sie legt fest, wie Mitarbeiter im Alltag mit sensiblen Informationen umgehen, beim Drucken, beim Entsorgen, beim Verlassen des Arbeitsplatzes. Aber eine Richtlinie allein reicht nicht. Entscheidend ist, dass alle regelmäßig und konkret geschult werden: Was gilt als sensible Information? Wie werden Dokumente korrekt vernichtet? Was passiert mit alten Geräten? Dieses Wissen muss kein einmaliges Onboarding-Thema sein, sondern gelebter Alltag.
RIEDEL Networks ist ein in Privatbesitz befindlicher, globaler Netzwerkanbieter, der sich auf maßgeschneiderte Netzwerke konzentriert. Wir sind im Gartner Magic Quadrant für Global WAN Services als Nischenanbieter gelistet, der auf mittelständische internationale Unternehmen und den Medien- und Veranstaltungssektor spezialisiert ist. Mit unserem eigenen globalen Backbone unterstützen wir Unternehmen dabei, weltweit vernetzt zu sein. Unsere Dienstleistungen umfassen Internetverbindungen, MPLS, SD-WAN, SASE, Cloud Connect, Security und vieles mehr. Unsere Kunden stammen aus verschiedenen Branchen und schätzen Qualität, Sicherheit und Zuverlässigkeit. RIEDEL Networks ist ein 100%iges Unternehmen der RIEDEL Communications Gruppe in Wuppertal, Deutschland, und ist vollständig im Privatbesitz von Thomas Riedel.