Datenlecks: Die 3 häufigsten menschlichen Fehler

Seit Januar 2016 gilt eine Meldepflicht für Datenpannen. Dies bedeutet, dass Organisationen die zuständige Aufsichtsbehörde über ernsthafte Datenlecks informieren müssen. In 2017 registrierten die Behörden bereits gut 10.000 Datenlecks, die größtenteils aus dem Gesundheitswesen, dem Finanzdienstleistungssektor und der öffentlichen Verwaltung stammen.

In einem Gespräch mit Jaap Nieuwmeijer, Informationssicherheitskoordinator bei Partners voor Jeugd, ging es um die erhöhte Aufmerksamkeit für Datenpannen. Die Zeiten, in denen einfache Warnungen für die unachtsame Entsorgung eines Computers mit sensiblen Daten seitens der Staatsanwaltschaften ausgesprochen wurden, sind lange vorbei. Laut Herrn Nieuwmeijer liegt die Ursache hierfür in einem gesteigerten Bewusstsein für die möglichen Konsequenzen aus Datenlecks. Auch die EU hat sich mit der EU-DSGVO das Ziel gesetzt, das Bewusstsein zu schärfen und das europaweite Niveau des Datenschutzes im Sinne der Bürger anzuheben. Sofern Ihre Organisation nicht nachweisen kann, dass die erforderichen Maßnahmen ergriffen wurden um Datenlecks zu verhindern, riskieren Sie nicht 'nur' einen Imageschaden sondern auch ein Verfahren inklusive hoher Geldbußen.

Was ist die häufigste Ursache eines Datenlecks?

Vielleicht ist es gut, zuerst zu bestimmen, was ein Datenleck ist. Ein Datenleck entsteht, wenn empfindliche Personendaten an eine Stelle geraten, wo diese nicht hingehören. Die meisten Leute denken bei Datenlecks an Hacker, die eine schlecht gesicherte Datenbank ausrauben. In der Praxis erweisen sich vor allem menschliche Fehler als die Ursache. Kleine Unachtsamkeiten und Schlampereien, die durch einen hohen Arbeitsdruck entstehen, wobei böser Wille selten eine Rolle spielt. Jaap Nieuwmeijer identifiziert aufgrund einer Risikoanalyse drei häufig vorkommende Ursachen für das Durchsickern von sensiblen Personendaten.

  1. E-Mail an eine falsche Person verschickt

    Jeder hat schon einmal eine E-Mail an eine falsche Person versendet. Sie wollen eine E-Mail an Dieter verschicken. Sie tippen „Die”, das E-Mail-Programm ergänzt den Namen, und Sie klicken auf „Versenden”. In diesem Moment sehen Sie, dass es sich um den falschen Dieter handelt. Wenn die Nachricht Personendaten enthält, ist das ein Datenleck. Das ärgerliche an einer E-Mail-Nachricht ist, dass sie nicht mehr zurückgerufen werden kann. Gesetzlich sind Sie verpflichtet, die Folgen eines Datenlecks möglichst stark zu beschränken. Ihnen bleibt also keine andere Möglichkeit übrig als den Empfänger anzurufen und ihn zu bitten, die Nachricht zu löschen. Ihre Reputation liegt völlig in den Händen eines Dritten, und das ist kein angenehmes Gefühl.

  2. Falsch adressierter Umschlag

    Wir leben in einem digitalen Zeitalter. Trotzdem schicken wir noch viele Dokumente per Post. Aus Sicherheitserwägungen verschicken wir manchmal sogar digitale Dateien per Post. In nahezu allen Fällen verläuft dies korrekt. Aber manchmal versieht einer einen Umschlag aus Versehen mit einem falschen Empfänger oder ein Dokument wird versehentlich in einen falschen Umschlag getan. Auch dann handelt es sich um ein Datenleck. Oft entdecken Sie dieses Leck erst, wenn der Empfänger anruft, und dann liegt Ihr Schicksal in seinen Händen.

  3. Verlorenes Mobiltelefon

    Ein drittes häufig vorkommendes Datenleck ist der Verlust eines Mobiltelefons. Ein Mobiltelefon kommt einem einfach abhanden und enthält viele Personendaten. Zu diesen Daten gehören natürlich nicht nur die Adressen im Adressbuch, sondern auch E-Mails und Anlagen. Die meisten Telefone werden mit einem Passwort geschützt, aber das reicht leider nicht aus. Manchmal können Telefone in einiger Entfernung gelöscht werden, aber auch das bietet keine hundertprozentige Sicherheit. Ohne Netzwerkverbindung ist es unmöglich. Glücklicherweise haben die neuesten Telefone eine Verschlüsselungsform, wodurch alle Daten automatisch verschlüsselt speichern.

 

Wie verhindern Sie diese und andere Datenlecks?

Sie sehen, dass das Unglück an jeder Ecke lauert. Die Konsequenzen können beachtlich sein. Ein Datenleck führt zu Imageschäden und mit dem Inkrafttreten der EU-DSGVO (GDPR) zu einer hohen Geldbuße. Deshalb müssen Sie alles Mögliche tun, um Datenlecks zu verhindern. Einerseits geht es um das Sicherheitsbewusstsein, das Sie bei Mitarbeitern schaffen müssen. In den meisten Fällen verschlüsselt ein Laptop automatisch alle gespeicherten Daten, aber wenn sich in der Laptoptasche ein Schreibblock befindet, handelt es sich hier immer noch um einen Leck. Darüberhinaus stellt der Austausch von Dateien über öffentliche Dienste ein weiters potentielles Risiko dar.

Anderseits ist es vernünftig, Software einzusetzen, die Mitarbeiter beim Treffen der richtigen Entscheidungen im Hintergrund aktiv unterstützt. Nur wenn diese Software den Benutzer nicht hindert und die Tätigkeiten nicht unnötig komplex macht, leistet sie einen Beitrag zu einer sicheren Arbeitsumgebung. Müssen Mitarbeiter aber zusätzliche Handlungen verrichten, wie die manuelle Verschlüsselung von Dateien, empfinden sie Sicherung als eine Last. Hierdurch sind Mitarbeiter eher dazu geneigt, diese Maßnahmen zu umgehen und auf die Suche nach Alternativen zu gehen.

Kommunizieren - das machen wir mit diversen Geräten und über mehrere Kanäle. Gute Sicherheitssoftware sichert deshalb verschiedene Kanäle wie E-Mail, Chat und den Versand von Dateien, mit dem Computer und dem Mobiltelefon. Daneben ist eine zusätzliche Authentifizierung wichtig, damit Nachrichten nur von dem beabsichtigten Empfänger gelesen werden können. Eine zusätzliche Identifikation, beispielsweise über SMS, ist hierfür eine gute Lösung . Wenn die eingesetzte Lösung zusätzlich die Möglichkeit bietet, E-Mail-Nachrichten nach einiger Zeit zu widerrufen, erfüllen Sie die Datenschutzregulierung, die Sie verpflichtet, Maßnahmen zu treffen, um Datenlecks zu verhindern und eventuelle Konsequenzen zu minimieren.

Ähnliche Blogs

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen