Neuer Umgang mit Emails bei uns in der Firma!?

Hallo Sicherheitsfreunde,

gerade erreicht mich diese Email mit folgendem Inhalt.
Mal davon ab, dass ich immer davon ausgehe, dass Email innerhalb der Firma nicht wirklich sicher ist, schlägt das hier gerade das Fass aus dem Boden aus. Aber lest selbst. Eure Meinung interessiert mich brennend.

Liebe Kolleginnen und Kollegen,

leider ist es in der Vergangenheit immer wieder vorgekommen, dass wichtige eMails von Kunden und Interessenten aufgrund von Abwesenheitszeiten von Mitarbeitern nicht oder zu spät gelesen wurden. Um hier Informationsverluste im Bezug auf unsere Kunden- und Interessentenbetreuung zukünftig auszuschließen, ist folgende Maßnahme geplant:

Die bisherige Verschlüsselung der eMail-Dokumente wird zum 1. April 2008 aufgehoben.

Dies ermöglicht, dass für jede eMail-Adresse einzeln definierte Personen(gruppen) mit einem Leserecht für die eMails ausgestattet werden können. Im Falle von Krankheit, Urlaub, Kündigung … kann so die IT im Auftrag der Geschäftsleitung einem/r Kollegen/in und/oder dem/der Vorgesetzten ein Leserecht einrichten, damit die eMails trotz Abwesenheit zeitnah gelesen und eventuell notwendige Schritte eingeleitet werden können.

Bislang waren die geschäftlichen eMails verschlüsselt und konnten nur vom jeweiligen Mitarbeiter gelesen werden. Bis zur Einrichtung von Leserechten im Bedarfsfall bleibt das auch nach der Entschlüsselung so. Verändert hat sich damit lediglich, dass die Vergabe von Leserechten über die IT möglich gemacht wird.

Im Bedarfsfall:
Da es sich um ein geschäftliches eMail-Account handelt und die Firma begründetes Interesse daran hat, dass keine Informationen über dieses Medium verloren gehen, kann also im Bedarfsfall (z.B. Ausscheiden des Mitarbeiters, langer Urlaub, Krankheit …) ein Leserecht für Dritte eingerichtet werden. Die Einrichtung von Leserechten ist von der IT zu protokollieren! Gleichzeitig wird an den betroffenen eMail-Account eine Info-eMail über die vergebenen Leserechte verschickt.

Welche eMails sind davon betroffen?
Wurde einem Dritten ein Leserecht auf die eMail-DB eingerichtet, so können alle eMails ab dem 1. April 2008 gelesen werden. EMails, die vor dem 1. April 2008 empfangen oder geschrieben wurden, bleiben verschlüsselt und somit vor dem Zugriff Dritter weiterhin geschützt!

Wir möchten an dieser Stelle betonen, dass es der Geschäftsleitung nicht darum geht, den eMail-Verkehr der Mitarbeiter zu kontrollieren! Es geht hier um die Zugriffsmöglichkeit auf wichtige Geschäftsinformationen, die bisher bei Ausscheiden der Mitarbeiter verloren gingen, bei Krankheit und Urlaub oft nicht rechtzeitig zur Verfügung standen.

Wir möchten alle Mitarbeiter und Mitarbeiterinnen schon heute auf diese Veränderung hinweisen!

Wer hierzu noch Fragen hat, kann sich gerne an mich wenden.

Die Maßnahme ist mit unserem Datenschutzbeauftragten Herrn Deprosse abgestimmt.

Dank für eure Mainungen.

Grüße, olli

1. Private Emails sollte man von geschäftlichen Emails IMMER trennen, und das geht nun mal am besten per separatem Account.

2. Wir haben bei uns quasi „Abteilungsadressen“ eingerichtet. Wenn Kunden z.B. Auftragsemails schicken, werden sie gebeten, diese vorrangig an diese Abteilungsadressen zu schicken, eben genau für den Fall, daß - wenn einer im Urlaub, krank, oder sonstwie abwesend ist - die Email des Kunden auf jeden Fall bearbeitet wird. Möchte der Kunde, daß eine spezielle Person davon auf jeden Fall Kenntnis erlangt, so kann er diese auf CC setzen - auch wenn diese Person die Email dann doppelt erhält (persönlich und Abteilung).

Insofern ist da eher eure IT gefragt eine gewisse Flexibilität einzurichten, als das Briefgeheimnis - das auch bei Emails besteht ! - zu stören.

Christian

1. Private Emails sollte man von geschäftlichen Emails IMMER
   trennen, und das geht nun mal am besten per separatem Account.

Volle Zustimmung!

2. Wir haben bei uns quasi „Abteilungsadressen“ eingerichtet.
   Wenn Kunden z.B. Auftragsemails schicken, werden sie gebeten,
   diese vorrangig an diese Abteilungsadressen zu schicken, eben
   genau für den Fall, daß - wenn einer im Urlaub, krank, oder
   sonstwie abwesend ist - die Email des Kunden auf jeden Fall
   bearbeitet wird.

So wird es gemacht.
Bei uns werden die persönlichen Adressen im Normalfall gar nicht mehr bekannt gegeben.

Mal ganz davon abgesehen - ich weiss ja nicht, in was für einer Firma du arbeitest/wei groß diese ist. Aber im Allgemeinen sollten ja alle Mitarbeiter an einem Strang ziehen. Abgesehen von emails, die Gehaltsabrechnungen/Buchhaltung/Steuern etc. betreffen, kann ich da nichts Schutzwürdiges (also schutzwürdig innerhalb der Firma) erkennen.

just my 2 Pence . . .

Servus Oliver,

das Ganze ist weniger dramatisch als es Dir scheint. Es ist soger gängige Praxis.

Prämisse ist dabei, dass EDV Systeme der Firma auch nur für geschäftliche Zwecke verwendet werden. Und genau diese Verpflichtung nehmen heutzutage die meisten Firmen ihren MA ab.

Normalerweise wird der Zugriff durch Dritte dann auch nur mit Zustimmung des Eigentümers des Mail Accounts gewährt. Ich könnte mir vorstellen, dass eine Firma das evtl. aber sogar vorschreiben kann, das weiß ich aber nicht sicher. Womöglich kannst Du auch explizit verlangen, dass niemand Zugriff haben soll.

Zudem bleibt immernoch die Möglichkeit, Mails manuell zu verschlüsseln (z.B. Kommunikation mit dem Betriebsrat).

Zusammenfassend würde ich an Deiner Stelle mit Fragen dazu zum Betriebsrat gehen bzw. zum Datenschutzbeauftragten des Unternehmens. Aber wie gesagt: Ein gegenseitiger Zugriff ist im Geschäftleben völlig normal. Sekretärinnen verwalten den Eingang & die Termine ihrer Chefs, Mitarbeiter einer Abteilung vertreten sich gegenseitig.

Idealerweise sollten Pools genutzt werden (wie schon angesprochen). Doch das ist manchmal nicht gewünscht oder möglich.
Du könntest aber diesen Vorschlag bei Euch einbringen, um den Einzelzugriff abzuwenden/zu minimieren.

Solong
Alles Gute

Jens

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo olli,

Es kann ja nicht angehen, dass dringende Arbeiten liegen bleiben, wenn eine Person mal abwesend ist.
Somit hätte es bei mir gar nie persönlich verschlüsselte Mails gegeben.

Wie auch schon geschrieben wurde, auf Abteilungsebene macht es noch Sinn und sonst nur bei vertraulichen Dingen (Personal/Buchhaltung/Löhne/Geschäftsleitung).

MfG Peter(TOO)

Hallo Sicherheitsfreunde,

gerade erreicht mich diese Email mit folgendem Inhalt.
Mal davon ab, dass ich immer davon ausgehe, dass Email
innerhalb der Firma nicht wirklich sicher ist, schlägt das
hier gerade das Fass aus dem Boden aus. Aber lest selbst. Eure
Meinung interessiert mich brennend.

Hallo olli,

ich glaube du hast da von vornherein eine falsche Auffassung von Rechten und Pflichten eines Mitarbeiters: geschäftliche Post, auch EMail, ist an die Firma gerichtet! Wenn dir deine Freundin mitteilt, dass sie schwanger ist, soll sie das gefälligst an deine private EMail-Adresse schreiben, in der Firmenpost hat das nichts verloren, und ein solcher Missbrauch ist auch nicht schützenswert. Ausserdem könnte man so eine private EMail ja nur dadurch identifizieren, dass man sie liest.

Für die Firma kann ja auch unermesslicher Schaden entstehen - z.B. ein Kunde schreibt, dass die gelieferten Teile fehlerhaft sind, und du als Sachbearbeiter nimmst gerade deine Grippe - dann werden 2 Wochen lang unbrauchbare Teile weiterproduziert. Es gäbe noch genügend andere Beispiele. Eine solche Mitteilung ist eben NICHT deine Privatsache.

Ich missgönne ja niemandem, Firmeneinrichtungen mal ein bisschen mitzubenutzen, aber wegen solcher Auffassungen wie von dir geäussert sehe ich als Lösung keine andere Möglickeit als jeden privaten EMail-Verkehr zu verbieten und das alle unterschreiben zu lassen.

Gruss Reinhard