Warum die Nutzung von E-Mails laut DSGVO große Gefahren birgt

2017 gab es über 10.000 Datenpannen. Mehr als die Hälfte dieser Datenpannen wurde durch menschliches Handeln verursacht.


Sobald es ein Datenleck oder einen Hackerangriff gibt, können Kriminelle etwas mit den Daten anfangen. Das machen sie im Falle großer Datenmengen fast nie in einem Zug. Und sogar dann, wenn die Hacker selbst nichts mit Ihren Daten machen, besteht die Gefahr, dass dies andere tun.


Es gibt mittlerweile viele Beispiele von Datenpannen mit personenbezogenen Daten im großen Stil, wie zum Beispiel der große Hackerangriff auf den Bundestag in Berlin, wo mehrere Politiker betroffen waren. Eine Datenpanne kann natürlich auch in Ihrem Unternehmen von einem eigenen Mitarbeiter verursacht werden.


Beispiel:

Thea arbeitet in einem großen regionalen Krankenhaus. Sie übermittelt jeden Monat eine Datenbank, damit eine externe Partei einen Managementbericht erstellen kann. In dieser Datenbank befinden sich allerhand personenbezogene Daten und weitere sensible Informationen. Dies können zum Beispiel Namen sein, aber auch diagnosebezogene Fallpauschalen und Überweisungen. Um diese große und vor allem sensible Datenmenge zu verschicken, stehen Thea mehrere Optionen zur Wahl. Sie kann die Daten in kleinen Paketen per ‚normaler‘ E-Mail versenden, einen USB-Stick per Post verschicken oder eine öffentliche Online-Lösung für große Dateien nutzen.


Und dann geht es schief. Thea entscheidet sich dafür, die Daten von Outlook aus per E-Mail zu verschicken, so wie sie es immer macht. Sie tippt ‚RO‘ und das E-Mail-Programm vervollständigt den Namen. Sie klickt auf ‚Senden‘ und die E-Mail ist raus. Die Daten werden jedoch nicht an Robert, einen externen Partner, verschickt, sondern an Rosi vom Pflegedienst, mit der Thea auch viel mailt.


Tausende sensible Daten sind ungeschützt einsehbar. Der Schaden ist nicht zu überblicken. Durch die Wahl des falschen Empfängers hat Thea jemandem ‚unrechtmäßig‘ Zugriff erteilt. Alle betroffenen Personen müssen informiert werden und der IT-Sicherheitsbeauftragte muss die Datenpanne der Datenschutzaufsichtsbehörde melden.


An der Tagesordnung

Solche Datenpannen sind in vielen Unternehmen an der Tagesordnung, kommen jedoch längst nicht immer ans Licht. Diesen Datenpannen liegen meistens zwei Ursachen zugrunde. Einerseits sind sich die Mitarbeiter der Folgen ihres Handelns nicht bewusst. Andererseits verfügen viele Organisationen nicht über Systeme, mit denen sie E-Mails und Dateien sicher verschicken können.


Fünf Gründe, warum Datenpannen per E-Mail nahezu unvermeidlich sind

Die E-Mail ist eines der am häufigsten genutzten Kommunikationsmittel in Unternehmen und gleichzeitig auch eines der am fehleranfälligsten. Aber wie lässt sich erklären, dass es so oft zu Sicherheitspannen per E-Mail kommt? Lesen Sie im Folgenden mehr über die fünf häufigsten Gründe.


1. Die E-Mail ist nicht standardmäßig gut geschützt

In vielen Unternehmen werden E-Mails nicht standardmäßig geschützt und werden alle E-Mails unverschlüsselt verschickt. Dies bedeutet, dass jeder, der die E-Mail erhält, diese auch lesen kann. Also auch jemand, der die E-Mail fälschlicherweise erhalten hat.

Auch Anhänge sind oft nicht geschützt. Und das obwohl Arbeitsmappen in Excel, Word-Dokumente und PDF-Dateien leicht mit Passwörtern zu verschlüsseln sind. Zur Sicherheit sollten Nutzer die Passwörter dem Empfänger nicht per E-Mail schicken, sondern auf einem anderen Weg (zum Beispiel per SMS) übermitteln. In der Praxis macht das fast niemand, wahrscheinlich, weil das extra Zeit kostet.


2. Die E-Mail ist nicht nachverfolgbar

Beispiel: Sie möchten eine E-Mail an Ihren Kollegen Jansen schicken. Nachdem Sie auf den Senden-Button geklickt haben, merken Sie, dass Sie die E-Mail aus Versehen an jemand anderen geschickt haben, der zwar Jansen heißt, aber in einem anderen Unternehmen arbeitet. Ab diesem Moment kommt der Stein ins Rollen. Es kann niemand mehr nachvollziehen, was mit den Daten in der E-Mail passiert. Wird diese E-Mail ungelesen gelöscht oder wird sie weitergeleitet?

In der Praxis ist das ein großes Problem. Sobald Sie nicht mehr herausbekommen können, wer die Daten eingesehen hat, haben Sie keine Kontrolle mehr über die Informationen. Die Möglichkeit eines Rückrufs einer fälschlicherweise verschickten E-Mail gibt es oft nicht. Geschweige denn technische Möglichkeiten, um sich einen Überblick über den Datenstrom zu verschaffen, der in Gang gesetzt wurde.


3. Einer internen E-Mail wird weniger Beachtung geschenkt

Auch eine Datenpanne innerhalb Ihres Unternehmens kann ziemlich schnell passieren. Einige Mitarbeiter beraten sich zu einem Behandlungsplan für einen Patienten. Das gesamte Unternehmen wird in CC gesetzt und jeder weiß, was dem Patienten fehlt.

Das Risiko, dass die sensiblen Informationen in falsche Hände geraten, ist bei der internen E-Mail-Nutzung geringer. Leider macht das Gesetz hier keine Ausnahme: Eine E-Mail mit sensiblen Informationen müssen Sie immer sicher verschicken, auch wenn die E-Mail im eigenen Unternehmen bleibt.


4. Standard-E-Mail-Postfächer sind leicht zu hacken

Es kann einen Minister oder die Demokratische Partei in den USA treffen, warum sollte es Ihnen also nicht passieren? Es wird ein E-Mail-Account gehackt. Oft passiert das, weil die Sicherheitsmaßnahmen nicht angemessen sind. Der E-Mail-Account des niederländischen Ministers Kamp wurde mit Hilfe von Phishing gehackt. Manchmal erhalten Cyberkriminelle Zugang zum E-Mail-Account, da dieser ein schwaches Passwort hat oder weil keine Zwei-Faktor-Authentifizierung genutzt wird. Sie möchten nicht, dass jemand, der sich unrechtmäßig Zugang zum Posteingang verschafft, auch sofort Zugang zu sämtlichen Informationen hat, die sich in diesem Posteingang befinden.


Spoofing

Es gibt auch andere Methoden, mit denen böswillige Angreifer E-Mails missbrauchen. Ein Beispiel dafür ist Spoofing. Ein Angreifer imitiert die E-Mail-Adresse eines Mitarbeiters Ihres Unternehmens und verschickt E-Mails von dieser Adresse aus. Der Kollege der Finanzbuchhaltung erhält eine Rechnung von einem Vorstandsmitglied und bezahlt diese ordnungsgemäß. In Wirklichkeit wurde diese Rechnung von einem Kriminellen eingereicht, der auch Empfänger des Geldes ist. Mit den richtigen Sicherheitsmaßnahmen lassen sich solche Angriffe vermeiden.


5. Mitarbeiter sind sich der Bedeutung des sicheren Mailens nicht bewusst

Der Durchschnittsmitarbeiter erhält jeden Tag Dutzende von Mails. E-Mail-Verkehr ist Teil des Alltags. Das heißt, Mitarbeiter kommunizieren unbedeutende Angelegenheiten (wie zum Beispiel die Organisation einer Geburtstagstorte für einen Kollegen) auf demselben Weg wie Kundendaten oder eine neue Einkaufsvereinbarung. Die Mitarbeiter sind sich nicht bewusst, dass sie sensible Informationen anders behandeln müssen als andere E-Mails. Nahezu alle Datenpannen im Zusammenhang mit E-Mails liegen hierin begründet. Im Grunde ist der Mensch das schwächste Glied und die Ursache fast aller Datenpannen per E-Mail.


Sollten Sie E-Mails noch einen Platz in Ihrem Unternehmen einräumen?

Wenn man das liest, könnte man fast den Eindruck gewinnen, E-Mails müssten sofort aus dem Unternehmen verbannt werden. Das ist sicher nicht der Fall. Im Hinblick auf die DSGVO ist es jedoch äußerst wichtig, sich darüber Gedanken zu machen, wie die E-Mail-Nutzung innerhalb Ihres Unternehmens und von Ihrem Unternehmen aus sicherer gestalten werden kann.


Technische Tipps für einen sicheren Umgang mit E-Mails

  • Versehen Sie E-Mails standardmäßig mit einer guten Verschlüsselung. Auf diese Weise sorgen Sie dafür, dass die E-Mails nur von Ihnen und dem Kontakt, mit dem Sie kommunizieren, gelesen werden können.
  • Sorgen Sie dafür, dass nur die beabsichtigten Empfänger Zugang zu den Informationen haben.
  • Setzen Sie Software ein, die Sie warnt, sobald eine E-Mail an den falschen Empfänger verschickt werden könnte.
  • Bieten Sie die Möglichkeit an, eine Nachricht zurückzurufen, wenn etwas schiefgegangen ist.

Ist Ihr Unternehmen schon DSGVO-konform? Machen Sie den Check

Erfüllt Ihr Unternehmen bereits alle Anforderungen, die die DGSVO stellt? Sie haben Zweifel daran, ob Sie - in juristischer Hinsicht - alles korrekt geregelt haben? Oder haben Sie eigentlich keine Ahnung? Machen Sie jetzt den Datenschutz-Check. Dies ist ein kostenloser Service von Privacy Zeker (Partner von ZIVVER). Bei einem Telefontermin mit einem unserer Datenschutzexperten von Privacy Zeker erfahren Sie, ob Ihr Unternehmen schon DSGVO-konform ist oder welchen Punkten Sie sich noch widmen müssen.

Anhand unserer Checkliste können Sie sich selbst schon einen groben Überblick darüber verschaffen, ob Ihr Unternehmen die DGSVO erfüllt.

Hier finden Sie die GDPR Checklist

Ähnliche Blogs

Das Universitätsklinikum Frankfurt (UKF) entscheidet sich für Zivver als langfristigen Partner für mehr Sicherheit in der digitalen Kommunikation

Das Universitätsklinikum Frankfurt hat sich für eine Verlängerung der Partnerschaft mit Zivver entschieden, um Sicherheit und Datenschutz in der digitalen Kommunikation zu erhöhen. Insbesondere die Pandemie-Situation hat den Bedarf an sicheren digitalen Lösungen für die Patientenversorgung erhöht. Mit einer Plattform für gesicherte Kommunikation hilft Zivver dem […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
shutterstock_219503161 (1)

Was ist der Unterschied zwischen personenbezogenen Daten und sensiblen Informationen?

Die DSGVO (GDPR) ist ein brandaktuelles Thema. Aufgrund der zahlreichen Berichte in den Medien ranken sich viele Mythen darum. So lautet ein oft gehörtes Argument: Aber dabei handelt es sich doch um sensible Informationen und diese zu teilen ist nicht mehr erlaubt laut der DSGVO? Um zu verstehen, was dieses Gesetz vorschreibt und worin die Gründe für das Gesetz liegen, […]

Weiterlesen
man-holding-ipad-1200x600

Fünf Trends, denen man im Jahr der DSGVO besondere Aufmerksamkeit schenken sollte

Es ist Ihnen sicher nicht entgangen: Die GDPR (General Data Protection Regulation) bzw. DSGVO (Datenschutz-Grundverordnung) ist in Kraft. Es gibt strengere Richtlinien zum Schutz von personenbezogenen Daten. Die Sanktionen für Datenschutzverstöße wurden drastisch erhöht. Dass sich dieses Jahr im Bereich des Schutzes personenbezogener Daten viel verändern wird, steht […]

Weiterlesen