Datentransfer versus Datenschutz? Was beim Austausch von Dateien sicher (nicht) geht.

Arbeiten von zu Hause und sozialer Alltag trotz Distanzierung - das erfordert und fördert den digitalen Austausch von Informationen, um Prozesse am Laufen zu halten. Damit der digitale Datentransfer nicht nur aus Sicht des Infektionsschutzes, sondern auch mit Blick auf den Datenschutz sicher ist, erinnern wir hier an zentrale Risiken und warum sie sich nur mit einem Fokus auf Benutzerfreundlichkeit vermeiden lassen.

Datenschutzverletzungen entstehen meist nicht aus krimineller Energie, sondern durch allzu menschliche Fehler in der digitalen Kommunikation. Ungeachtet davon sind die Auswirkungen für Betroffene massiv und die Konsequenzen für Verursacher weit mehr als nur peinlich, reichen diese doch von empfindlichen Geldbußen über nachhaltige Vertrauensverluste bis zu einem rechtlichen Nachspiel. Unternehmen sind entsprechend motiviert, Maßnahmen zur Vorsorge zu treffen. Warum aber häufen sich dann in den Meldedaten und Medienberichten immer wieder die gleichen, scheinbar vermeidbaren Fehler beim digitalen Austausch von Dateien? Weil Sicherheitskonzepte, Prozesse und Lösungen nur dann effektiv sind, wenn diese auch zu den Verhaltensmustern von Benutzern passen.

Lassen Sie uns drei typische Beispiele zum Thema Dateitransfer betrachten:

Beispiel 1: „Für eine Mail ist der Anhang zu groß, dann halt über diese File Transfer Seite...“


Ob serverseitig, wegen begrenztem Speicherplatz oder zum Spamschutz - mit einer gewöhnlichen E-Mail können meist nur Anhänge von bis zu 25MB Umfang versandt werden. Da das Internet für alles eine Lösung hat, weichen Mitarbeiter hier schnell auf einen der kostenlosen Cloud-Dienste zum Versenden unbegrenzt großer Dateien aus (wie etwa WeTransfer, 4shared, oder Whisply).

Wer hier aber Datenbestände hochlädt, gibt Zustimmung zu Cookies und Werbeanzeigen als alternative Form der Bezahlung. Auch wenn man diese kommerzielle Nutzung seiner Daten noch (un)bewusst akzeptiert, müssen beim Einsatz von kostenlosen File Transfer Diensten im beruflichen Kontext zudem rechtliche Aspekte in Betracht gezogen werden. Stehen die Server in den USA, so fallen die ausgetauschten Daten in die Zuständigkeit der dortigen Justiz. Gesetze wie der Patriot Act können dann herangezogen werden, um Behörden und Ermitteln Zugriff auf die Inhalte geschäftlicher Kommunikation zu verschaffen. Hier unterscheiden sich die Vorbehalte europäischer Datenschützer nicht von denen gegenüber Diensten wie WhatsApp oder Dropbox.

Zudem bieten kostenlose Datentransfer-Dienste keinerlei Schutz vor menschlichen Fehlern in der digitalen Kommunikation. Vielmehr sind sie quasi prädestiniert für zwei der häufigsten Ursachen für ein sogenanntes Datenleck in den europäischen Datenschutz-Statistiken: 1) die versehentliche Angabe falscher Empfänger und 2) das irrtümliche Versenden falscher Dateien. Selbst wenn noch verschlüsselt übertragen werden sollte, können die übertragenen Daten außerdem von jedem abgerufen werden, der (unberechtigt) Zugang zum Download-Link für die Empfänger erhält. Einmal versandt, ist dies nicht mehr rückgängig zu machen.

Beispiel 2: „Ich ziehe es halt auf einen USB-Stick und geb ihn in die Post. Der ist ja verschlüsselt...“

Der verloren gegangene USB-Stick spielt seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) die Hauptrolle in den meldepflichtigen Datenschutzverstößen durch Organisationen. Die handlichen Datenträger enthalten meist gleich ein großen Umfang an vertraulichen Informationen und da kein Logging oder Nachweis von Zugriffen erfolgt, lässt sich zunächst nicht feststellen, wie schwerwiegend die Konsequenzen für betroffene Datensubjekte sind. Datenschutzverstöße lassen sich dann in Folge auch weder eingrenzen noch rückgängig machen. Dabei wird nicht einmal grundlegend zwischen USB-Sticks mit oder ohne Verschlüsselung unterschieden: Sollte der Datenträger in die „richtigen” falschen Hände geraten, lässt sich mit entsprechend größerem Aufwand auch die marktübliche Encryption überwinden und der Inhalt entschlüsselt einsehen oder weitergeben. Daten-Verschlüsselung allein garantiert keine Sicherheit, solange der Zugang nicht beschränkt und nachvollzogen werden kann.

Ironischerweise wird gerade dann gerne zum USB-Stick gegriffen, wenn er beim Absender die Illusion einer sicheren Alternative erweckt: physisch verpackt und an die Post als Vertrauensträger übergeben. Kommen Umschläge jedoch beschädigt beim Empfänger an, werden Inhalte für Dritte zugänglich oder gehen sogar auf dem Transportweg verloren. In jedem Fall gilt der Verlust oder Diebstahl eines verlorenen USB-Sticks mit datenschutzrelevanten Informationen als schwerwiegender DSGVO-Verstoß und muss unverzüglich gemeldet werden.

Beispiel 3: „Komm mir bloß nicht mit verschlüsselten E-Mails, das ist viel zu kompliziert...“

Bleibt die Frage, warum kostenlose File Transfer Dienste oder der USB-Stick im Briefumschlag selbst dann noch herangezogen werden, wenn in Organisationen eine offizielle Lösung mit der erforderlichen IT-Sicherheit zur Verfügung steht. Das englische Zauberwort heißt hier „Workaround”: Inoffizielle Kanäle erscheinen den Mitarbeitern attraktiver, wenn sie als weniger umständlich oder mühselig wahrgenommen werden. Dabei ist das eigene Empfinden oft entscheidender als objektive Maßstäbe. Die Macht der Gewohnheit oder befürchtete (nicht einmal erlebte!) Barrieren reichen aus, um auf das zurückzugreifen, was man kennt.

In vielen Köpfen wird erhöhte Sicherheit für IT-Lösungen ebenso wie ein datenschutzkonformer Umgang mit Informationen direkt mit erhöhter Komplexität gleichgesetzt. Dabei spricht rein technisch nichts dagegen, Benutzerfreundlichkeit und Datenschutz beim Datentransfer zu vereinen, wie ZIVVER mit seinen Integrationen für alle gängigen E-Mail Programme zeigt.

Was macht ZIVVER zur einfach sicheren Alternative?

Informationen zum Gesundheitszustand zählen zu der kritischsten Kategorie von personenbezogenen Daten. Entsprechend streng sind die Datenschutzanforderungen bei ihrer (digitalen) Kommunikation.

Wird unachtsam mit Patientendaten umgegangen, gibt die DSGVO zudem umfassende Meldepflichten und mitunter schmerzliche Geldbußen vor. Das zeigte sich unlängst wieder am Beispiel von einem Krankenhaus in Rheinland-Pfalz. Eine simple Unaufmerksamkeit führte hier zum inkorrekten Ausstellen von Rechnungen, so dass vertrauliche Daten an jeweils andere Patienten versandt wurden.

Finanziell war der Schaden mit einer Strafzahlung von 105.000€ hier noch vergleichsweise gering. Geldbußen bei Datenschutzverstößen im Gesundheitswesen belaufen sich laut dem Ponemon Institut weltweit auf durchschnittlich fast 6,5 Millionen US-Dollar. Für andere Bereiche lag der Durchschnitt 2019 durchweg niedriger, insgesamt aber noch bei knapp unter 4 Millionen US-Dollar.

Jede Datenschutzverletzung ist jedoch eine zu viel. Insbesondere, wenn sie sich durch ein Absichern vor (allzu) menschlichen Fehlern leicht verhindern ließe.

Wie ZIVVER den digitalen Austausch von Patientendaten sichert

ZIVVER wurde von Grund auf als eine Lösung für datenschutzkonforme Sicherheit in der digitalen Kommunikation entwickelt, auf die sich Organisationen verlassen können. Benutzer können einfach und direkt aus ihrer gewohnten E-Mail Umgebung Datenbestände von bis zu 5TB (!) per Nachricht an ihre Empfänger versenden. Das gilt für einzelne Dateien ebenso wie für ganze Datei-Ordner, inklusive Ordnerstruktur!

Dabei kommt das umfassende, ISO 27001 zertifizierte ZIVVER Sicherheitskonzept für integrierten Datenschutz zur Anwendung:

    • Alle Inhalte werden asymmetrisch verschlüsselt übertragen und gespeichert

    • In Datenzentren innerhalb des europäischen Wirtschaftsraums

    • Verbindungen werden immer und automatisch TLS-gesichert 

    • Zero-Access und BYOK-Strategien schützen vor unberechtigten Zugriffen

    • Empfänger müssen selbst nicht über einen ZIVVER-Account verfügen

    • Empfängerverifizierung mit einem zweitem Faktor (2FA) stellt sicher, dass nur Berechtigte mit ZIVVER übertragene Dateien entschlüsselt abrufen können

    • Abruf der Dateien beansprucht keinen Speicherplatz in der Inbox des Empfängers 

    • Benutzer-Accounts sind ebenfalls mit 2FA bzw. SSO gesichert 

    • Mit Verarbeitungsvereinbarung und SLA für Organisationen, ohne Cookies und Werbung für Benutzer und Empfänger

    Aus Sicht der Benutzer sprechen insbesondere drei Funktionen für den Datentransfer mit ZIVVER:

1- Organisationsregeln schützen vor menschlichen Fehlern

Dateien werden noch vor dem Versenden automatisch von ZIVVER geprüft. Sind datenschutzrelevante Informationen enthalten und/oder wird ein auffälliger Empfänger angegeben, wird der Absender auf die möglichen Sicherheitsrisiken hingewiesen. Denn beim Datenschutz ist Vorsicht besser als Nachsicht.

2- Nachrichtenrückruf zu jeder Zeit (ad hoc oder geplant) möglich

Geht trotz allem etwas schief, kann ein Datenleck mit ZIVVER noch verhindert oder bestmöglich eingegrenzt werden. Der Absender kann jede mit ZIVVER versandte Datei jederzeit für einzelne oder alle Empfänger wieder unzugänglich machen. Wurde etwa ein Adressat im CC übersehenen, kann dieser die Datei dann nicht mehr abrufen. Verlässliche Sicherheit, auch nach dem Versenden.

3- Digital und umweltfreundlich, aber sicher!

Spätestens seit dem Inkrafttreten der DSGVO und der Umstellung von ISDN auf All-IP-Netze erfüllt das Fax nicht mehr die gesetzlichen Vorgaben zur Sicherung personenbezogener Daten. Zudem kann ja nicht immer ein bedauernswerter Azubi abgestellt werden, um ein Faxgerät mit Unmengen Papier zu füttern. Umfangreiche Dateien zum Versenden auszudrucken stellt eh eine Verschwendung von Ressourcen dar - da sie beim Empfänger ja meist wieder digitalisiert werden müssen. So bleiben das papierlose Büro und ein klimaneutraler Fußabdruck hehre Ziele. Wie nebenbei erhöht ZIVVER also nicht nur die Sicherheit, sondern auch die Effizienz von Kommunikationsprozessen.

Mit ZIVVER steht die Option zum sicheren Datentransfer immer dort zur Verfügung, wo man gerade arbeitet - ob per Office Plugin für Microsoft Outlook und als Ergänzung zu Office 365, per Chrome Extension für Gmail, plattformunabhängige WebApp oder als mobile App für Android und iOS. Die Anwendung ist für Absender und Empfänger benutzerfreundlich einfach und intuitiv. So werden unsichere Workarounds überflüssig.

Haben wir Sie überzeugt? Das freut uns. Aber Moment!

  • Werfen Sie Ihren USB nicht direkt in den Müll. Löschen Sie den Datenträger erst mit einer spezialisierten Software oder geben Sie diesen zur datenschutzgerechten Entsorgung an ihr Rechenzentrum. 

  • Entfernen Sie einen genutzten online Dienst nicht einfach nur aus der Lesezeichenleiste in Ihrem Browser. Folgen Sie stattdessen dem Vorgehen zum Löschen Ihres Benutzer-Accounts und den damit verbundenen Daten.

Bei Interesse an den ZIVVER-Lösungen für einen sicheren Austausch von E-Mails und Dateien nehmen Sie Kontakt mit uns auf oder registrieren Sie sich direkt online.

 

Ähnliche Blogs
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen