Am falschen Ende gespart kann teuer werden. In der heutigen digitalen Welt sind alle in unterschiedlichem Ausmaß von Datenpannen und Datenschutzverletzungen betroffen. Wer in der heutigen Zeit vorbeugende Maßnahmen ignoriert, verdient kein Mitleid.

Unternehmen sammeln und verarbeiten eine große Menge an personenbezogenen Daten. Wenn diese Daten in die falschen Hände geraten oder zerstört werden, kann dies gravierende Auswirkungen auf die Betroffenen und das Unternehmen haben.

Einen 100% Schutz gibt es nicht. Unser Ziel ist es, Ihnen ein Verständnis dafür zu vermitteln, wie Datenpannen und Datenschutzverletzungen vermindert werden können und welche Maßnahmen Sie ergreifen können, um sich selbst und Ihr Unternehmen besser zu schützen.

Was ist eigentlich eine Datenpanne?

Eine Datenpanne ist ein Vorfall, bei dem Unberechtigte Zugriff auf personenbezogene Daten erhalten oder personenbezogene Daten gegenüber unberechtigten Dritten offengelegt werden. Ein Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Die Verletzung des Schutzes personenbezogener Daten ist gemäß Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung, beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Welche Gefahren lauern bei einem Vorfall?

Stand 26. April 2023 gab es in diesem Jahr bereits über 90 öffentlich bekanntgewordene Vorfälle. Mit Sicherheit ist die Anzahl wesentlich höher, da viele Datenpannen nicht bekannt werden.

Hier eine kleine Auswahl:

Quelle: https://www.dsgvo-portal.de/sicherheitsvorfall-datenbank/

Ursache Nummer 1 - Der Mensch, das unachtsame Wesen

Es ist schwierig, eine vollständige Liste aller Datenpannen zu erstellen, die durch menschliches Versagen verursacht wurden, da viele Vorfälle möglicherweise nicht gemeldet wurden. Hier jedoch einige Beispiele für Datenpannen, die auf menschliches Versagen zurückzuführen sind:

- Versehentliches Veröffentlichen von Informationen:

Eine Person kann versehentlich personenbezogene Daten und/oder vertrauliche Informationen gegenüber Dritten offenlegen.

Beispiele aus der Praxis:

• E-Mail an einen falschen Empfänger durch die Nutzung einer falschen E-Mail-Adresse. Gleiches gilt für jegliche Kommunikationswege wie auch Fax, Post, SMS, Chat usw.
• Veröffentlichung durch einen offenen Verteiler (bei E-Mails CC statt BCC)
• Offenlegung von personenbezogenen Daten und vertraulichen Informationen durch die Nutzung von Online-Übersetzungsprogrammen wie z. B. der Google Translator
• Liegenlassen von Dokumenten an Kopiergeräten wie z. B. fehlerhafte Kopien. Dies betrifft auch die Papierkörbe, die meist neben den Kopiergeräten stehen.
• Keine gelebte Clear Desk Policy, wodurch Besucher oder Dienstleister (z. B. Reinigungspersonal) Einsicht in Dokumente erhalten oder Datenträger (CDs, USB-Sticks u.s.w.) entwenden können.
• Einsichtnahme von personenbezogenen Daten an Bildschirmen.

- Verlorene oder gestohlene Geräte oder Unterlagen:

Es kann passieren, dass ein Gerät wie ein Laptop, ein Smartphone oder ein externer Datenspeicher, wie ein USB-Stick usw., verloren geht oder gar gestohlen wurde. Ebenfalls werden gerne mal Dokumente im Zug vergessen. Auch hier können vertrauliche Informationen in die falschen Hände geraten.

- Phishing-Angriffe:

Die aktuell größte Gefahr besteht darin, dass Mitarbeitende auf Phishing-E-Mails hereinfallen, die dazu führen, dass Anmeldeinformationen oder andere vertrauliche Informationen preisgeben werden oder ein Ransomware-Angriff ausgelöst wird.

Auch steigt die Anzahl von E-Mail-Attacken, die Google-Translate-Dienste nutzen, um bösartige URLs zu verbergen. Diese neuen Angriffe werden von den meisten E-Mail-Filtertechnologien nicht erkannt und landen in den Postfächern der Nutzer.

- Ransomware-Angriffe:

Ransomware-Angreifer tarnen Phishing-E-Mails gerne als Benachrichtigungen von bekannten Versandunternehmen oder Banken, die über Lieferverzögerungen, betrügerische Käufe oder seltsame Kontobewegungen informieren. Diese E-Mails enthalten jedoch immer schädliche Dateien (PDFs, Bilder oder Office-Dokumente mit Marcos) oder Download-Links, die die Malware auf dem Endgerät des Nutzers installiert und den Angriff auslöst.

Präventive Maßnahmen zum Schutz Ihres Unternehmens

Technische Maßnahmen und organisatorische Maßnahmen sind zwei Arten von Schutzmaßnahmen im Datenschutz. Sie sind Teil des Konzepts der Datensicherheit und sollen sicherstellen, dass personenbezogene Daten angemessen geschützt sind.

Technische Maßnahmen beziehen sich auf die technischen Aspekte des Datenschutzes. Sie umfassen alle Maßnahmen, die in Hard- und Software integriert sind, um die Sicherheit personenbezogener Daten zu gewährleisten. Beispiele für technische Maßnahmen sind:

• Einsatz von geeigneten Firewalls und Anti Virus-Scannern.
• Halten Sie Ihre Systeme durch ein Patch-Management-System immer auf dem aktuellen Stand.
• Überlegen Sie, welche Zugriffe/Rechte Ihre Mitarbeiter wirklich benötigen und erstellen Sie ein Berechtigungskonzept.
• Schnelle Wiederherstellung Ihrer Daten durch ein intelligentes Backupkonzept.
• Überwachen der Systemaktivitäten durch aktives Monitoring und Logging, um Angriffe frühzeitig zu erkennen und Schwachstellen aufzudecken.
• Durchführen von Sicherheitsanalysen und Pentests, um Verwundbarkeiten aufzudecken und zu schließen, bevor andere sie finden.

Organisatorische Maßnahmen beziehen sich auf die organisatorischen Aspekte des Datenschutzes. Sie umfassen alle Maßnahmen, die darauf abzielen, die Sicherheit durch organisatorische Maßnahmen zu gewährleisten. Beispiele für organisatorische Maßnahmen sind:

• Unternehmen sollten sicherstellen, dass alle Mitarbeiter über die Risiken und Konsequenzen von Datenpannen informiert sind und regelmäßig Schulungen erhalten.
• Mit Awareness Maßnahmen das Problembewusstsein und das sichere Verhalten im alltäglichen Umgang mit IT-Systemen schulen.
• Erstellung von Datenschutzrichtlinien und Verfahrensanweisungen. Unternehmen sollten klare Richtlinien und Verfahren für die Datensicherheit entwickeln und implementieren, damit Mitarbeiter wissen, was von ihnen erwartet wird.
• Festlegung von Zugangsberechtigungen und Verantwortlichkeiten. Unternehmen sollten sicherstellen, dass Mitarbeiter nur auf die Informationen zugreifen können, die sie benötigen, um ihre Arbeit zu erledigen, und dass Zugriffsrechte regelmäßig überprüft werden.
• Durchführung von Datenschutz-Folgenabschätzungen.
• Kontrollen zur Einhaltung der Datenschutzrichtlinien.

Sowohl technische als auch organisatorische Maßnahmen sind notwendig, um ein angemessenes Maß an Sicherheit zu gewährleisten. Unternehmen sollten diese Maßnahmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie den aktuellen Bedrohungen und Anforderungen entsprechen.

Fazit

Neben der Herausforderung, sich im Unternehmen an die Datenschutzvorgaben zu halten und diese umzusetzen, kommt es unbeabsichtigt zu Verstößen oder Pannen, die vermeidbar sind. Teilweise kann mit einfachen Maßnahmen einem Vorfall entgegengewirkt werden, sodass dieser gar nicht erst eintritt bzw. eintreten kann. Aus diesem Grund sollten nicht nur technische Maßnahmen auf einem aktuellen Stand sein, auch die Mitarbeiter und Mitarbeiterinnen sollten regelmäßig an Sensibilisierungsmaßnahmen zu den Themen Datenschutz und IT-Sicherheit teilnehmen.

Die dacuro GmbH bietet neben Schulungen für Mitarbeiter auch spezielle Schulungen für Mitarbeiter der IT an, hat eine eigene e-learning Plattform und aktuell wieder neue Termine für ein intensives Zwei-Tages-Seminar im Portfolio. Für das Seminar im Mai gibt es noch zwei Restplätze. Sprechen Sie uns an!

Hier erfahren Sie alles über unsere verschiedenen Schulungsmöglichkeiten.