Datenlecks: Die 3 häufigsten menschlichen Fehler

Seit Januar 2016 gilt eine Meldepflicht für Datenpannen. Dies bedeutet, dass Organisationen die zuständige Aufsichtsbehörde über ernsthafte Datenlecks informieren müssen. In 2017 registrierten die Behörden bereits gut 10.000 Datenlecks, die größtenteils aus dem Gesundheitswesen, dem Finanzdienstleistungssektor und der öffentlichen Verwaltung stammen.

In einem Gespräch mit Jaap Nieuwmeijer, Informationssicherheitskoordinator bei Partners voor Jeugd, ging es um die erhöhte Aufmerksamkeit für Datenpannen. Die Zeiten, in denen einfache Warnungen für die unachtsame Entsorgung eines Computers mit sensiblen Daten seitens der Staatsanwaltschaften ausgesprochen wurden, sind lange vorbei. Laut Herrn Nieuwmeijer liegt die Ursache hierfür in einem gesteigerten Bewusstsein für die möglichen Konsequenzen aus Datenlecks. Auch die EU hat sich mit der EU-DSGVO das Ziel gesetzt, das Bewusstsein zu schärfen und das europaweite Niveau des Datenschutzes im Sinne der Bürger anzuheben. Sofern Ihre Organisation nicht nachweisen kann, dass die erforderichen Maßnahmen ergriffen wurden um Datenlecks zu verhindern, riskieren Sie nicht 'nur' einen Imageschaden sondern auch ein Verfahren inklusive hoher Geldbußen.

Was ist die häufigste Ursache eines Datenlecks?

Vielleicht ist es gut, zuerst zu bestimmen, was ein Datenleck ist. Ein Datenleck entsteht, wenn empfindliche Personendaten an eine Stelle geraten, wo diese nicht hingehören. Die meisten Leute denken bei Datenlecks an Hacker, die eine schlecht gesicherte Datenbank ausrauben. In der Praxis erweisen sich vor allem menschliche Fehler als die Ursache. Kleine Unachtsamkeiten und Schlampereien, die durch einen hohen Arbeitsdruck entstehen, wobei böser Wille selten eine Rolle spielt. Jaap Nieuwmeijer identifiziert aufgrund einer Risikoanalyse drei häufig vorkommende Ursachen für das Durchsickern von sensiblen Personendaten.

  1. E-Mail an eine falsche Person verschickt

    Jeder hat schon einmal eine E-Mail an eine falsche Person versendet. Sie wollen eine E-Mail an Dieter verschicken. Sie tippen „Die”, das E-Mail-Programm ergänzt den Namen, und Sie klicken auf „Versenden”. In diesem Moment sehen Sie, dass es sich um den falschen Dieter handelt. Wenn die Nachricht Personendaten enthält, ist das ein Datenleck. Das ärgerliche an einer E-Mail-Nachricht ist, dass sie nicht mehr zurückgerufen werden kann. Gesetzlich sind Sie verpflichtet, die Folgen eines Datenlecks möglichst stark zu beschränken. Ihnen bleibt also keine andere Möglichkeit übrig als den Empfänger anzurufen und ihn zu bitten, die Nachricht zu löschen. Ihre Reputation liegt völlig in den Händen eines Dritten, und das ist kein angenehmes Gefühl.

  2. Falsch adressierter Umschlag

    Wir leben in einem digitalen Zeitalter. Trotzdem schicken wir noch viele Dokumente per Post. Aus Sicherheitserwägungen verschicken wir manchmal sogar digitale Dateien per Post. In nahezu allen Fällen verläuft dies korrekt. Aber manchmal versieht einer einen Umschlag aus Versehen mit einem falschen Empfänger oder ein Dokument wird versehentlich in einen falschen Umschlag getan. Auch dann handelt es sich um ein Datenleck. Oft entdecken Sie dieses Leck erst, wenn der Empfänger anruft, und dann liegt Ihr Schicksal in seinen Händen.

  3. Verlorenes Mobiltelefon

    Ein drittes häufig vorkommendes Datenleck ist der Verlust eines Mobiltelefons. Ein Mobiltelefon kommt einem einfach abhanden und enthält viele Personendaten. Zu diesen Daten gehören natürlich nicht nur die Adressen im Adressbuch, sondern auch E-Mails und Anlagen. Die meisten Telefone werden mit einem Passwort geschützt, aber das reicht leider nicht aus. Manchmal können Telefone in einiger Entfernung gelöscht werden, aber auch das bietet keine hundertprozentige Sicherheit. Ohne Netzwerkverbindung ist es unmöglich. Glücklicherweise haben die neuesten Telefone eine Verschlüsselungsform, wodurch alle Daten automatisch verschlüsselt speichern.

 

Wie verhindern Sie diese und andere Datenlecks?

Sie sehen, dass das Unglück an jeder Ecke lauert. Die Konsequenzen können beachtlich sein. Ein Datenleck führt zu Imageschäden und mit dem Inkrafttreten der EU-DSGVO (GDPR) zu einer hohen Geldbuße. Deshalb müssen Sie alles Mögliche tun, um Datenlecks zu verhindern. Einerseits geht es um das Sicherheitsbewusstsein, das Sie bei Mitarbeitern schaffen müssen. In den meisten Fällen verschlüsselt ein Laptop automatisch alle gespeicherten Daten, aber wenn sich in der Laptoptasche ein Schreibblock befindet, handelt es sich hier immer noch um einen Leck. Darüberhinaus stellt der Austausch von Dateien über öffentliche Dienste ein weiters potentielles Risiko dar.

Anderseits ist es vernünftig, Software einzusetzen, die Mitarbeiter beim Treffen der richtigen Entscheidungen im Hintergrund aktiv unterstützt. Nur wenn diese Software den Benutzer nicht hindert und die Tätigkeiten nicht unnötig komplex macht, leistet sie einen Beitrag zu einer sicheren Arbeitsumgebung. Müssen Mitarbeiter aber zusätzliche Handlungen verrichten, wie die manuelle Verschlüsselung von Dateien, empfinden sie Sicherung als eine Last. Hierdurch sind Mitarbeiter eher dazu geneigt, diese Maßnahmen zu umgehen und auf die Suche nach Alternativen zu gehen.

Kommunizieren - das machen wir mit diversen Geräten und über mehrere Kanäle. Gute Sicherheitssoftware sichert deshalb verschiedene Kanäle wie E-Mail, Chat und den Versand von Dateien, mit dem Computer und dem Mobiltelefon. Daneben ist eine zusätzliche Authentifizierung wichtig, damit Nachrichten nur von dem beabsichtigten Empfänger gelesen werden können. Eine zusätzliche Identifikation, beispielsweise über SMS, ist hierfür eine gute Lösung . Wenn die eingesetzte Lösung zusätzlich die Möglichkeit bietet, E-Mail-Nachrichten nach einiger Zeit zu widerrufen, erfüllen Sie die Datenschutzregulierung, die Sie verpflichtet, Maßnahmen zu treffen, um Datenlecks zu verhindern und eventuelle Konsequenzen zu minimieren.

Ähnliche Blogs
datalekken-voorkom-menselijkefouten-fb-1

DSGVO und E-Mails - Verschicken Sie noch oder verschlüsseln Sie schon?

Die deutschen Aufsichtsbehörden und Landesbeauftragten für Datenschutz haben sich im Bezug auf die DSGVO im vergangenen Jahr zumeist noch ruhig verhalten. In anderen EU-Ländern wird aber bereits deutlich, dass sich dies 2019 schnell ändern könnte. Der Ratgeber von t3n hat vor kurzem erst eine Übersicht von Fällen erstellt, in denen bereits ordentlich mit dem “Bußgeld […]

Weiterlesen
DMEA_LandingPage Kopie

Melden Sie sich hier für einen Gesprächstermin für die DMEA an.

Vom 09. bis 11. April 2019 wird ZIVVER mit einem Stand auf der DMEA in Berlin vertreten sein. Eine ideale Gelegenheit, um persönlich miteinander ins Gespräch zu kommen. Wie können Sie sichere Kommunikation für Ihr Unternehmen am besten umsetzen? […]

Weiterlesen
shutterstock_219503161 (1)

Was ist der Unterschied zwischen personenbezogenen Daten und sensiblen Informationen?

Die DSGVO (GDPR) ist ein brandaktuelles Thema. Aufgrund der zahlreichen Berichte in den Medien ranken sich viele Mythen darum. So lautet ein oft gehörtes Argument: Aber dabei handelt es sich doch um sensible Informationen und diese zu teilen ist nicht mehr erlaubt laut der DSGVO? Um zu verstehen, was dieses Gesetz vorschreibt und worin die Gründe für das Gesetz liegen, […]

Weiterlesen
vlag3

Die 3 wichtigsten Punkte, die geregelt werden müssen, um GDPR- konform zu werden

Die General Data Protection Regulation (GDPR) ist ein europäisches Gesetz, das einerseits den Datenschutz europäischer Einwohner vorsieht und andererseits Bewusstsein bei der Verarbeitung von Personendaten schafft. Für Sie als CISO führt das Gesetz in erster Instanz zu viel Arbeit.  […]

Weiterlesen
student-849825_1280

Die E-Mail-Konsultation: vom Kostenfaktor zum Gewinn

Untersuchungen von NICTIZ/NIVEL und Pharmapartners ergeben, dass nur 3% der Niederländer bereits von einer E-Mail-Konsultation mit einem Arzt Gebrauch gemacht haben. Sicher in der zweiten Linie (Krankenhäuser, selbstständige Behandlungszentren) wird diese Möglichkeit kaum genutzt. Möglicherweise ändert sich das ab Januar 2018. Eine E-Mail-Konsultation kann ab diesem […]

Weiterlesen