+49 (0) 8171/405-0 info@proSoft.de

(Un-) Sicherer Datentransfer

10.
Aug
2020
Dateitransfer, digitale Kommunikation, Email Verschlüsselung, outlook email verschlüsseln, Sicherer Datentransfer

Do’s and dont’s beim Datenaustausch! HomeOffice und Social-Distancing erfordern und fördern den digitalen Austausch von Daten, um Prozesse am Laufen zu halten. Doch sicherer Datentransfer hilft nicht nur beim Infektionsschutz, sondern ist auch zentraler Bestandteil des Datenschutzes. Um Risiken durch den «Faktor Mensch» so gering wie möglich zu halten, muss Benutzerfreundlichkeit im Fokus sein.

Mit ca. 50 bis 60 % sind menschliche Fehler, nach wie vor der Hauptgrund für Datenschutzverletzungen. Kürzlich wurden in Großbritannien 14.000 bekannt gewordene Datenpannen analysiert. Die nachfolgende Grafik zeigt die häufigsten Ursachen von Datenschutzvorfällen, die mehrheitlich in der digitalen Kommunikation passieren.

Bewusst herbeigeführte Angriffe mit dem Ziel, Daten zu erbeuten, folgen mit 19,1 % erst auf dem 2. Platz. Ungeachtet des Ursprungs von Datenschutzverletzungen, sind die Auswirkungen für Betroffene und Verursacher massiv: empfindliche Geldbußen, nachhaltige Vertrauensverluste durch Veröffentlichungspflichten und die nachfolgende «schlechte Presse» sowie juristische Konsequenzen. Dementsprechend motiviert versuchen Unternehmen Maßnahmen zum Datenschutz umzusetzen. Trotzdem häufen sich Meldungen über immer wieder die gleiche, scheinbar vermeidbare Fehler beim digitalen Austausch von Dateien

Ursachen von Pannen beim Datentransfer

Ein aktuelles Beispiel

Ein Kunde teilte uns kürzlich mit, dass wir Rechnungen zukünftig nur noch per E-Mail an eine bestimmte Empfängeradresse senden sollen. Was der Erleichterung und Kosteneinsparung aller Geschäftspartner des Unternehmens dienen sollte, wurde zu einem kleinen Fiasko. Die zuständige Mitarbeiterin hatte versehentlich alle E-Mail Adressen (personenbezogene Daten) in das Feld «CC» anstatt in «BCC» eingetragen! Absicht? Sicher nicht, denn als wir die Absenderin telefonisch über ihren Fehler informieren wollten, war sie sich dessen schon bewusst. Das Unternehmen hat diesen Vorfall der zuständigen Datenschutzbehörde gemeldet. Ausgang noch offen.


Sicherheitskonzepte, Prozesse und Lösungen sind häufig starr. Sie werden aber nur dann 100%-ig eingehalten, wenn sie auch zu den Verhaltensmustern von Benutzern passen. Nachfolgend finden Sie drei typische Beispiele wie sicherer Datentransfer umgangen wird:


 

Für eine Mail ist der Anhang zu groß!
Dann eben per Online-File-Transfer…“

Diese Situation kennen wir alle: Ein große Datei kann nicht per E-Mail versandt werden. Das «zippen» gehört nicht zur Kernkompetenz der User oder dauert schlicht zu lange. Kostenlose Online-Dienste wie WeTransfer, Dropbox, 4shared oder Whisply sind gute Alternativen. „Und dieses eine Mal wird schon nichts passieren!“. Cloud-Dienste punkten mit ständiger Verfügbarkeit und Benutzerfreundlichkeit, aber sicher nicht mit hohem Datenschutz und Ende-zu-Ende Verschlüsselung. Hier lohnt sich ein Blick in die Nutzungsbedingungen.

Wer Dateien über Cloud-Dienste hochlädt, bezahlt das u.a. mit der Zustimmung zu Cookies und Werbeanzeigen als alternative Form der Bezahlung. Oder Sie erteilen dem Cloud-Dienst die Erlaubnis, eine „Lizenz“ für Inhalte zu erhalten. Das kann, wie bei Online-Anti-Malware Diensten auch bedeuten, dass man dem Cloud-Dienst eine Berechtigung zur Nutzung von Inhalten erlaubt. Zumindest vermuten wir das bei WeTransfer. Oder wie würden Sie den § 9.5 in den Nutzungsbedingungen von WeTransfer verstehen? Ist die schlechte Übersetzung dieses einen Paragraphen ein Bug oder ist die Ungenauigkeit ein Feature? Auch wenn man diese kommerzielle Nutzung seiner Daten noch (un)bewusst akzeptiert, sind zusätzliche rechtliche Aspekte beim Versand von schützenswerten und/oder personenbezogenen Daten unbedingt zu berücksichtigen. Wo stehen die Server der Cloud-Dienste und welche Auswirkungen hat das auf die Compliance? Gesetze wie der «Patriot Act» in den USA, erlauben Behörden in bestimmten Fällen den Zugriff auf Inhalte geschäftlicher Kommunikation. Dies wiederum widerspricht europäischen Vorgaben genauso wie die Nutzungsbedingungen bei WhatsApp oder Dropbox.

Kostenloser Datentransfer bietet natürlich keinerlei Schutz vor menschlichen Fehlern. Die häufigsten Ursachen für ein sogenanntes Datenleck in den europäischen Datenschutz-Statistiken sind 1.) die versehentliche Angabe falscher Empfänger und 2.) das irrtümliche Versenden falscher Dateien. Einmal versandt, sind Fehler dieser Art  nicht mehr rückgängig zu machen.

 

„Dateien auf einem verschlüsselten USB-Stick speichern
und ab damit per Post…“

Verloren gegangene USB-Sticks spielen seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) die Hauptrolle bei meldepflichtigen Datenschutzverstößen. Da außer beim Einsatz von USB-Device-Management, keine Protokollierung von Zugriffen erfolgt, lässt sich bei Verlust oder Diebstahl auch nicht feststellen, wie schwerwiegend die Konsequenzen für Betroffene sind. Aus unserer Sicht kommt es auch darauf an, wie die Daten auf dem USB-Massenspeicher verschlüsselt sind. Verschlüsselung per Software in den „richtigen” falschen Händen, lässt sich mit entsprechend großem Aufwand und Zeit entschlüsseln.Bei hardwareverschlüsselten USB-Sticks ist das aufgrund der komplexen «fest verdrahteten» On-board Verschlüsselung nicht möglich. Daten-Verschlüsselung ist ein großer Schritt in Richtung Sicherheit. Ohne Protokollierung ist der Nachweis schwierig!

 

„E-Mail-Verschlüsselung?
Viel zu kompliziert…“

Bleibt die Frage, warum die oben erwähnten Beispiele auch dann noch von Anwendern genutzt werden, wenn in Organisationen offizielle Lösungen mit der erforderlichen IT-Sicherheit vorhanden sind und genutzt werden können? Der englische Begriff dafür heißt „Workaround”. Dabei handelt es sich um Inoffizielle Methoden, die von Benutzern als attraktiver, einfacher und schneller wahrgenommen werden. Eingespielte Workflows werden, alleine deshalb eingesetzt weil sie bekannt sind. Dabei ist das eigene Empfinden oft entscheidender als objektive Maßstäbe. Einige wenige Lösungen kombinieren Benutzerfreundlichkeit und Datenschutz.

 

Sicherer Datentransfer – ohne Workaround-Bedarf

Der Mensch ist ein Gewohnheitstier! Was abgedroschen klingt ist für den Erfolg von Maßnahmen für IT-Sicherheit essentiell. Ansonsten forcieren Anwender Lösungen, die den üblichen Workflows am nächsten kommen. Gelingt das nicht, werden Workaraounds favorisiert, die möglichst schnell zum Ziel führen. Bei der digitalen Kommunikation – Datentransfer und E-Mail – bedeutet das, dass sich die Lösung in Applikationen wie Outlook und Office 365 möglichst nahtlos integrieren lässt. Damit vermeiden Sie die Installation oder die Nutzung von Schatten-IT oder kostenlosen Web-Tools.

Das alleine reicht natürlich nicht. Fehler passieren nun mal und menschliches Versagen ist hauptsächlich für Pannen im Datentransfer verantwortlich. Der Hersteller ZIVVER aus den Niederlanden liefert deshalb branchenspezifische Wörterbücher in seiner Lösung mit, die zusätzlich noch editiert und erweitert werden können. Enthalten Texte oder Daten datenschutzrelevante Informationen, dann forciert die Lösung den verschlüsselten Versand und zeigt das in Outlook auch entsprechend optisch an. Bei einem Unternehmen aus dem Gesundheitswesen sind das beispielsweise Begriffe wie Patientenakte, Arztbrief, Diagnose, Rezept oder auch die Identifizierung einer Krankenversicherungsnummer. Ab einer gewissen Häufung von Schlüsselwörtern erzwingen die Organisationsregeln je nach Konfiguration, die Verschlüsslung der Nachrichten und Dateien. Außerdem wird überprüft, ob sensible Informationen an neue bzw. auffällige Empfänger (z.B. Freemail-Account) versandt werden sollen. Auch hier wird der Absender vor dem Versenden auf mögliche Sicherheitsrisiken hingewiesen. Im Hintergrund protokolliert ZIVVER alle Eingriffe durch den Anwender, aber auch die Einhaltung von Regeln als Nachweis bei möglichen Datenschutzvorfällen.

ZIVVER

Neben der automatischen TLS-Sicherung, werden alle Dateien zusätzlich asymmetrisch AES-verschlüsselt und der Zugriff ist mit einer Zwei-Faktor Authentifizierung geschützt. Passwort oder PIN für den zweiten Faktor können per E-Mail oder SMS versandt werden. Die Option Zugangscode bzw. Zugangscode für eine Organisation kann auch mündlich übermittelt werden. Mehrfacher Schutz beim Versenden.

Geht trotz allem etwas schief, kann ein Datenschutzvorfall mit ZIVVER noch verhindert oder bestmöglich eingegrenzt werden. Der Absender kann jede mit ZIVVER versandte Datei, jederzeit für einzelne oder alle Empfänger wieder unzugänglich machen und zurückholen. Wurde etwa ein Empfänger im CC übersehen, kann verhindert werden, dass die Datei von ihm abgerufen werden kann. Der Zugriff auf E-Mails kann auch zeitlich limitiert werden. Verlässliche Sicherheit, auch nach dem Versenden.

Mit ZIVVER steht die Option zum sicheren Datentransfer bis 5 TB immer dort zur Verfügung, wo man gerade arbeitet – ob per Office Plugin für Microsoft Outlook und als Ergänzung zu Office 365, per Chrome Extension für Gmail, plattformunabhängige WebApp oder als mobile App für Android und iOS. Die Anwendung ist für Absender und Empfänger benutzerfreundlich einfach und intuitiv. So werden unsichere Workarounds überflüssig.

Sicherer Datentransfer

Fazit: It-Security Maßnahmen müssen benutzerfreundlich umgesetzt werden. Hohe Usability verhindert Workarounds und schützt damit vor Datenschutzvorfällen! Menschliche Fehler sind mit fast 66 % immer noch der Hauptgrund, warum vertrauliche Daten versehentlich an falsche Empfänger gesandt werden.

Lösungen für sicheren Datentransfer und/oder E-Mail Verschlüsselung liefern Hersteller wie ZIVVER oder Bdrive von der Bundesdruckerei.

Pressemeldung über neue Funktionen in der PC-Fernwartung NetSupport Manager v14 https://t.co/lsqA3Wxyqh #NetSupport https://t.co/fMccbhQWAr
Exchange-Server Zero-Day: Bisheriger Workaround unzureichend | Security https://t.co/60oqR0imqh
Katholische DSK lässt Einwilligung in schlechtere ToMs zu #§91 https://t.co/RJuPY0KsYM https://t.co/kJ0DlWDY8Y
Steganografie - immer noch zu wenig bekannt
Aktuelles Beispiel: Backdoor in Windows-Logo für Angriff auf Regierungen versteckt
https://t.co/rZbmAGjBMx #windows #logo #steganografie #backdoor https://t.co/mFXDPSkmUD
Datenverschlüsselung durch eingeschleuste Software
#Hackerangriff auf katholischen Sozialdienstleister #SKM
https://t.co/PoLU0jr6cp https://t.co/Xv8f1qjSm3
Report: 3,5 % der Ransomware-Schwachstellen werden nicht erkannt https://t.co/rNy1olSHsi https://t.co/nw5AFKQ7wD
#ransomware Nach Verschlüsseln kommt jetzt Kopieren & Zerstören. Verschlüsseln ist aufwendig und fehleranfällig https://t.co/zR40zqRC28 https://t.co/pzvTpAbNRa
@heisec: Malware: Infektion durch Mausbewegung in Powerpoint https://t.co/r5aVTZnntp #FancyBear #PowerpointMalware
@heisec: Webbrowser Chrome 106: Neue Funktionen und 20 abgedichtete Sicherheitslecks https://t.co/nNLklnMuLq #Chrome #Update
#Deutschland steht weltweit auf Platz 5 bei #Ransomware Angriffen: Welche Unternehmen sind am stärksten betroffen?https://t.co/fJ4NFB8L8C https://t.co/vdojRcYfY6
@BSI_Bund: Das @BMBF_Bund bietet ein Themenblatt für die IT-Sicherheitsinhalte der Jahre 2021/2022 aus den Förderprogrammen #HorizonEurope & #DigitalEurope an https://t.co/QK0gCDh8jM
Zu den Zielgruppen zählen Industrie, #KMU, #StartUp|s und öffentlicher Sektor.
#DeutschlandDigitalSicherBSI
#Sophos Firewalls: Kritische Sicherheitslücke wird angegriffen. Sicherheitsupdates sind bereits verfügbar https://t.co/rnlLVv6dWT #Sicherheitslücke https://t.co/cThPYdz2P7
@BSI_Bund: Im Arbeitsalltag muss es oft schnell gehen. Eine Situation, die sich Cyber-Kriminelle vor allem in Sachen CEO-Fraud gern zu Nutze machen. Was hinter dieser Betrugsmasche steckt - wir erklären es euch. #DeutschlandDigitalSicherBSI #ITSicherheit #Sicherheit https://t.co/pDNGgHjbkr
#Russland plant laut ukrainischem Verteidigungsministerium massive Cyberangriffe auf kritische Infrastrukturen der Ukraine und Alliierter. https://t.co/zM63EmOvfh https://t.co/KeVzlVnvsM
@DSAgentur: Datenleck in Pinneberg: Tausende Menschen im Kreis betroffen https://t.co/Q7MN1sBhoU https://t.co/Dlcl1f3so0
PC-Fernwartung NetSupport Manager ist in der Version 14 verfügbar. https://t.co/rMMtNl5w0v https://t.co/cfAvG9vHKD
1574381493069250568
Angreifer könnten DNS-Server bind lahmlegen | Security https://t.co/EK3FdT1wdC
Brute-Force-Schutz: Microsoft aktiviert Anmeldebegrenzung für SMB | Security https://t.co/doaW3zLsK1
50.000 Kundendaten betroffen
Fintech-Startup #Revolut wurde gehackt https://t.co/6kw45ZDNzm https://t.co/WmzT6Fta0V

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This