Warum müssen personenbezogene Daten geschützt werden?

Das IT-System der irischen Gesundheitsbehörde HSE musste am 14. Mai 2021 komplett heruntergefahren werden.

Ärzte hatten keinen Zugang zu Patientenakten mehr, lebensnotwendige Termine konnten nicht eingehalten werden und persönlich Daten sowohl von Patienten als auch Angestellten fielen den Angreifern in die Hände.

Was mit einer harmlos aussehenden heruntergeladenen Exceltabelle begann, stellte sich als bisher gravierendster Ransomware-Angriff auf eine staatliche Gesundheitsbehörde heraus.

Und das inmitten der Corona-Pandemie.

Einige dieser persönlichen Daten wurden später von den Angreifern veröffentlicht, um den Druck auf die irische Behörde zur Zahlung der Erpressersumme zu erhöhen.

Über welche Daten reden wir hier genau?

Was sind personenbezogene Daten?

Was rechtlich unter personenbezogene Daten fällt, definieren das Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzgrundverordnung (DSGVO – darauf kommen wir im übernächsten Kapitel noch zu sprechen).

Generell sind es Informationen über natürliche Personen, die Rückschlüsse auf die Identität eines Menschen erlauben.

Beispiele für personenbezogene Daten sind:

• Name, Alter, Wohn- als auch E-Mail-Adresse
• Physische Merkmale wie Geschlecht, Hautfarbe, Statur, biometrische und genetische Informationen
• Eindeutig personenbezogene administrative Kennnummern wie Renten- und Sozialversicherungsnummer, Krankenkasse, Personalausweisnummer und Ähnliches
• Religiöse, ethnische, politische, sexuelle oder weltanschauliche Meinungen und Orientierungen
• Eigentumsverhältnisse, z.B. Fahrzeug-, Grund- und Immobilienbesitz
• Kundendaten und Informationen über individuelles Kaufverhalten
• Digitale Spuren, die sich im Internet und aus der Nutzung von Onlinediensten ergeben (z.B. IP-Adresse, Standortbestimmungen, Passwörter, Formulare usw.)
• Medizinische und Gesundheitsdaten, aber auch biometrische und genetische Informationen

Merke: Alle Informationen, die sich direkt einem individuellen Menschen zuordnen lassen, sind personenbezogene Daten.

Warum wird Datenschutz im Unternehmen immer wichtiger?

Wie am Beispiel der irischen Gesundheitsbehörde gesehen, kann ein Datenverlust weitreichende, unangenehme und sogar lebensbedrohliche Konsequenzen für die betroffenen Personen haben.

Deshalb sind Unternehmen und Organisationen verpflichtet, personenbezogene Daten vor der unerlaubten Verarbeitung, Nutzung oder Weitergabe zu schützen.

Für Firmen gilt das auf mehreren Ebenen:

• Wird das Grundrecht der Arbeitskräfte auf Datenschutz verletzt oder lax gehandhabt, kann es zu juristischen Auseinandersetzungen kommen oder die Mitarbeiter suchen sich gleich eine andere Arbeitsstelle.
• Ähnlich sieht das mit den Kundendaten aus. Professioneller Datenschutz ist auch eine Art von Kundenbindung bzw. ein überzeugendes Argument zur Kundenakquise.
• Sicherheitslücken bergen immer ein Ausfallrisiko des IT-Systems und gehen mit einem enormen Imageschaden einher (siehe Beispiel Kaspersky weiter unten).

Was eine (selbst potenzielle) Datenschwachstelle für ein Unternehmen bedeutet, hat die russische Viren- und Sicherheitsfirma Kaspersky erfahren müssen.

Als Folge des russischen Angriffs auf die Ukraine hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 15.3.22 vor dem Gebrauch der Kaspersky Antivirensoftware gewarnt (diese enthält u.a. auch ein Passwortmanager, um sensible Daten zu schützen).

Binnen weniger Tage brach der Umsatz bei Kaspersky dramatisch ein. Schon die theoretische Möglichkeit einer Datenlücke reichte aus, dass die Nutzer deutschlandweit auf andere Produkte umstiegen.

Dieser Vorfall zeigt auch, dass sich die Sensibilität gegenüber realen oder potenziellen Datenverlusten in Deutschland drastisch erhöht hat.

Auch deshalb, weil skrupellose Gruppen Informationen immer häufiger zum Vorteil eines schnellen Profits missbrauchen.

Welche Möglichkeiten gibt es, um sensible Daten zu schützen?

Unternehmen dürfen personenbezogene Daten nur dann erheben und verarbeiten, wenn der Mitarbeiter dem ausdrücklich zugestimmt hat bzw., wenn eine gesetzliche Vorschrift eine solche Nutzung gestattet.

Sind die Daten erst einmal erhoben, muss jedes Unternehmen den ordnungsgemäßen Umgang sicherstellen.

Entsprechende Möglichkeiten zum Schutz sensibler Daten listet die EU-Datenschutzgrundverordnung (Art. 32 DSGVO).

Pseudonymisierung persönlicher Daten

Nach der DSGVO ist Pseudonymisierung „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, …”

Ein Beispiel dafür wäre eine Nutzer-ID. Dabei wird dem Datensatz einer Person eine Kennnummer zugeordnet. Dritte könnten anhand dieser Nummer keine Rückschlüsse auf die reale Person ziehen.

Passwörter und Verschlüsselungen

Nutzer tendieren dazu, eher schwache Passwörter zu wählen, die sich aber leicht merken lassen.

Damit ist die Datensicherheit nicht mehr gewährleistet, vor allem, wenn die Anwender diese Passwörter sowohl für die Arbeit und als auch für andere Onlinedienste benutzen.

Da ist der Datenschutzbeauftragte oder das Management eines Unternehmens gefragt, für sichere und einzigartige Passwörter zu sorgen.

Hilfreiche Analyse-Tools sind der Schlüssel

Zum Aufspüren von passwortrelevanten Schwachstellen im Active Directory helfen Programme wie der kostenlose Specops Password Auditor.

Die Prüfung identifiziert schwache, doppelte und potenziell angreifbare Passwörter. IT-Administratoren sehen die Ergebnisse der gründlichen Prüfung in einem aussagekräftigen und gut aufbereiteten Report innerhalb weniger Minuten.

Einen Schritt weiter geht Specops Password Policy. Das Programm verhindert die Nutzung schwacher oder bereits kompromittierter Passwörter und ermöglicht es, starke Passwortrichtlinien, die den aktualisierten Empfehlungen von Sicherheitsbehörden wie NIST, NCSC und BSI folgen in mittleren und großen Unternehmen oder Organisationen durchzusetzen.

Selbst für Firmen mit bestehenden Passwortrichtlinien ist dieses Programm interessant, da auf starke Passphrasen bei gleichzeitiger Blockierung kompromittierter Kennwörter gesetzt wird.

Wie unsichere, temporäre und angreifbare Passwörter gezielt ausgenutzt werden, zeigt die folgende Fallstudie.

Fallstudie Kalix, Schweden

Ähnlich wie im Beispiel aus Irland legte Ransomware das IT-System der Gemeinde Kalix im Dezember 2021 komplett lahm. Zugang fanden die Erpresser über Konten, die nur mit schwachen Passwörtern geschützt waren.

Dadurch waren plötzlich 1400 Mitarbeiter ausgesperrt, kommunale Dienste nicht mehr verfügbar und Gehälter konnten nicht korrekt bezahlt werden.

Innerhalb von drei Wochen gelang es der Gemeinde alle Passwörter zurückzusetzen (mit Hilfe des uReset-Programms) und eine stark verbesserte IT-Struktur einzurichten.

Mit dieser neuen Passwortsicherheit wäre es den Angreifern nicht gelungen, das System auszuschalten.

Um Schaden abzuwenden und Firmen und Organisationen beim Aufspüren potenzieller passwortrelevanter Schwachstellen zu helfen, wurde der Password Auditor entwickelt. Er steht jedermann kostenlos als Download zur Verfügung.

Fazit: Mit Lösungen von Specops Software personenbezogene Daten schützen

Es ist kein Zufall, dass sich digitale Angriffe, Datenklau und unsachgemäßer Umgang mit sensiblen Informationen in den vergangenen zwei Pandemiejahren deutlich verstärkt haben.

Die hohe Anzahl von Homeoffice-Mitarbeitern stellt erhöhte Anforderungen an die IT-Systeme und die Passwortsicherheit.

Daher unterstützen Tools von Specops Software IT-Administratoren, die Verarbeitung und Weitergabe von sensiblen personenbezogenen Daten richtlinienkonform und so sicher wie möglich zu erledigen.

Das verhindert Systemausfälle, Datenlecks, Imageschaden und mögliche juristische Streitereien.

Mitarbeiter und Kunden erwarten einen verantwortungsvollen Umgang mit ihren persönlichen Daten – es liegt an jedem Unternehmen, dies in vollem Umfang zu gewährleisten.