Datenleck, Datendiebstahl, Datenpanne... Wo ist der Unterschied?

Seit dem Inkrafttreten der DSGVO gelten strenge gesetzliche Meldepflichten bei Datenschutzverletzungen. Die Folge: Bei den Aufsichtsbehörden und in den Medien überschlagen sich geradezu die Berichte über ein Datenleck nach dem anderen, inklusive der verhängten Geldstrafen für Unternehmen in teils schwindelerregender Höhe. Sicher kein unerwünschter Effekt, immerhin ist ein zentrales Ziel der DSGVO, bei Unternehmen und in der Öffentlichkeit ein stärkeres Bewusstsein für den Datenschutz zu schaffen. 

Dazwischen ist jedoch auch immer wieder die Rede von „Datenpannen” und „Datendiebstahl” - teils werden sogar verschiedene Begriffe verwendet, um ein und denselben Vorfall zu beschreiben.  Diese sprachlichen Unschärfen ergeben sich manchmal aus Übersetzungen aus dem Englischen, der vorherrschenden lingua franca in der Welt der Informationstechnologie. In Ausnahmefällen kann ein Mischen von Begriffen auch bewusst erfolgen, etwa um online Berichten durch Search Engine Optimization (SEO) zu höheren Klickraten zu verhelfen. Weitaus häufiger jedoch liegt es schlichtweg an einer fehlenden Trennschärfe im Verständnis der unterschiedlichen Bezeichnungen.

Worin genau der Unterschied bei den verschiedenen Formen von Datenschutzverletzungen liegt, scheint bei weitem nicht immer deutlich. Wir wollen hier zur Begriffsklärung beitragen. 

Der gemeinsame Nenner aller Varianten ist, dass es um datenschutzrelevante Informationen geht. Der Unterschied liegt darin, ob die Ursache für einen unberechtigten Zugriff auf diese Informationen extern oder intern liegt:

Datendiebstahl 

Beim Datendiebstahl liegt die Ursache extern. Der englische Begriff des „data breach” bringt dies deutlicher zum Ausdruck: Sinnbildlich gesprochen wird eine (Schutz-)Barriere durchbrochen oder umgangen, um auf vertrauliche Daten zuzugreifen. 

Beim Datendiebstahl sprechen wir also von einem Szenario, in dem der unberechtigte Zugang zu datenschutzrelevanten Informationen durch Außenstehende vorsätzlich (mit krimineller Energie) geschaffen oder ausgenutzt wird. Viele denken bei dem Begriff dementsprechend in erster Assoziation an Hacker. Doch von Fishing über gestohlene Passwörter bis zu infiltrierten Systemen oder im Code verborgenen „Hintertüren” sind die Risiken so vielfältig, dass sich mit der Cyber-Security eine ganze Industrie um den präventiven und reaktiven Schutz vor Datendieben kümmert. 

Vorsicht ist beim Datenschutz prinzipiell besser als Nachsicht, wie die Marriott Hotelkette und über 500 Millionen ihrer Kunden zu bestätigen wissen, die sich 2019 in die lange Liste von geschädigten Unternehmen und Betroffenen (den sogenannten Datensubjekten) einreihen mussten. Der eigentliche „Einbruch” in die Datenstruktur war in diesem Fall bereits im Jahr 2014 erfolgt. Er blieb über Jahre hinweg unerkannt, weil grundlegende Schutzmaßnahmen wie ein IT-Sicherheitsaudit vernachlässigt wurden. Hacker hatten einen Remote Access Trojaner (RAT) in das System von Marriott eingeschleust, kombiniert mit einem Tool namens MimiKatz. Das klingt vielleicht niedlich, dient aber dem Aufspüren von Kombinationen aus Benutzernamen und Passwörtern im Systemspeicher. Beides zusammen machte es den Angreifern möglich, die Kontrolle über einen Administrator-Account zu erlangen. Dazu noch das nachlässige IT-Sicherheitsprotokoll der Marriott Gruppe und der Datenschutz Super-GAU war komplett: Die Anzahl der kompromittierten Kundendaten zu Kreditkarten und Reisepässen liegt im dreistelligen Millionenbereich und der Schaden für die Marriott-Kette beschränkt sich bei weitem nicht auf einen Ausgleich für die Geschädigten, sondern zieht auch nachhaltige Vertrauensverluste und Imageschäden nach sich, obwohl der Angriff von extern erfolgt ist.

Datenleck 

Bei einem Datenleck liegt die Ursache für den unberechtigten Zugriff auf datenschutzrelevante Informationen dagegen intern. Die implizite Metapher deutet es an: Wir sprechen von einem „Daten-„Leck” („data leak”), wenn ein Informationsfluss nicht in den vorgesehenen Bahnen verläuft, sondern aufgrund einer Schwachstelle umgelenkt wird oder es sogar zum Kontrollverlust über die Daten und deren ungewollten Abfluss kommt. 

Seit Wikileaks und den Panama Papers denkt man bei dem Begriff vielleicht zunächst an das vorsätzliche Weitergeben von Informationen in digitaler oder physischer Form durch interne „Whistleblower”. Auch in diesen Fällen wird ein Datenleck bewusst geschaffen - oder im juristischen Wortlaut: mit Vorsatz - allerdings von „Insidern”. 

Zur Kategorie Datenleck zählen darüber hinaus aber auch Fälle, bei denen es zu einem systematischen Abzapfen von Daten an internen Schnittstellen kommt. Allen Beispielen voran steht dabei sicher der Skandal um Cambridge Analytica und ihre „Datenernte” bei facebook, der weltweit wohl prominentesten Sammelstelle für personenbezogene Daten überhaupt (ganze 87 Millionen Benutzer-Profile waren betroffen). Fälle dieser Größenordnung dominieren nicht nur die Presse, sondern beschäftigen auch Regierungs- und Untersuchungsausschüsse in mehreren Ländern. 

Bei diesen Formen von einem Datenleck - wie auch beim Datendiebstahl - werden umfangreiche und schwerwiegende Datenschutzverletzungen entweder vorsätzlich begangen oder von Whistleblowern willentlich in Kauf genommen, um einen internen Missbrauch von Daten aufzudecken. Entsprechend präsent sind sie in den Medien und in der öffentlichen Wahrnehmung. 

Sie sind aber nicht die häufigste Ursache für intern verursachte Datenschutzverstöße! 

Tatsächlich wird ein Datenleck in den meisten Fällen nicht vorsätzlich geschlagen, um bei der Metapher zu bleiben. Das größte Risiko liegt vielmehr in einem unbeabsichtigten Durchsickern von Informationen. 

Tatsächlich wird die Rangliste der häufigsten Ursachen für ein Datenleck angeführt und dominiert von scheinbar kleinen Unaufmerksamkeiten mit weitreichenden Folgen - so treffend bezeichnet als „menschliche Fehler”:

  • Beim Schreiben einer E-Mail wird aus Versehen ein falscher Empfänger angegeben;
  • Beim Eintippen der Faxnummer übersieht man einen Zahlendreher;
  • Im Drucker lag unter dem Stapel zum Versenden noch ein anderer Auftrag, der unbemerkt mit im Umschlag verschwindet;
  • Daten werden auf Anfrage weitergegeben, jedoch an unberechtigte oder irrtümliche Empfänger;
  •  …

Schon haben unberechtigte Dritte Zugang zu personenbezogenen oder vertraulichen Daten.

Bei den Verursachern kann in diesen Fällen von Vorsatz oder Böswilligkeit keine Rede sein. Meist schleichen sich die Unachtsamkeiten vielmehr unter hohem Arbeitsdruck ein oder die vorgegebenen Prozesse sind für Mitarbeiter nicht praktikabel, so dass sie auf unsichere Alternativen als „Workarounds” ausweichen. Trotzdem vermeiden wir hier bewusst den Begriff einer Datenpanne, auf den oft zurückgegriffen wird. Denn auch wenn ein Datenleck versehentlich verursacht wurde, bleibt es ein Fall für die DSGVO, nicht für den ADAC. Das Unternehmen muss Verantwortung übernehmen, seinen gesetzlichen Meldepflichten nachkommen und nachweisen, dass alle möglichen Maßnahmen ergriffen wurden, um den Schaden für die Betroffen einzugrenzen.

Wer beim Datenschutz nur an kriminelle Energie und vorsätzliche Schadenverursacher denkt, der lässt also mit dem menschlichen Faktor ein zentrales Risiko außer Acht. Ein umfassendes Datenschutzkonzept erfordert vielmehr die Absicherung vor externen und internen, vorsätzlichen und unabsichtlichen Ursachen für Datenschutzverstöße.

 

Schutz vor Datendiebstahl

Spätestens bei der Frage nach effektiven Schutzmaßnahmen wird der Unterschied zwischen den Bedrohungen durch extern- und interne-verursachte Datenschutzverstöße deutlich. Beim Schutz vor Datendiebstahl ist eine vollständige Absicherung leider utopisch - zu divers sind die potentiellen Risikoquellen in einem komplexen IT-Netz aus Drittanbietern von sozialen Netzwerken bis zum online Handel. Datendiebe arbeiten in Vollzeit daran, immer neue Schlupflöcher und Schwachstellen aufzudecken und auszunutzen. Für Unternehmen bleibt dagegen nur das Bemühen, die eigene IT-Sicherheit mit Hilfe von Cyber-Security Experten auf dem Laufenden zu halten.

Dabei gilt die Prämisse: Ein solider Grundschutz ist essentiell. Wenn er auch nicht alle Eventualitäten abdecken kann, so stellen Sie als Unternehmen doch zumindest sicher, dass (versuchte) Übergriffe frühzeitig aufgedeckt und Gegenmaßnahmen ergriffen werden können. Die spezifischen Anforderungen sind dabei stark vom jeweiligen Unternehmen, seiner Daten- und IT-Infrastrukturen abhängig. Professionelle Beratung setzt entsprechend beim spezifischen Kontext der Organisation an.

Zu den Minimalanforderungen gehört aber in jedem Fall ein IT-Sicherheitsstandard zur Sicherung von online Netzwerken, wie etwa:

  • Einsatz einer Firewall;
  • Installieren von Anti-Malware Software;
  • Dokumentation interner Cyber-Security Richtlinien;
  • Sicherheitsprotokolle für den Gebrauch von mobilen Endgeräten;
  • Die Sensibilisierung von Mitarbeitern für Datenschutz-Grundlagen;
  • Regelmäßige Schulung von Mitarbeitern zu IT-Sicherheitsrisiken und Best Practices;
  • Strikte interne Richtlinien zum Umgang mit Passwörtern;
  • Regelmäßige Datensicherungen;
  • Den Einsatz von Multi-Faktor Authentisierung;

 

Schutz vor einem Datenleck

Schutzmaßnahmen sind viel leichter zu ergreifen, wenn man direkten Einfluss auf die Ursachen von Risiken nehmen kann. Dementsprechend können sich Unternehmen besser vor den internen Ursachen für ein Datenleck schützen, als vor einem extern verursachten Datendiebstahl. 

Dies gilt insbesondere für versehentlich durch menschliche Fehler verursachte Datenschutzverletzungen - welche statistisch gesehen mit Abstand das höchste Risiko für ein Datenleck im eigenen Unternehmen darstellen (in Berichten aus verschiedenen EU-Ländern variieren die Angaben zwischen 60% und ganzen 88% der gemeldeten DSGVO-Verstöße!). Unabhängig von der Größe eines Unternehmens, die Vorgaben der Datenschutz Grundverordnung sind dabei eindeutig: Wer keine ausreichenden Maßnahmen zur Prävention und zum Eingrenzen eines Datenlecks im Ernstfall ergreift, dem drohen empfindliche Strafen. 

Im Angesicht der hohen Wahrscheinlichkeit und folgenschweren Auswirkungen eines Datenleck durch menschliche Fehler, rechtfertigt das Risiko also in jedem Fall die Investition in eine unternehmensweite Plattform zur sicheren Kommunikation von datenschutzrelevanten Informationen. 

Entsprechend groß ist die Anzahl der Anbieter auf dem Markt. Allerdings beschränken sich die meisten Lösungen auf eine verschlüsselte Übertragung von E-Mails. Damit bieten sie Schutz vor Datendiebstahl, adressieren aber gerade nicht die internen Risiken wie menschliche Fehler. Das Angebot von ZIVVER setzt dagegen auf einen integrierten Rundum-Schutz beim digitalen Austausch von Nachrichten und Dateien - vor, während und nach dem Versenden:

  • Automatisches Prüfen der Inhalte, Empfänger und Anhänge auf Datenschutzrisiken in Echtzeit;
  • Rückruf-Funktionen um Nachrichten geplant oder ad hoc zurückzuziehen;
  • Asymmetrische Verschlüsselung;
  • Zwei-Faktor Authentisierung (2FA) für Benutzer und Empfänger;
  • Plugin für MS Office Outlook;
  • WebApp und mobile App für iOS und Android;
  • Benutzerfreundliche Gastumgebung für Empfänger ohne eigenen ZIVVER-Account;
  • Optionen zum gesicherten Erstkontakt über die ZIVVER „Conversation Starter”;
  • Benutzerdefinierte Gestaltung im eigenen Firmendesign;

Fazit: Der wichtigste Schritt beim Datenschuzt, ist der nächste

Aktuell gibt es noch kein Allheilmittel, welches ein Unternehmen vor allen Risiken von Datendiebstahl (extern verursacht) oder einem Datenleck (intern verursacht) schützen kann. Wer sich den Unterschied jedoch benutzt macht, kann effektive Schutzmaßnahmen treffen, um Risiken zu minimieren. Sie zeigen damit gegenüber Ihren Mitarbeitern, Kunden, Partnern und den Aufsichtsbehörden, dass Datenschutz in Ihrem Unternehmen ernst genommen, statt nur vorgeschoben wird.

 

Handlungsempfehlungen für Ihr Unternehmen:

  • Klären Sie die tatsächlichen Risikoquellen für Ihre gelebten Kommunikationsprozesse.
  • Denken Sie dabei auch, aber nicht nur, an Vorsatz und kriminelle Energie.
  • Unterscheiden Sie bewusst zwischen externen und internen Ursachen für Datenschutzverletzungen.
  • Investieren Sie in Ihre Datenschutz-Kultur: Je früher erkannte Risiken und Vorfälle gemeldet werden, desto besser sind die Möglichkeiten zur Schadensbegrenzung.
  • Schützen und unterstützen Sie Ihre Mitarbeiter: Software-Lösungen von spezialisierten Anbietern vereinen Datenschutz und Benutzerfreundlichkeit.
  • Lernen Sie aus bereits gemachten (menschlichen) Fehlern: Wo sollten Sie ansetzen?

Sehen Sie Bedarf für Ihre eigene Organisation? Wir stellen Ihnen gerne den ZIVVER Schutzschild gegen menschliche Fehler in der digitalen Kommunikation vor.

Produktübersicht herunterladen

Ähnliche Blogs
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen
Datentransfer

Datentransfer versus Datenschutz? Was beim Austausch von Dateien sicher (nicht) geht.

Arbeiten von zu Hause und sozialer Alltag trotz Distanzierung - das erfordert und fördert den digitalen Austausch von Informationen, um Prozesse am Laufen zu halten. Damit der digitale Datentransfer nicht nur aus Sicht des Infektionsschutzes, sondern auch mit Blick auf den Datenschutz sicher ist, erinnern wir hier an zentrale Risiken und warum sie sich nur mit einem […]

Weiterlesen
Datentransfer

Datentransfer versus Datenschutz? Was beim Austausch von Dateien sicher (nicht) geht.

Arbeiten von zu Hause und sozialer Alltag trotz Distanzierung - das erfordert und fördert den digitalen Austausch von Informationen, um Prozesse am Laufen zu halten. Damit der digitale Datentransfer nicht nur aus Sicht des Infektionsschutzes, sondern auch mit Blick auf den Datenschutz sicher ist, erinnern wir hier an zentrale Risiken und warum sie sich nur mit einem […]

Weiterlesen