Thought Leadership
E-Mails sind nach wie vor das beliebteste Kommunikationsmittel, um mit Kunden, Lieferanten, Klienten, Partnern und Interessenten in Kontakt zu treten. Sie sind allerdings auch das beliebteste Mittel von Angreifern, um in Systeme einzudringen und Daten zu kompromittieren. Dass sich Sicherheitsexperten dahingehend Gedanken machen, geschieht offensichtlich nicht ohne Grund. Aber Datenschutzverstoß ist nicht gleich Datenschutzverstoß.
Laut einer aktuellen Umfrage wurden 92 % der Unternehmen im Jahr 2022 Opfer erfolgreicher Phishing-Angriffe, während 91 % der Befragten Datenverluste bei E-Mails einräumen mussten. Die drei wichtigsten Ursachen:
- Risikoreiches Verhalten von Mitarbeitenden, z. B. das Senden von Versenden von E-Mails und Dokumenten mit vertraulichen Informationen an die falschen Empfänger.
- Datenexfiltration zu böswilligen Zwecken oder zur persönlichen Bereicherung (z. B. die sattsam bekannte Datenmitnahme beim Jobwechsel).
Bei derartig häufigen Vorfällen in Zusammenhang mit E-Mails und den daraus resultierenden Datenverlusten stellt sich die Frage, wann solche Ereignisse gemeldet werden sollten. Sehen wir uns zunächst die maßgeblichen Vorschriften an.
Wann man einen Datenschutzverstoß melden sollte
Gemäß der DSGVO (und anderen Datenschutzvorschriften) müssen alle Unternehmen bestimmte Arten von Verstößen gegen den Schutz personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die jeweilige nationale Datenschutzbehörde melden. Ein Verstoß gegen den Schutz personenbezogener Daten ist ein Sicherheitsverstoß, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf personenbezogene Daten führt.
Verstöße gegen den Schutz personenbezogener Daten können den Zugriff durch unbefugte Dritte einschließen sowie vorsätzliche oder versehentliche Handlungen, den Versand personenbezogener Daten an den falschen Empfänger, verlorene oder gestohlene Geräte mit personenbezogenen Daten und die Veränderung personenbezogener Daten ohne Zustimmung. Bei der Prüfung, ob ein Verstoß gegen den Schutz personenbezogener Daten vorliegt, sollten Firmen drei Faktoren berücksichtigen: Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity, Availability, kurz CIA).
Aber auch wenn es schon zu einem Datenschutzverstoß gekommen ist, muss nicht zwangsläufig jeder Fall gemeldet werden. Bei einem Verstoß gegen den Schutz personenbezogener Daten gilt es, die Kombination aus Schweregrad und Wahrscheinlichkeit der möglichen negativen Folgen zu berücksichtigen, einschließlich des daraus resultierenden Risikos für die Rechte und Freiheiten der Betroffenen. Zu den nachteiligen Auswirkungen und Risiken zählen beispielsweise seelische und körperliche Belastungen, finanzielle Verluste, Rufschädigung und andere wirtschaftliche oder soziale Nachteile für den Einzelnen.
Wenn Schlümpfe die falsche E-Mail verschicken…
Die E-Mail ist ein so beliebtes Kommunikationsmittel, dass sie längst in die Popkultur eingeflossen ist. Das reicht von „e-m@il für Dich“ mit Tom Hanks und Meg Ryan bis hin zum Film „Die Schlümpfe“, in dem Schlumpf Clumsy den angehängten Marketingtext verändert, bevor Neil Patrick Harris ihn an seinen Chef mailt. Neben diesen eher unterhaltsamen Auswirkungen haben E-Mail-Fehler potenziell schwerwiegende Auswirkungen auf Datensicherheit, Datenschutz und selbst die Politik. Im Jahr 2019 schickten die Mitarbeiter des Weißen Hauses beispielsweise die von Präsident Trump zu einem dringenden Thema vorgetragenen Argumente nicht an ihre Verbündeten, sondern an die politischen Gegner der Demokratischen Partei. Im Vereinigten Königreich verschickte der Vater von Boris Johnson eine vertrauliche E-Mail unter anderem sogar an die BBC, was fast zu einem diplomatischen Zwischenfall führte.
Bei Milliarden täglich versendeter E-Mails, kommen zwangsläufig Fehler vor und verursachen Peinlichkeiten, geschäftliche Ineffizienz und Datenschutzverstöße. Es sind einige so häufige wie vermeidbare E-Mail-Fehler, die zu meldepflichtigen Datenschutzverstößen führen können:
1. Der falsche Empfänger
E-Mail-Programme wie Outlook bieten automatische Ausfüllvorschläge, um die Arbeit effizienter zu gestalten. Allerdings passiert es umso leichter, dass ein falscher Empfänger eingefügt wird. So passiert in einer Universität im Vereinigten Königreich, wo die persönlichen medizinischen Daten eines Studenten fälschlicherweise an den gesamten Campus verschickt wurden. Einer der unbeabsichtigten Empfänger antwortete den Universitätsbehörden: „Wie problematisch wird es jetzt sein, Hilfe zu bekommen, wenn etwas so Persönliches im Posteingang von einigen hundert Leuten landen kann?“ Noch schlimmer ist ein Fall, bei dem die australische Registered Organisations Commission (ROC) versehentlich vertrauliche Informationen weitergegeben hat, einschließlich der Identität eines Hinweisgebers. Ein Mitarbeiter hatte versehentlich einen falschen Buchstaben eingegeben, als er eine E-Mail an jemanden mit demselben Nachnamen, aber einem anderen Anfangsbuchstaben hatte senden wollen.
2. „To“ oder „cc anstelle von „bcc“ verwenden
„To“ oder „cc“ anstelle von „bcc“ zu verwenden ist ebenfalls ein typischer E-Mail-bezogener Fehler, der es immer wieder in die Schlagzeilen schafft. Der Fehler tritt auf, wenn eine E-Mail an mehrere Empfänger verfasst wird, die zwar alle die darin enthaltenen Informationen bekommen, die E-Mail-Adressen der Empfänger jedoch vertraulich gehalten werden sollen. Anstatt die E-Mail-Adressen der Empfänger in das bcc-Feld zu setzen, um sie vor den anderen Empfängern zu verbergen, werden sie ungewollt den übrigen Empfängern in den To- oder Cc-Feldern angezeigt. Häufig werden nicht nur die E-Mail-Adressen offengelegt, sondern auch sensible Daten an unbeabsichtigte Empfänger weitergegeben.
So wurden beispielsweise die persönlichen Daten von über 1.000 australischen Bürgern offengelegt, weil ein Mitarbeiter des australischen Außen- und Handelsministeriums (DFAT) es versäumt hatte, bcc zu verwenden. In einem anderen Beispiel wurden die Daten von fast 2.000 Personen einer Klinik für Geschlechtsidentität in London veröffentlicht, weil die Empfänger versehentlich im cc-Feld landeten.
3. Falsches Dokument angehängt
Anhänge können bei E-Mail-bezogenen Fehlern zu erheblichen Compliance-Problemen führen. Dies ist zwar nicht einer der häufigsten Fehler. Aber das Versenden des falschen Dokuments an einen Empfänger, der versehentliche Verbleib von sensiblen Informationen in einer Excel-Tabellen oder der Versand von Metadaten machen diesen Fehler besonders risikoträchtig was die Offenlegung sensibler Daten anbelangt.
E-Mail-Fehler mögen zunächst harmlos wirken, aber die falsche E-Mail in den falschen Händen kann für ein Unternehmen schwerwiegende Konsequenzen nach sich ziehen.
Weitere Informationen:
Lösungen wie etwa SafeSend haben das Ziel, für mehr Datenschutz und E-Mail-Sicherheit zu sorgen. In diesem Fall handelt es sich um ein Add-on für Microsoft Outlook, das den Sender auffordert, alle internen und externen Empfänger zu bestätigen. Gleichzeitig weist die Lösung darauf hin, wenn in Anhängen vertrauliche Informationen enthalten sind. So ist sichergestellt, dass die beabsichtigte Verteilerliste auch tatsächlich die richtige ist. Hier können Administratoren weitere Funktionen konfigurieren, damit E-Mail-Daten nicht aufgrund der automatischen Vervollständigungsfunktion nach außen dringen. Das gewährleistet eine höhere E-Mail-Sicherheit und Compliance mit DSGVO, HIPAA und weiteren Vorschriften.
Autor: Oliver Patterson, VIPRE Security Group
vipre.com/de/
