Data Breach: Definition und wie man sich verteidigt
Databreach und DSGVO: Was tun bei Datenverletzung
Data Breach, eine Datenverletzung, ist eine wachsende Bedrohung in der digitalen Welt. Dieser Artikel wird untersuchen, was das bedeutet, seine potenziellen Folgen und wie Unternehmen und Einzelpersonen sich schützen können.
Was ist ein Datenverstoß?
Ein Datenverstoß ist ein Sicherheitsvorfall, bei dem sensible, geschützte oder private Informationen offenbart, kopiert, übertragen, gestohlen oder von einer unbefugten Person verwendet werden: Die Europäische Verordnung definiert es genau als “jede Verletzung der Sicherheit, die versehentlich oder rechtswidrig die Zerstörung, den Verlust, die Änderung, die unbefugte Offenlegung oder den Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten mit sich bringt”. Es kann auf verschiedene Weisen geschehen, einschließlich versehentlichem Verlust, Diebstahl, Hackerangriffen oder Unternehmensbetrug.
Data Breach, wann tritt er auf?
Ein Data Breach tritt auf, wenn personenbezogene Daten kompromittiert werden und ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen. Ein solcher Vorfall kann die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten betreffen. Es ist die Verantwortung des Dateninhabers, den Vorfall sofort zu überprüfen und die möglichen Auswirkungen auf die betroffenen Personen zu bewerten. Wenn diese Auswirkungen bestätigt werden, haben wir es mit einem Datenverstoß zu tun.
Idealerweise sollte dies nicht geschehen, da der Dateninhaber nach der DSGVO verpflichtet ist, angemessene technische und organisatorische Sicherheitsmaßnahmen zu ergreifen, die in der Lage sind, jegliche Vorfälle zu verhindern, deren korrekte Bestimmung durch eine vorbeugende Risikobewertung erfolgen sollte. Falls jedoch diese Maßnahmen nicht ausreichen, kann ein Datenverstoß auftreten.
Beispiele für Data Breach
Es gibt drei Hauptarten von Data Breach:
- Data Breach mit Verletzung der Vertraulichkeit: Die Daten werden offenbart oder für unbefugte Dritte zugänglich gemacht
- Data Breach mit Verletzung der Integrität: Die Daten werden verändert, wodurch sie unzuverlässig werden
- Data Breach mit Verletzung der Verfügbarkeit: Die Daten sind nicht mehr zugänglich, temporär oder dauerhaft.
Datenverstoß und DSGVO: Was tun
Der Verantwortliche für die Datenverarbeitung (z.B. öffentliche Einrichtung, Unternehmen, Verband, Partei, Fachmann) ist verpflichtet, den Verstoß ohne ungerechtfertigte Verzögerung innerhalb von 72 Stunden nach seiner Entdeckung dem Datenschutzbeauftragten zu melden, es sei denn, es ist unwahrscheinlich, dass der Verstoß ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Wenn der Verstoß ein hohes Risiko für die Rechte der Einzelpersonen darstellt, sollte der Verantwortliche dies allen betroffenen Personen über die geeigneten Kanäle mitteilen, es sei denn, er hat bereits Maßnahmen zur Minderung der Auswirkungen ergriffen.
Unabhängig von der Benachrichtigung an den Datenschutzbeauftragten muss der Verantwortliche alle Datenverletzungen dokumentieren, z. B. durch Führung eines speziellen Registers. Diese Dokumentation ermöglicht es der Behörde, mögliche Kontrollen der Compliance durchzuführen.
Die Benachrichtigung über eine Verletzung personenbezogener Daten muss dem Datenschutzbeauftragten über einen spezifischen Online-Prozess zugesandt werden, der auf der Online-Portal der Behörde unter https://servizi.gpdp.it/databreach/s/ verfügbar ist. Um den Verantwortlichen für die Datenverarbeitung zu unterstützen, hat der Datenschutzbeauftragte ein Selbstbewertungstool (Self-Assessment) entwickelt, das es ermöglicht, die in einem Sicherheitsvorfall nach einer Verletzung personenbezogener Daten zu ergreifenden Maßnahmen zu identifizieren.
Data Breach: Wie Risiken reduzieren und vorbeugen
Die Prävention von Datenverstößen erfolgt durch die Bewertung von Risiken und die Definition von technischen und organisatorischen Maßnahmen. Zum Beispiel bietet die ISO-Norm 27040 Richtlinien zur Verhinderung von Datenverstößen und zur Gewährleistung der Datensicherheit.
Die erste Vorsichtsmaßnahme besteht darin, Unternehmenssicherheitsrichtlinien zu implementieren und alle Mitarbeiter über die Verhaltensweisen zu sensibilisieren, die zur Vermeidung von Vorfällen und versehentlichen Schäden befolgt werden sollten. Oft entstehen Verstöße intern durch menschliche Fehler aufgrund mangelnden Bewusstseins und Schulung zu diesem Thema: Es ist von entscheidender Bedeutung, eine kontinuierliche Überwachung zu gewährleisten und sicherzustellen, dass die festgelegten Regeln tatsächlich eingehalten und respektiert werden.
Es ist auch notwendig, die Logs stets zu überwachen und Plattformen zu verwenden, die in der Lage sind, sie effektiv zu verwalten und zu analysieren, um jede verdächtige Aktivität oder Eindringen rechtzeitig zu erkennen. Das Netzwerk und die Unternehmensperipherie müssen mit Lösungen wie Antivirus, Managed Firewall und Anti-Malware geschützt werden.
Auch Zugangsgeräte, die anfällig und oft vernachlässigt sind, müssen überwacht und geschützt werden, zum Beispiel mit einer Managed Detection and Response-Lösung: Endpunkte sind ein echtes Ziel für bösartige Akteure und Angriffe müssen durch effektive Abwehrwerkzeuge und Geräteschutz verhindert werden.
Eine weitere Vorsichtsmaßnahme besteht darin, stets eine Kopie der verwendeten Daten zu haben und regelmäßig Backup- und Datenwiederherstellungssysteme zu verwenden, die in vielen Fällen von wesentlicher Bedeutung sein können.
Schließlich muss eine gut organisierte und langfristige Cybersecurity-Strategie entwickelt werden, die nicht nur auf Prävention beschränkt ist, sondern eine ständige Überwachung und einen effektiven Aktionsplan beinhaltet.