Schwachstellen, die häufig zu Datenschutzvorfällen führen

Schwachstellen, die häufig zu Datenschutzvorfällen führen

Mit zunehmender digitaler Verfügbarkeit und der allgemeinen Digitalisierung selbst steigt auch die Gefahr von Cyber-Angriffen. Wenn dann bei einem erfolgreichen Cyber-Angriff personenbezogene Daten betroffen sind, handelt es sich dann nicht nur um einen IT-Sicherheits-, sondern auch um einen Datenschutzvorfall. Wer in der Welt des Datenschutzes oder der IT-Sicherheit unterwegs ist, kennt diese Schwachstellen, die häufig zu Datenschutzvorfällen führen. Welche sind diese Schwachstellen? Wie kann man das Risiko durch sie möglichst verringern? Im Folgenden lesen Sie dazu mehr.

Datenschutzvorfall

Wann immer es zu einer unbefugten Verarbeitung oder einer Verletzung des Schutzes von personenbezogenen Daten kommt, sprechen wir von einem Datenschutzvorfall. Mehr zur Definition können Sie übrigens gern in diesem Beitrag erfahren. –

Beispiele für Datenschutzvorfälle

Wie kann so ein Datenschutzvorfall nun aber tatsächlich aussehen? Schauen wir uns also ein paar Beispiele an:

Schwachstelle 1: Druck, Ablenkung o. Ä. beim E-Mail-Versand

Ein Beschäftigter des Verantwortlichen bereitet eine E-Mail vor. Möglicherweise steht der Beschäftigte unter Zeitdruck und klickt vor dem Versand soeben alle notwendigen Empfänger an und klickt auf „OK“ und „Senden“. Die Empfänger können alle Empfänger-E-Mail-Adressen sehen. Natürlich handelt es sich hierbei nicht immer zwangsläufig um einen Datenschutzvorfall. Ein Datenschutzvorfall liegt beispielsweise nicht unbedingt vor, wenn ein Verantwortlicher eine Informations-E-Mail an alle Personen in einem Unternehmen sendet. Wenn der Verantwortlicher dabei personenbezogene Daten sendet, dann eventuell solche, die für alle relevant sind. Des Weiteren wird es dabei so sein, dass es sich um die Firmen-E-Mail-Adresse handelt, die sich Kollegen mindestens herleiten können, wenn sie diese nicht sowieso schon kennen.

Anders verhält es sich, wenn es sich bei den E-Mail-Adressen um private Adressen handelt. Dabei möchten Betroffene eventuell nicht, dass ihre Adresse den anderen Parteien bekannt wird. Dieser Sachverhalt wird eventuell noch gravierender, wenn es sich dabei um das Bekanntwerden sensibler Daten handelt.

Lösungsvorschlag

E-Mails mit offenen Adressverteilern sind nicht immer erwünscht. Um solch einen Datenschutzvorfall zu vermeiden, kann die organisatorische Maßnahme helfen, Beschäftigte dazu anzuhalten, vor dem Versenden die E-Mail zu überprüfen. Dazu gehört es dann auch, sicherzugehen, dass der E-Mail-Verteiler nur offen ist, wenn es auch so sein darf oder soll. Um keine Unsicherheit bei den Beschäftigten zu erzeugen, ist es möglicherweise auch hilfreich, Beispielszenarien zu kommunizieren, wann E-Mail-Adressen im BCC-Feld einzutragen sind.

Schwachstelle 2: Schwache Passwörter

Während viele Passwörter von den Notizzetteln an beispielsweise Bildschirmrändern verschwunden sind, erstellen Nutzer weiterhin leicht zu erratende Passwörter. Passwörter enthalten dann eventuell Namen, Wörter, Jahreszahlen o. Ä. Startet ein Angreifer eventuell vorher einen Phishing-Angriff, nutzt er solche Hinweise eventuell beim Erraten des Passwortes. Es gibt zahlreiche Listen, die die am häufigsten verwendeten Passwörter aufzählen, wie z. B. diese. Nicht selten ist auch die Variante, ein kompliziertes Passwort zu erstellen und dann beispielsweise eine Ziffer für verschiedene Portale, Plattformen, Programme etc. hinzuzufügen, um „unterschiedliche“ Passwörter zu erstellen. Schlimmer noch: Dieses eine Passwort wird mehrmals verwendet.

Lösungsvorschlag

In diesem Beitrag erläutern wir, was bei der Erstellung eines sicheren Passwortes zu beachten ist. – Zusammengefasst sollten Verantwortliche darauf achten, dass Nutzer Passwörter erstellen, die mindestens die folgenden Kategorien erfüllen:

1)  Passwortlänge von mindestens acht Zeichen,

2)  Verwendung von Groß- und Kleinbuchstaben,

3)  Nutzung von Sonderzeichen,

4)  Hinzufügen von Ziffern.

Schwachstelle 3: Voreiliges Handeln beim Öffnen von E-Mail-Anhängen

Ein Beschäftigter ist dabei, gewissenhaft an seinen täglichen Aufgaben zu arbeiten. Ein Nebenprodukt dabei ist eventuell das Empfangen von E-Mails. E-Mails können Dateien enthalten. Diese Anhänge können harmlos sein und einfach nur die gewünschte Information liefern oder ergänzend wirken, sie können aber auch Schad-Software, Trojaner oder Viren enthalten. Möglicherweise denkt ein Beschäftigter sich gar nichts Böses beim Öffnen solcher Anhänge. Manchmal dagegen zieht das Öffnen schwerwiegende Konsequenzen nach sich.

Lösungsvorschlag

Zum einen gibt es die technische Maßnahme, im Voraus E-Mails auszusortieren, die Spam-E-Mails sein könnten. Diese kommen dann beim eigentlichen Adressaten gar nicht an. Da sich nicht alle E-Mails im Voraus aussortieren lassen, kann es zusätzlich hilfreich sein, die Beschäftigten diesbezüglich zu sensibilisieren. Kommt ihnen eine E-Mail dann seltsam vor oder sind sie sich nicht sicher, überprüfen diese u. a. die E-Mail-Adresse des Absenders, entdecken eventuelle Grammatikfehler, für den Absender oder in der Sprache untypische Formulierungen etc. Je nach deren Einschätzung, wird die E-Mail dann wirksam vernichtet oder die IT-Abteilung untersucht sie näher.

Schwachstelle 4: Nicht ausreichender Schutz bei mobilen Geräten

USB-Sticks, externe Festplatten, Smartphones, Laptops etc. Bei all diesen Geräten handelt es sich um mobile Geräte, auf denen sich mitunter sensible Informationen befinden können. Jedes dieser Objekte kann auch mal verloren gehen oder gestohlen werden. Für den Fall, dass es tatsächlich mal zu einem Verlust eines solchen Gerätes kommt und um dabei einen unbefugten Zugang zu den Daten zu vermeiden, hat ein Verantwortlicher technische und organisatorische Maßnahmen zu ergreifen.

Lösungsvorschlag

Die erste Maßnahme, die jeder Verantwortliche vornehmen sollte, ist der Schutz des jeweiligen Gerätes mithilfe eines möglichst sicheren Passwortes. Eine weitere Barriere kann darin bestehen, dass die Daten auf einem Laufwerk gespeichert sind, welches mit einem separaten Passwort geschützt ist. Die Daten könnten auch in verschlüsselter Form gespeichert sein. Wenn möglich, sollte ein Verantwortlicher auch dafür sorgen, dass er bei Bedarf, die auf dem jeweiligen Gerät befindlichen Daten löschen kann, ohne physischen Zugang zu dem Gerät zu haben.

Fazit

Für Unternehmen, Schulen, Arztpraxen, Behörden, Vereine etc. können Datenschutzvorfälle schwerwiegende Folgen haben. Umso ärgerlicher ist es dann oft, wenn sie mit einfachen Maßnahmen vermeidbar gewesen wären. Die oben genannten Vorschläge zur Verringerung eines erfolgreichen Angriffes auf die oben genannten beispielhaften Schwachstellen können Verantwortlichen helfen, die Gefahr von Bußgeldern, Schadensersatzansprüchen oder Abmahnungen möglichst zu verringern. Ganz nebenbei ist dies dann auch ein Element zur Einhaltung der Vorgaben der DSGVO. Gern beraten und unterstützen wir Sie hierbei und auch bei den anderen zu beachtenden Aspekten eines funktionierenden Datenschutz-Management-Systems. Kontaktieren Sie uns für weitere Informationen gern heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.