Während sich die Medien heute häufig auf Sicherheitsvorfälle und Datenschutzverletzungen konzentrieren, die auf externe Bedrohungen wie Cyberangriffe zurückzuführen sind, können interne Datenschutzverletzungen ein ebenso hohes Risiko für Unternehmen darstellen. Das Risiko eines möglichen internen Ereignisses ist sehr hoch, da es gängige Praxis ist, dass viele interne Beteiligte Zugang zu verschiedenen persönlichen Daten haben, die von ihrer Organisation verwaltet werden.
Wie können Sie die Risiken verringern?
Die Zahl der Datenschutzverletzungen nimmt zu, und auch die internen Sicherheitsvorfälle nehmen zu. Seit der Umsetzung der DSGVO am 25. Mai 2018 wurden in den 28 EU-Mitgliedstaaten über 160.000 Datenschutzverletzungen registriert. Allein in den Niederlanden wurden 2019 von der niederländischen Datenschutzbehörde (AP) fast 27.000 Meldungen über Datenschutzverletzungen herausgegeben, ein beispielloser Anstieg um 29 Prozent im Vergleich zum Vorjahr.
Während Fälle von Hacking, Phishing oder Malware zunahmen, stieg auch die Zahl der Verstöße gegen interne Daten. Jüngsten Schätzungen zufolge wurden in den Niederlanden im Jahr 2018 erstaunliche 63 Prozent der erfassten Datenschutzverletzungen darauf zurückgeführt, dass Daten an den falschen Empfänger gesendet wurden.
Es wird interne Datenschutzverletzungen geben
Angesichts der riesigen Mengen personenbezogener Daten, die von Unternehmen verarbeitet werden, und der strengen Zugangskontrollen müssen die Beschäftigten sehr aufmerksam mit den vertraulichen Daten umgehen, mit denen sie zu tun haben, und über die erforderlichen Fähigkeiten und Kenntnisse verfügen, um sie zu schützen. Ist dies nicht der Fall, besteht ein hohes Risiko einer internen Datenpanne.
Sehen wir uns einige der häufigsten Unfallursachen im Bereich der inneren Sicherheit an.
Eine Kombination aus externem Risiko und menschlichem Versagen.
Eine Kombination aus einer externen Bedrohung und einem menschlichen Fehler kann auch zu einer internen Datenverletzung führen. In der Regel werden Phishing-Angriffe durchgeführt, indem einer Person eine E-Mail geschickt wird, die sie dazu verleitet, diese zu öffnen und auf einen Anhang in der E-Mail zu klicken oder diesen zu installieren. Sobald der Empfänger dies tut, öffnet sich ein Schlupfloch, das zum Durchsickern und Diebstahl vertraulicher Informationen führen kann. Zwischen Januar und Juni 2019 waren 5 % der dem ICO gemeldeten Datenschutzverletzungen das Ergebnis der Bereitstellung von Daten als Reaktion auf externe Bedrohungen, hauptsächlich Phishing-Angriffe.
Man könnte behaupten, dass Verstöße gegen interne Daten unvermeidlich sind. Bei den großen Mengen personenbezogener Daten, mit denen Organisationen umgehen, ist Raum für menschliches Versagen, insbesondere in Verbindung mit der zunehmenden Zahl externer Bedrohungen.
Daher ist es wichtig, dass das Unternehmen praktische Maßnahmen ergreift, um die Wahrscheinlichkeit einer internen Datenschutzverletzung zu minimieren und sicherzustellen, dass im Falle einer solchen Verletzung angemessen reagiert wird.
Einführung der erforderlichen Schutzmaßnahmen
Glücklicherweise können einige realistische Maßnahmen dazu beitragen, die Wahrscheinlichkeit einer internen Datenschutzverletzung zu verringern und so eine mögliche teure Geldstrafe und einen Rufschaden zu vermeiden.
Identifizierung und Abschwächung von Bedrohungen
Eine dieser wichtigsten Maßnahmen ist das Erkennen von Stellen in den Verfahren Ihrer Organisation, die zu einem Verstoß führen könnten. Durch eine Zusammenfassung aller personenbezogenen Daten, die das Unternehmen verwaltet, warum und wie die Daten verwaltet werden und wer die wichtigsten internen und externen Interessengruppen sind, wird das Data Mapping genau dabei helfen.
Es wird auch dringend empfohlen, Folgenabschätzungen zur Datensicherheit (Data Security Impact Assessments, DFA) durchzuführen. Mit Hilfe von DFA können Risiken im Voraus ermittelt und geeignete Abhilfemaßnahmen ergriffen werden.
~ Spread Consciousness
Die Investition in Datensicherheitsschulungen für Mitarbeiter im gesamten Unternehmen kann einen erheblichen Einfluss auf die Entwicklung einer datenschutzbewussten Gemeinschaft haben, was wiederum dazu führen kann, dass sowohl das Risiko einer internen Datenschutzverletzung minimiert wird als auch sichergestellt wird, dass die Mitarbeiter wissen, was im Falle einer Datenschutzverletzung zu tun ist.
Achten Sie darauf, dass nicht nur die Verfahren kurz und bündig erklärt werden, sondern auch der Zweck hinter den Methoden. Delegieren Sie dann für den Fall einer Datenpanne die Aufgaben und Verantwortlichkeiten und halten Sie den Prozess fest.
Stärkung der Verfahren zur Authentifizierung
Die Multi-Faktor-Authentifizierung kann eine fantastische Waffe innerhalb einer Organisation sein, um die Datensicherheit zu verbessern. Durch die Aktivierung der Multi-Faktor-Authentifizierung wird die Infrastruktur des Unternehmens um eine weitere Schutzebene für die von den Mitarbeitern genutzten Anwendungen erweitert, da eine zusätzliche Art der Benutzeridentifizierung erforderlich ist, um Zugang zu den Anwendungen zu erhalten.
Auch wenn es relativ einfach erscheint, ist es eine wichtige Maßnahme, die nicht vernachlässigt werden sollte, um die Bedeutung der Passworthygiene zu vermitteln. Die Mitarbeiter werden ständig daran erinnert, in den Anwendungen unterschiedliche Passwörter zu verwenden und diese regelmäßig zu aktualisieren.
Protokolle für eine mögliche Datenverletzung einrichten
Angenommen, eine Datenschutzverletzung tritt auf, wenn die Organisation, die personenbezogene Daten verarbeitet, von der Verletzung Kenntnis erhält. In diesem Fall muss sie die zuständige Datenschutzbehörde innerhalb von 72 Stunden über die Verletzung informieren (in Übereinstimmung mit Artikel 33 der DSGVO), es sei denn, die Verletzung personenbezogener Daten führt wahrscheinlich nicht zu einer Gefahr für die Rechte und Freiheiten von Personen.
Der Prozess kann angesichts des zu engen Zeitrahmens von 72 Stunden und der Komplexität der DSGVO schnell kompliziert und unvorhersehbar werden, wenn nicht bereits angemessene Verfahren vorhanden sind. Prüfen Sie in einem ersten Schritt, welche Schritte erforderlich sind, um Warnungen vor Datenschutzverletzungen zu verwalten, und beginnen Sie dann mit der Planung des Protokolls.
Angesichts der zunehmenden externen Risiken von Angriffen und Hacks, die für Schlagzeilen sorgen, ist das Potenzial einer internen Sicherheitsverletzung ernst zu nehmen. Auch wenn manche eine Handlung wie das Versenden einer E-Mail an den falschen Empfänger für einen leichten Fehler halten, sollte man sich über die möglichen Auswirkungen im Klaren sein, die dies haben könnte.
Es wird sich bei der Durchsetzung der DSGVO enorm auszahlen, wenn Sie die notwendigen Maßnahmen ergreifen, um andere intern über den Wert realistischer Datenschutzmaßnahmen zu informieren und daran zu erinnern.