Eine Datenpanne ist die absichtliche oder unabsichtliche Offenlegung von sensitiven oder privaten/vertraulichen Informationen gegenüber einem nicht vertrauenswürdigen Umfeld. ISO/IEC 27040 definiert eine Datenpanne als: Beeinträchtigung der Sicherheit, die zur unbeabsichtigten oder rechtswidrigen Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder den Zugriff auf geschützte Daten führt, die übertragen, gespeichert oder anderweitig verarbeitet werden. (Wikipedia).
Während z.B. eBay, JP Morgan Chase, Yahoo und viele andere Unternehmen regelmässig direkten Angriffen auf ihre Server mit Millionen von persönlichen Datensätzen ausgesetzt sind, passieren Datenpannen auch täglich in der ungeschützten und unsicheren E-Mail-Korrespondenz. Ein Beispiel: Laut der Financial Times trat beim Londoner Online-Investment-Management-Unternehmen Nutmeg am 1. September 2015 ein E-Mail-Systemfehler auf. Das Unternehmen sagte gegenüber der Quelle, dass ein Fehler im Code zum Versand von E-Mails mit Investitions- und Finanzinformationen von über 30 Konten an falsche Empfänger führte. Während Bankdaten nicht in der Nachricht enthalten waren, wurden Namen, persönliche Adressen, Investitionsdetails und Informationen zu Vermögen und Risikofreudigkeit preisgegeben. In der Folge waren die persönlichen Informationen von 32 Kunden öffentlich geworden.
Das Massachusetts Department of Public Health steht nach der potenziellen Preisgabe von Informationen mehrerer tausend Patienten in der Kritik, wie Health IT Security berichtete. Es stellte sich heraus, dass das Departement die Patientendaten-Datenschutzbestimmungen verletzt hatte, indem E-Mails mit persönlichen Identifizierungsinformationen von Teilnehmenden am staatlichen Marihuana-Abgabeprogramm versendet wurden. Das E-Mail-Datenleck betraf die personenbezogenen Daten von Patienten, einschliesslich der vollständigen Namen und den Registrierungsnummern für das Programm. Den Patienten wurden E-Mails zugesendet, deren Betreffzeile die Information enthielt, dass sie im medizinischen Marihuana-Programm aufgenommen wurden. Nach der Entdeckung der Datenpanne wurde die Betreffzeile überarbeitet und die Patienteninformationen wurden daraus entfernt. Die Behörde teilte ausserdem mit, dass sie künftig „best practices“ beim Versand von E-Mails im Zusammenhang mit dem medizinischen Marihuana-Programm befolgen wolle.
Beim E-Mail-Versand wird immer noch häufig das Simple Mail Transfer Protocol (SMTP) eingesetzt. SMTP verschlüsselt den Text von E-Mails nicht, so dass abgefangene E-Mails leicht gelesen werden können, solange keine Verschlüsselung verwendet wird.
Auch wenn Unternehmen ihre internen Netzwerke gesichert haben, können dennoch Datenpannen durch die E-Mail-Korrespondenz eintreten. Ein Haftungsausschluss (Disclaimer) kann am Ende einer E-Mail zwar zur Warnung an nicht befugte Leser eingesetzt werden, die Wirksamkeit solcher Disclaimer ist aber realistisch betrachtet sehr gering. Wenn vertrauliche Daten einmal in die falschen Hände geraten sind, kann dies nicht mehr rückgängig gemacht werden! Andere Möglichkeiten zum Schutz der persönlichen E-Mail-Kommunikation beinhalten die Aktivierung von TLS und die Verwendung eines verschlüsselnden E-Mail-Dienstes wie z.B. RMail. Die Auto-TLS Funktion von RMail erkennt, ob eine TLS-gesicherte Verbindung für den gesamten Übertragungsweg möglich ist und liefert die Nachricht über eine sichere Verbindung an den Empfänger. Sollte TLS nicht über den gesamten Übertragungsweg verfügbar sein, wird die Original-E-Mail in ein sicheres, AES 256bit verschlüsseltes PDF verpackt und erst dann versandt.
Es liegt in der Verantwortung der Unternehmen, die Compliance zu den geltenden Datenschutz-Vorschriften zu dokumentieren und auditfest nachzuweisen. Reduzieren Sie Ihre Angriffsflächen insbesondere beim Versand privater, persönlicher oder vertraulicher Informationen.
RMail bietet ein Lösungspaket mit Auto-TLS-Verschlüsselung, Zustellungsnachweis (Compliance Record) mit Zeitstempeln und ermöglicht die sichere Übertragung grosser Dateien via E-Mail (bis zu 1 GB).
Es steht viel auf dem Spiel; die im April 2016 in Kraft getretene DSGVO (Datenschutz-Grundverordnung) muss bis zum 25. Mai 2018 vollständig umgesetzt sein, ansonsten drohen Geldstrafen bis zu 20 Millionen Euro oder 4% der Geschäftseinnahmen. Es ist also höchste Zeit, tätig zu werden!
1. http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de: Datenschutz-Grundverordnung