Wie funktioniert Verschlüsselung und was wird geschützt?
Auch wenn es uns kaum bewusst ist: Verschlüsselung ist längst Teil unseres Alltags. Onlineshopping und -banking würden ohne Verschlüsselung nicht mehr funktionieren. Zu Recht – sorgt sie doch für die Sicherheit unserer Konten und sensibler, personenbezogener Daten. Im Unternehmen sorgen Verschlüsselungslösungen dafür, dass Know-how und intellektuelles Eigentum ebenso nicht in fremde Hände geraten wie Daten von Kunden, Geschäftspartnern und Mitarbeitern.
Weiterlesen
Know-how und intellektuelles Eigentum sind nicht nur die Produkte und Dienstleistungen, die Ihr Unternehmen herstellt. Auch Vertriebsmethoden und Unternehmensabläufe ebenso wie Geschäfts- und Marketingpläne für das nächste Jahr lassen sich durch Kriminelle zu Geld machen und sind damit in höchstem Maße schützenswert.
Personenbezogene Daten sind generell alle Daten, die Ihr Unternehmen über Kunden, Geschäftspartner und Mitarbeiter sammelt und verarbeitet. Entsprechend der europäischen Datenschutzgrundverordnung DSGVO sind Unternehmen aufgefordert, diese Daten umfassend zu schützen. .
DSGVO und Verschlüsselung
Die DSGVO legt fest, welche Arten von Daten als personenbezogene Daten gelten. Dazu gehören der vollständige Name, die E-Mail-Adresse, Telefonnummern, Kontonummern, Fingerabdrücke und Stimmen natürlicher Personen. Seit dem 25. Mai 2018 gilt die DSGVO in allen europäischen Staaten und legt fest, dass entsprechende Daten durch Verschlüsselung geschützt werden müssen.
Stellen Sie sich vor, einer Ihrer Mitarbeiter verliert einen USB-Stick mit einer – unverschlüsselten – Liste Ihrer Kunden. Die DSGVO verpflichtet Sie, alle Personen auf der Liste über den Vorfall zu informieren – mit den entsprechenden Folgen für die Reputation Ihres Unternehmens. Wären die Daten jedoch verschlüsselt gewesen, hätte Sie dies von dieser Informationspflicht entbunden.
Was müssen Sie tun, wenn personenbezogene Daten nach außen gelangt sind?
Verpflichtung zur Meldung an die Aufsichtsbehörde :
Bei Verletzung des Schutzes personenbezogener Daten haben Sie dies der zuständigen Aufsichtsbehörde zu melden. Dies gilt sowohl für große Datenlecks als auch für kleinere Datenschutzvorfälle. Wird im Unternehmen zum Beispiel ein Brief versehentlich an den falschen Empfänger versendet, sodass dieser Einblick in nicht für ihn bestimmte personenbezogene Daten erhält, muss dies gemeldet werden.
Verpflichtung zur Meldung innerhalb von 72 Stunden
Der Vorfall muss der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nachdem er Ihnen bekannt wurde, gemeldet werden – also nicht 72 Stunden, nachdem er tatsächlich stattgefunden hat. Erfolgt die Meldung nicht innerhalb dieser Frist, wird eine Begründung für die Verzögerung gefordert.
Verpflichtung zur Benachrichtigung betroffener Personen
Bei schweren Fällen von Datenschutzverletzungen sind Unternehmen verpflichtet, die Personen zu informieren, deren Daten an Dritte gelangt sind. Dies ist jedoch nicht nötig, wenn Sie vor dem Vorfall technische und organisatorische Sicherheitsmaßnahmen getroffen haben, die die Daten für nicht autorisierte Personen unlesbar machen. „Technische Maßnahmen“ meint hier nichts anderes als die Verschlüsselung der Daten.
Mögliche Strafen im Rahmen der DSGVO
Wird ein meldepflichtiger Vorfall der zuständigen Behörde nicht gemeldet, kann die Strafe bis zu 10 Millionen Euro, oder – für Unternehmen – 2% des Jahresumsatzes des vorherigen Jahres betragen. Zu diesem direkten finanziellen Verlust können zusätzliche Strafen ausgesprochen werden, die weitere finanzielle Verluste zur Folge haben:
- zeitweise oder dauerhafte Einschränkung der Erlaubnis, personenbezogene Daten zu verarbeiten
- Verpflichtung zur Löschung personenbezogener Daten
Für Unternehmen würde das bedeuten, Kundendaten entweder zeitweise oder dauerhaft nicht nutzen zu können – mit den entsprechenden unternehmerischen Verlusten.
Jedes Unternehmen kann betroffen sein
Manche Unternehmen glauben noch immer, dass sie kein lohnenswertes Ziel für Cyberattacken seien. Ein teils fataler Trugschluss. Den Analysten von IDC zufolge betreffen mehr als 70% aller Sicherheitsvorfälle durch Cyberkriminelle kleine und mittelständische Unternehmen. Ein kleiner Trost: Wurden keine personenbezogenen Daten in Mitleidenschaft gezogen, muss der Vorfall nicht gemeldet werden.
Das führt aber auch dazu, dass viele kleinere Unternehmen nicht wissen, wie häufig Cyberangriffe tatsächlich sind. Aus Angst vor Reputationsverlusten tun sie sich entsprechend schwer, über Datenschutzvorfälle im eigenen Unternehmen zu sprechen.
Die DGSVO ist nun seit etwas über 3 Jahren in Kraft. Wir beobachten aktuell, dass die Behörden noch immer daran arbeiten, sich mit den neuen Regelungen vertraut zu machen. Es ist davon auszugehen, dass danach schärfere Kontrollen und Strafen folgen werden.
Eins zeigt sich jedoch schon jetzt: Kooperieren die Unternehmen mit den Behörden und handelt es sich nicht gerade um weltweit agierende Tech-Giganten, fallen die Strafen im Allgemeinen verhältnismäßig gering aus.
Wir empfehlen Unternehmen daher, den Regularien nach bestem Wissen und Gewissen zu folgen, umfassend mit den Aufsichtsbehörden zu kooperieren und ihre Mitarbeiter so gewissenhaft wie möglich im Umgang mit personenbezogenen Daten zu schulen.
ESET encryption solutions
ESET Endpoint
Encryption
ESET Endpoint Encryption protects sensitive data on corporate devices by means of encryption. It provides encryption of files and folders, emails and attachments, removable media, virtual disks as well as the entire disk. It is easy to use, offers full remote control of encryption keys and requires no server for deployment. Get a 30-day free trial and try ESET Endpoint Encryption in your company.
