:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Mängel in der Praxis Datenträger im Zentrum von Datenpannen
Fehladressierte Schreiben, offene E-Mail-Verteiler und Rechner-Infektionen mit Schadsoftware gehören ebenso zu den häufigen Datenschutzverletzungen nach Datenschutz-Grundverordnung (DSGVO / GDPR) wie verlorene USB-Sticks. Dabei sind Diebstahl und Verlust von unverschlüsselten Datenträgern nicht die einzigen Datenschutzmängel, die die Aufsichtsbehörden beklagen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Das papierlose Büro ist ebenso wenig Realität geworden wie der Übergang der kompletten lokalen Datenverarbeitung in die Cloud. Trotzdem wird weitaus mehr über Cloud-Datenschutz diskutiert als über den Datenschutz im Umgang mit Datenträgern, zu denen im Datenschutz auch Papierdokumente gerechnet werden.
Nun könnte man sagen, Cloud Computing ist immer noch relativ neu, USB-Speicherstifte und externe Festplatten dagegen eher Klassiker, von Papier ganz zu schweigen. Das stimmt natürlich, doch man sollte deshalb nicht glauben, dass bei der Verwendung von Datenträgern kaum noch Datenrisiken herrschen, da ja alles gut bekannt ist.
Tatsächlich haben die Aufsichtsbehörden für den Datenschutz in Deutschland viele Mängel im Umgang mit USB-Stick & Co feststellen müssen. Wir geben einen Überblick, wo die größten Probleme liegen, die durchaus zu Sanktionen der Aufsichtsbehörden führen können, insbesondere dann, wenn sich die Daten auf den elektronischen Datenträgern nicht nach dem Stand der Technik verschlüsselt sind.
Aktuelles Problem: Datenträger im Home-Office
Wenn es um Datenträger geht, die verloren gehen oder gestohlen werden, denkt man zuerst an den mobilen Außendienst, der womöglich unverschlüsselte Kundendaten auf einem Speichermedium mit sich führt.
Die Zunahme an Tätigkeiten im Home-Office in Zeiten der Corona-Pandemie hat aber gezeigt, dass man auch an die betrieblichen Datenträger denken muss, die Mitarbeiterinnen und Mitarbeiter mit nach Hause nehmen. Ebenso besteht das erhöhte Risiko, dass Unternehmensdaten auf privaten Datenträgern gespeichert werden, um sie dort zusätzlich zu „sichern“.
Wie sicher die Datenträger aber im Home-Office wirklich sind, ist die Frage. Deshalb darf eine Datenschutzrichtlinie für das Home-Office und den Umgang mit Datenträgern unterwegs, im Home-Office und im Unternehmen nicht fehlen.
Denken muss man zum Beispiel an einen möglichen Einbruch daheim und damit ins Home-Office. Die Datenschutzaufsicht von NRW erklärte: „Auch Einrichtungen, die sich aufgrund nicht vorhandener Wertgegenstände nicht als lohnendes Ziel betrachten, können jederzeit Opfer von Einbrüchen werden. Umso wichtiger ist es, personenbezogene Daten nur so zu speichern, dass Einbrecher keinen Zugriff erlangen können. Eine konsequente Datenträgerverschlüsselung und das sichere Löschen sensibler Daten von unverschlüsselten Speichermedien kann hierzu beitragen.“
Beispiele aus der Praxis
Wie die Praxis zeigt, gibt es eine Reihe von Fehlern, die Unternehmen bei der Verwendung von Datenträgern begehen. Wie eine Statistik der Datenschutzaufsicht von Hessen zeigt, waren die häufigsten gemeldeten Datenpannen neben dem Fehlversand per Post, Fax und E-Mail (38,33 Prozent) und Hackerangriff, Phishing, Schadsoftware (10,81 Prozent) der Verlust/Diebstahl von Geräten, Datenträgern, Unterlagen (10,19 Prozent).
Fehlende Entsorgung von Datenträgern
Datenträger können auch in falsche Hände gelangen, wenn sie nicht gestohlen werden oder verloren gehen. Leider denken viele Unternehmen immer noch nicht an die richtige Entsorgung alter und (scheinbar) defekter Datenträger. Die Datenträger landen im Müll oder werden ohne jede Sicherheitsmaßnahme verkauft.
Der Landesdatenschutzbeauftragte von Baden-Württemberg erklärte hierzu: „Die DIN 66399 gilt seit 1. Oktober 2012 und noch immer haben einige verantwortliche Stellen die Entsorgungskonzepte und Bestandsverträge offenbar nicht angepasst, was ggf. zu entsprechenden Bußgeldverfahren führt. Besondere Fundstücke waren dabei mehrere Festplatten vom Flohmarkt, die weder verschlüsselt noch gelöscht waren und sensible Daten enthielten, sowie unzureichend geschredderte Bankunterlagen.“
Keine Dokumentation zur Entsorgung
Offensichtlich dürfen USB-Sticks und Festplatten ebenso wenig einfach in den Müll wie Papierdokumente, die personenbezogene Daten tragen. Aber auch bei der Beauftragung der Entsorgung von Festplatten kann es zu Datenschutz-Mängel kommen. So bemängelt eine Aufsichtsbehörde, dass in einem kontrollierten Fall weder dokumentiert wurde, ob die defekten Festplatten, die dem internen Incident-Management gemeldet wurden, auch in den dafür vorgesehenen Sammelbehältern innerhalb des geschützten Rechenzentrums für die Vernichtung deponiert wurden, noch lückenlos dokumentiert wurde, dass eben diese Festplatten tatsächlich jene waren, die nach der vorgegebenen Sicherheitsstufe durch das beauftragte Entsorgungsunternehmen vernichtet werden sollten.
Dokumentation darf bei der Entsorgung von Datenträgern nicht fehlen, ebenfalls ein Punkt für eine entsprechende Datenschutzrichtlinie.
Falsche Aufbewahrung von Datenträgern
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit zum Beispiel erläuterte explizit, wie Datenträger, die zum Beispiel Patientendaten vorhalten, aufzubewahren sind. So sollten Papierunterlagen und sonstige Datenträger vor Lagerungsschäden in einem Keller geschützt werden z. B. durch Regulierung der Feuchtigkeit (diese darf nicht zu hoch sein) und durch Regulierung der Temperatur (muss gleichbleibend sein).
Der Landesdatenschutzbeauftragte berichtete in diesem Zusammenhang von der starken Verschmutzung entsprechender Unterlagen nach einem Rohrbruch bei einer Arztpraxis.
Auch bei Datenträger-Pannen Meldepflicht prüfen
Es zeigt sich: Trotz steigender Nutzung von Cloud-Diensten bleiben Datenträger wichtig für den betrieblichen Einsatz. Wenn es hier zu Problemen im Datenschutz kommt, ob Verlust, Diebstahl, Zerstörung oder fehlerhafte Entsorgung, sollte man nicht vergessen, die Meldepflicht von Datenschutzverletzungen nach DSGVO zu überprüfen. Aus gutem Grund führen die Aufsichtsbehörden in ihren Online-Meldeformularen für Datenpannen explizit Vorfälle mit Datenträgern in der Auswahl auf.
Der Sächsische Datenschutzbeauftragte schreibt dazu: „Neben den Datenschutzverletzungen durch Verlust von Unterlagen oder Datenträgern aufgrund kriminellen Eingriffs (z.B. durch Diebstähle) ist eine häufige Fallgruppe auch der Verlust durch anderweitige Umstände, wie z.B. das Verlieren von USB-Sticks, das Verlorengehen von Unterlagen bei Umzügen oder sogar der Verlust infolge eines Brandes. Das Risiko für die Rechte und Freiheiten natürlicher Personen kann sich hier – ausgenommen der Brand – in einer möglichen Kenntnisnahme der personenbezogenen Daten durch unberechtigte Dritte realisieren, aber auch in einer möglicherweise nicht mehr bestehenden Verfügbarkeit der personenbezogenen Daten, wenn entsprechende Sicherungsmaßnahmen fehlen.“
Ganz wichtig ist dabei, dass die Meldepflicht nach DSGVO davon abhängen kann, ob die Daten auf den Datenträgern geschützt waren oder nicht, zum Beispiel, ob es eine Verschlüsselung der Daten nach dem Stand der Technik gab.
(ID:46883696)
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")