Wenn ein Unternehmen gehackt wird, ist der eigentliche Ärger, wenn personenbezogene Daten (PII) kompromittiert werden. Das ist der Moment, in dem sich Kunden und Klienten wirklich aufregen und Compliance-Auditoren in Aufregung geraten.
Also, was sind personenbezogene Daten? Es ist ein bisschen vage, aber die Chancen stehen gut, dass Sie es wissen, wenn Sie es sehen (oder verlieren!).
Nach Angaben der U.S. General Services Administration (GSA) "Die Definition von personenbezogenen Daten ist nicht an eine einzelne Kategorie von Informationen oder Technologien gebunden. Vielmehr bedarf es einer Einzelfallprüfung des konkreten Risikos, dass eine Person identifiziert werden kann. Bei der Durchführung dieser Bewertung ist es wichtig, dass eine Behörde, die anerkennt, dass nicht-personenbezogene Daten zu personenbezogenen Daten werden können, wenn zusätzliche Informationen öffentlich zugänglich gemacht werden – in jedem Medium und aus jeder Quelle –, die in Kombination mit anderen verfügbaren Informationen zur Identifizierung einer Person verwendet werden könnten."
TechTarget hat seine eigene Einstellung zu personenbezogenen Daten. "Beliebige Informationen, die verwendet werden können, um eine Person von einer anderen zu unterscheiden und die zuvor zur Deanonymisierung verwendet werden können. Anonyme Daten gelten als personenbezogene Daten", erklärte die Website. "Personenbezogene Daten können allein oder in Verbindung mit anderen relevanten Daten zur Identifizierung einer Person verwendet werden und können direkte Identifikatoren, wie z. B. Passdaten, enthalten, die eine Person eindeutig identifizieren können, oder Quasi-Identifikatoren, wie z. B. die Rasse, die mit anderen Quasi-Identifikatoren, wie dem Geburtsdatum, kombiniert werden können, um eine Person erfolgreich zu erkennen."
Personenbezogene Daten sind nicht gleich personenbezogene Daten
Nicht alle personenbezogenen Daten sind sensibel oder privat, aber alle sensiblen und privaten personenbezogenen Daten müssen geschützt werden. "Personenbezogene Daten können als sensibel oder nicht sensibel eingestuft werden. Bei nicht sensiblen personenbezogenen Daten handelt es sich um Informationen, die unverschlüsselt übertragen werden können, ohne dass die Person dadurch Schaden nimmt. Nicht sensible personenbezogene Daten können leicht aus öffentlichen Aufzeichnungen, Telefonbüchern, Unternehmensverzeichnissen und Websites entnommen werden. Dazu gehören Informationen wie Postleitzahl, Rasse, Geschlecht, Geburtsdatum und Religion - Informationen, die für sich genommen nicht dazu verwendet werden können, die Identität einer Person zu ermitteln", erklärt TechTarget. "Bei sensiblen personenbezogenen Daten handelt es sich um Informationen, deren Offenlegung im Falle einer Datenverletzung zu einer Schädigung der betreffenden Person führen könnte. Für diese Art von sensiblen Daten gelten oft gesetzliche, vertragliche oder ethische Anforderungen für eine eingeschränkte Offenlegung.
Leitfaden zum Schutz personenbezogener Daten
PII-Regeln, nach denen man leben sollte
Der Schutz personenbezogener Daten ist nicht nur richtig, sondern hält Sie auch auf der richtigen Seite des Gesetzes. "Während Sie eine Bestandsaufnahme der Daten in Ihren Dateien vornehmen, sollten Sie sich auch mit dem Gesetz auseinandersetzen. Gesetze wie der Gramm-Leach-Bliley Act, der Fair Credit Reporting Act und der Federal Trade Commission Act können Sie dazu verpflichten, angemessene Sicherheitsvorkehrungen für sensible Daten zu treffen", heißt es im Leitfaden zum Schutz personenbezogener Daten. "Wirksame Datensicherheit beginnt damit, dass Sie feststellen, welche Informationen Sie haben und wer Zugang zu ihnen hat. Um Sicherheitslücken zu erkennen, ist es wichtig zu verstehen, wie personenbezogene Daten in Ihr Unternehmen gelangen, es durchlaufen und verlassen und wer Zugang zu ihnen hat - oder haben könnte. Erst wenn man weiß, wie die Daten fließen, kann man die besten Möglichkeiten zum Schutz der Daten ermitteln."
Verschlüsselung ist unerlässlich
Die Federal Trade Commission legt großen Wert auf Verschlüsselung. "Verschlüsseln Sie vertrauliche Informationen, die Sie über öffentliche Netze (wie das Internet) an Dritte senden, und verschlüsseln Sie vertrauliche Informationen, die auf Ihrem Computernetzwerk, Ihren Laptops oder den von Ihren Mitarbeitern verwendeten tragbaren Speichergeräten gespeichert sind. Ziehen Sie auch die Verschlüsselung von E-Mail-Übertragungen innerhalb Ihres Unternehmens in Betracht", rät die FTC.
Personenbezogene Daten in Datensätzen und Dateien
Bei personenbezogenen Daten denkt man oft an Datenbanken, aber sie werden auch oft in Dateien wie Excel-Arbeitsblättern und sogar Word-Dokumenten gespeichert. Tatsächlich befinden sich die meisten sensiblen Daten Ihres Unternehmens, einschließlich personenbezogener Daten, in Dokumenten wie Microsoft Office-Dokumenten. "Sensible Daten werden oft in sorgfältig geschützten Systemen mit Zugangskontrollen und Nutzungsbeschränkungen gespeichert. Sobald jedoch Daten aus diesen Systemen exportiert werden - manchmal aus berechtigten geschäftlichen Gründen, wie z. B. zur Kundensegmentierung oder zur Durchführung einer Marketingkampagne -, kann die Kontrolle über die Daten leicht verloren gehen. Der Versand sensibler Daten in E-Mail-Nachrichten oder als Anhänge führt zu einer größeren Angriffsfläche für sensible Daten und vergrößert somit die Bedrohungslage, wenn ein E-Mail-Konto oder ein Cloud-Speicher-Konto kompromittiert wird", so Osterman Research in seinem Bericht Was Entscheidungsträger gegen den Datenschutz tun können.
Die FTC wies auf die Bedeutung der Verschlüsselung von personenbezogenen Daten hin, unabhängig davon, wo sie sich befinden. Wenn es um Dateien geht, ist es ebenso wichtig, sie im Ruhezustand und während der Übertragung zu verschlüsseln, d. h. wenn die Dateien übertragen werden.
TechTarget stimmt dem zu. "Sensible personenbezogene Daten sollten daher während der Übertragung und im Ruhezustand verschlüsselt werden. Zu diesen Informationen gehören biometrische Daten, medizinische Informationen, die unter die Gesetze des Health Insurance Portability and Accountability Act (HIPAA) fallen, persönlich identifizierbare Finanzinformationen (PIFI) und eindeutige Identifikatoren wie Reisepass- oder Sozialversicherungsnummern", warnte die Website.
Warum personenbezogene Daten sicher sein müssen
"Der Schutz personenbezogener Daten ist für den Schutz der Privatsphäre, den Datenschutz, den Informationsschutz und die Informationssicherheit unerlässlich. Mit nur einigen wenigen persönlichen Informationen einer Person können Diebe falsche Konten im Namen der Person einrichten, Schulden machen, einen gefälschten Reisepass erstellen oder die Identität einer Person an einen Kriminellen verkaufen", so TechTarget.
Verstöße gegen personenbezogene Daten kosten viel Geld
Der Bericht "2020 Cost of a Data Breach Report" schätzt, dass die durchschnittlichen Kosten für den Verlust personenbezogener Daten oder anderer Daten weltweit bei 3,86 Millionen Dollar liegen, in den Vereinigten Staaten sogar bei 8,64 Millionen Dollar. Der Bericht stellte außerdem fest, dass personenbezogene Daten mit 150 US-Dollar die höchsten Kosten pro verlorenem Datensatz verursachen, während die Gesundheitsbranche mit 7,13 Millionen US-Dollar die höchsten durchschnittlichen Kosten für eine Datenschutzverletzung aufweist. Außerdem dauerte es im Durchschnitt 280 Tage, um eine Datenschutzverletzung zu erkennen und einzudämmen.
FTP besser als E-Mail, aber nicht annähernd gut genug, um personenbezogene Daten zu übertragen
FTP-Dateiübertragungslösungen (kurz für File Transfer Protocol) ist bei der sicheren Übertragung von Dateien der E-Mail weit überlegen, hat aber Grenzen, die kein Unternehmen, das mit personenbezogenen Daten zu tun hat, hinnehmen sollte.
Das Hauptproblem ist das Fehlen einer Methode zur Verschlüsselung während des Datentransports, was bedeutet, dass Ihre sensiblen Gesundheitsdaten während des Transports abgefangen werden könnten. FTP-Lösungen, die auf manueller Verarbeitung beruhen und keine nativen Mittel zur Automatisierung und Integration in Geschäftsprozesse bieten, sind nicht skalierbar. Wenn Sie automatisieren und integrieren wollen, müssen Sie auf Ihre internen Skript-Jockeys zurückgreifen, um individuelle Skripte zu schreiben.
In der Zwischenzeit bleiben die auf einem FTP-Server gespeicherten Dateien dort, bis sie jemand wieder entfernt. Dies ist eine große Belastung für Kontoverwalter, die für die einmalige Einrichtung, Löschung oder Änderungsverwaltung sorgen müssen. Schließlich fehlen FTP-Lösungen die großartigen Funktionen von Managed File Transfer, einschließlich Konnektivität, Verwaltung, Automatisierung und Berichterstattung.
Die Antwort: Managed File Transfer (MFT)
Wie verschlüsseln, verfolgen und authentifizieren Sie also Dateiübertragungsbenutzer? Verwaltete Dateiübertragung (MFT), So geht's!
Da MFT all diese Dinge kann, ist es die perfekte Lösung, um alle oder die meisten der in Ihrem Unternehmen üblichen Übertragungen von Dateien zu ersetzen, mit Ausnahme des Ad-hoc-Versands von nicht sensiblem Material.
Noch besser: MFT ist eine echte IT-Lösung, die eine einzige, sichere, verwaltbare und automatisierte Lösung bietet. Über die MFT-Konsole haben IT-Profis alle Aktivitäten im Blick und können so das Risiko von schief gelaufenen Dateiübertragungen drastisch reduzieren oder in solchen Fällen Antworten geben.
Diese einzige Lösung für die sichere Dateiübertragung und gemeinsame Nutzung sensibler Dateien hat mehrere Vorteile. Endbenutzer und IT-Abteilung sind produktiver, da regelmäßig geplante Dateiübertragungen automatisiert werden, so dass die Benutzer keinen Finger rühren müssen. Außerdem haben sie die Gewissheit, dass die Dateien ordnungsgemäß verwaltet werden.
Weitere Informationen über die sichere Dateiübertragung finden Sie im Bericht What Decision-Makers Can Do About Data Protection von Osterman Research.