Am 28. Januar ist der europäische Datenschutztag („Data Protection Day“), an dem an das Thema Datensicherheit und Datenschutz erinnert werden soll. Aber noch nie in der Geschichte des Datenschutztags waren die Daten der Nutzer so gefährdet wie heute. Datenschutzvorfälle am laufenden Band – und on top noch übergriffiges staatliches Verhalten wie Chatkontrolle oder Vorratsdatenspeicherung zeigen, dass Datenschutz kein Selbstläufer ist, sondern aktiv eingefordert werden muss.
Der Europäische Datenschutztag ist ein auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich um den 28. Januar begangen. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet worden war.
Tenable zum Datenschutztag
Bernard Montel, EMEA Technical Director and Security Strategist, Tenable, schreibt dazu: Jedes Jahr sprechen wir über Datenschutz und jedes Jahr steigt die Zahl der Menschen, deren Daten kompromittiert wurden. Das Recht des Einzelnen auf Datenschutz ist ein fundamentales Gut, aber wenn Hacker in der Lage sind, Daten zu stehlen, auszulesen und zu veröffentlichen, gibt es de facto keinen Datenschutz. Datenschutz muss in der Praxis gelebt werden – oder er existiert nicht.
Laut IT Governance wurden im letzten Jahr rund 8,2 Milliarden Datensätze geleakt. Auch wenn nicht jeder Datensatz einzigartig ist, ist das doch eine ganze Menge persönlicher Daten in den falschen Händen. Und erst Anfang dieser Woche wurde der laut Experten bislang vielleicht größte Leak überhaupt bekannt: 26 Milliarden personenbezogene Datensätze sind betroffen. Leider wissen Bedrohungsakteure nur zu gut, wie lukrativ das Geschäft mit sensiblen Daten ist – und wie gering die Wahrscheinlichkeit, gefasst oder bestraft zu werden.
Bedrohungsakteure können die im Rahmen zahlreicher Breaches geleakten Daten in einer einzigen großen Datenbank zusammenfassen und mit Querverweisen versehen, um weitere Angriffe zu lancieren. Beim sogenannten „Credential Stuffing“ etwa wird die Kombination aus Benutzername und Passwort eines Services verwendet, um einen anderen zu kompromittieren. Indem sie sensible Daten aus verschiedenen Quellen kombinieren – zum Beispiel Passwörter, PINs, Sozialversicherungsnummer, Geburtsort et cetera – und ein umfassendes Profil einer Person erstellen, verfügen sie mitunter über genügend Informationen, um Sicherheitsfragen beantworten und sich Zugang zu Bankkonten verschaffen zu können. Je mehr Daten Hackern zur Verfügung stehen, desto größer ist das Risiko.
Wir müssen damit beginnen, Schutzmaßnahmen noch engmaschiger zu spannen, um Datendiebstahl zu verhindern. Wir wissen, dass die Angriffsmethoden der Bedrohungsakteure weniger innovativ oder gar einzigartig als vielmehr opportunistisch sind. Sie sehen viele Wege in und durch IT-Umgebungen. Die flächendeckende Einführung von Cloud Computing bringt neue Schwachstellen und komplexeres Management mit sich – beides machen sich böswillige Akteure zunutze.
In den meisten Fällen sind es bekannte Schwachstellen, die Bedrohungsakteuren Tür und Tor zu Unternehmensinfrastrukturen öffnen. Sobald sie sich Zugang verschafft haben, werden sie versuchen, Fehlkonfigurationen in Active Directory auszunutzen, um Rechte auszuweiten, Daten abzugreifen, Systeme zu verschlüsseln oder das Business anderweitig zu beeinträchtigen. Wenn wir nicht sorgfältiger vorgehen und diese Angriffsvektoren identifizieren und blockieren, stehen wir am nächsten Datenschutztag wieder vor demselben Dilemma.
Datensicherheit und Datenschutz
Marco Eggerling, CISO EMEA bei Check Point Software Technologies, macht sich ebenfalls um das Thema Datenschutz seine Gedanken, meint aber Datenschutz und Datensicherheit seien zwei Seiten der gleichen Medaille. Er verweist auf das Jahr 2018, als der Skandal um Facebook und Cambridge Analytica mit der Enthüllung jahrelangen Datenmissbrauchs die Welt veränderte. Ich hatte im Blog berichtet (siehe Links am Artikelende). Dieser Vorfall zog den Vorhang weg, der über der Wirklichkeit der Informationssicherheit, des Datenschutzes und der Eigentumsverhältnisse in der Big-Tech-Branche hing.
Bei der beschleunigten und großflächigen Einführung des Homeoffice und der Cloud-Technologie im Zuge der Corona-Krise geriet der Datenschutz jedoch wieder in den Hintergrund. Allerdings sind die Narben des Facebook-Cambridge-Analytica-Skandals noch sichtbar und viele Kunden sind beinahe vollständig intolerant geworden, was lasche Einhaltung von Datenschutzbestimmungen oder sogar den Verstoß dagegen betrifft. Gleichzeitig sorgen sich 75 Prozent der IT-Experten um die Einhaltung von dergleichen Standards.
Daten sichern oder Daten schützen
Der erste Schritt zum Verständnis der beiden Begriffe ist deren Definition. Bei der Datensicherheit geht es in erster Linie um den Schutz der Daten vor unberechtigtem Zugriff, vor Beschädigung, Diebstahl und IT-Bedrohungen. Sie umfasst Technologien, Praktiken und Protokolle, die sicherstellen, dass Daten vertraulich und intakt bleiben und nur denjenigen zur Verfügung stehen, die legitimen Zugriff darauf haben. Hinzu kommt die Verantwortung für die Verschlüsselung und die Systeme zur Erkennung von Bedrohungen, sowie für die Backup- und Wiederherstellungsprozesse.
Auf der anderen Seite fällt unter den Datenschutz der rechtmäßige und moralische Umgang mit personenbezogenen Informationen und stellt sicher, dass die Rechte des Einzelnen auf Datenschutz respektiert werden. Neben technischen Maßnahmen und Verwaltungsprotokollen setzt der Datenschutz auch physische Kontrollen ein, wie Schlüsselkarten, biometrische Faktoren und Überwachung von deren Benutzung am Arbeitsplatz, um die wertvollen und oft intimen Daten gegen IT-Angriffe und menschliches Versagen zu schützen.
Datenschutz und Datensicherheit schließen einander nicht aus. Zusammen bilden sie einen umfassenden Ansatz zum Schutz von Daten, der sicherstellt, dass diese sowohl vor unbefugtem Zugriff geschützt sind als auch in einer Weise verwendet werden, welche die Rechte und die Privatsphäre des Einzelnen respektiert. Werden diese beiden Themen nicht ernst genommen, kann der Ruf des Unternehmens stark geschädigt und das Vertrauen der Kunden in die Firma untergraben werden. Denn Kunden sind eher bereit, personenbezogene Informationen, wie Zahlungsdaten, preiszugeben, wenn sie darauf vertrauen, dass die Daten sicher gehandhabt werden.
Technologie gegen Compliance
Die Datensicherheit setzt stark auf technische Maßnahmen zur Sicherung der Daten und verlässt sich auf verschiedene Tools und Strategien, wie Verschlüsselung, Schwachstellen-Scans und Patch-Management, um die digitale Burg zu befestigen. Im Gegensatz dazu legt der Datenschutz großen Wert auf die Einhaltung von Gesetzen und Vorschriften, um einen einwandfreien Umgang mit personenbezogenen Daten zu gewährleisten. Zu diesen Prozessen gehören die Anonymisierung von Informationen, die Dokumentation aller Vorgänge für Audits und die Bereitschaft zur Auskunft über die Verwendung der Daten wie auch zur Löschung der Daten gemäß der EU-DSGVO. Hinzu kommt die Pflicht zur Meldung von Datenschutzverletzungen, um die Einhaltung verschiedener Vorschriften zu gewährleisten, darunter diese:
- Datenschutzgesetz Schweiz (DSG).
- European General Data Protection Regulation (GDPR).
- Europäische Datenschutz-Grundverordnung (EU-DSGVO) in deutscher Auslegung als Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG).
- Health Insurance Portability and Accountability Act (HIPAA).
- California Consumer Privacy Protection Act (CCPA).
Verhinderung von Datenbeschädigung gegen Datenschutzrechte des Einzelnen
Während die Datensicherheit in erster Linie vorhat, Beschädigung und unbefugten Zugriff zu verhindern (z. B. durch die Abwehr von Cyber-Angriffen und die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten), will der Datenschutz die Rechte des Einzelnen schützen, indem sichergestellt wird, dass die personenbezogenen Daten im Einklang mit den Datenschutzgesetzen und -vorschriften erhoben, verarbeitet und gespeichert werden.
Technik gegen Richtlinien
Datensicherheit beinhaltet die Implementierung und Verwaltung technischer Lösungen, wie Firewalls, Verschlüsselung und Bedrohungserkennungssysteme. Beispielsweise die Einführung von Lösungen, die bekannte und unbekannte Ressourcen kontinuierlich prüfen und überwachen, um Datendiebstahl oder Beschädigung der Daten zu verhindern. Datenschutz ist eher an Richtlinien interessiert und orientiert und erfordert die Festlegung klarer Regeln und Verfahren für die Datenverarbeitung, den Zugriff und die Verwaltung von Einwilligungen oder Ablehnungen.
Man unterscheidet alle Arten von Daten und personenbezogene Informationen
Mit der zunehmenden Verbreitung von IoT-Geräten und E-Commerce ist die digitale Interaktion zu einer gesellschaftlichen Norm geworden, welche die Nutzer dazu veranlasst, eine breite Spur von Informationen zu hinterlassen. Alle Arten von Daten fallen unter das Konzept der Datensicherheit, unabhängig davon, ob es sich um Finanzunterlagen, geistiges Eigentum oder Kundendatenbanken handelt. Der Datenschutz konzentriert sich jedoch auf den Umgang mit persönlich identifizierbaren Informationen (PII) und sensiblen personenbezogenen Daten (die verwendet werden, um eine Person zu identifizieren, zu kontaktieren oder zu lokalisieren) unter Einhaltung der Datenschutzbestimmungen.
Alle Wege führen nach Rom
Datenschutz und Datensicherheit gehen verschiedene Pfade, aber beide haben dasselbe Ziel vor Augen: Die Sicherheit der Daten unter ihrer Obhut. Daher schließen sie sich nicht aus, sondern gehören fest zusammen. Ob ein Unternehmen diese Synergie erkennt oder nicht, hängt jedoch oft davon ab, ob beide Aspekte durch interne Prozesse verknüpft werden.
Datenschutzbestimmungen verlangen robuste Sicherheitsmaßnahmen, um zu zeigen, dass Unternehmen ihr Bestes geben, um personenbezogene Daten zu schützen. Zugriffskontrolle und Verschlüsselung bilden wiederrum die Grundlage für Datensicherheit, indem sie den Zugriff auf Daten nur autorisierten Nutzer gewährt. Gleichzeitig stärken Datensicherheitsmechanismen, wie Firewalls, Intrusion Detection und regelmäßige Sicherheitsüberprüfungen, auch den Datenschutz und schützen dessen sensible Informationen vor Schwachstellen und Hackern. Daher lautet die Herausforderung für CISOs und IT-Entscheider: Die Gemeinsamkeit erkennen und unter einen Hut bringen, um maximal zu profitieren.
Der übergriffige Staat
Problem Nummer 1 bei der Datensicherheit und beim Datenschutz ist mittlerweile aber der Staat: Stichworte sind die gekippte anlasslose Vorratsdatenspeicherung, die Ende 2023 beschlossene Einführung der elektronischen Patientenakte (ePA) mit Opt-out für gesetzlich Krankenversicherte – aus Datenschutzsicht ein Unding. Von der EU droht mit dem Europäischen Gesundheitsdatenraum der nächste Datenkrake – Datenlecks vermutlich inbegriffen.
Und auch die wiederholten Versuche der EU-Kommission eine Chatkontrolle einzuführen, gehen in Richtung „Datenschutz ist nur was für Politiker, wenn Bürger Auskunft wünschen und Behörden unter Berufung auf Datenschutz mauern“. In Bezug auf das Thema Chatkontrolle verweise ich auf meinen Beitrag EU-Chat-Kontrollsystem von Thorn mit massiven Sicherheitslücken, was Europas Bürgern droht, wenn das kommt.
Und die Hängepartie in der Bestellung des Bundesdatenschutzbeauftragten (BfDI) für die nächste Amtsperiode lässt Schlimmes erahnen. Der aktuelle BfDI, Ulrich Kelber, ist nur noch geschäftsführend im Amt, würde zwar gerne weiter machen, aber die Regierung will ihn nicht. Ich verweise an dieser Stelle auf den heise-Beitrag hier.
Ähnliche Artikel:
Cambridge Analytica hat 87 Millionen FB-Daten abgezogen
Bricht Cambridge Analytica Facebook das Genick?
Facebook: Betroffen vom Cambridge Analytica-Skandal?
Auch nicht zu vergessen ist die Datenschleuder PKW.
https://foundation.mozilla.org/de/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/
Datenschutz ist deine eigene Sache, war es schon immer! Du hast es in der Hand, indem du weise wählst was du nutzt und weise wählst was du wo bekannt gibst.
Wer sich da auf andere verläßt ist verlassen! Verstehen die Meisten nur nicht, bzw. ist ihnen egal.
„Du hast es in der Hand, indem du weise wählst was du nutzt und weise wählst was du wo bekannt gibst.“?
Mit jeder angebotenen App für Dinge des täglichen Lebens schwindet unser Einfluss. Sogar ein Termin beim Arzt wird zunehmend zur Unmöglichkeit, wenn man der Weitergabe seiner personenbezogenen Daten mit Gesundheitsdaten (wann lässt du dich von wem medizinisch behandeln) an irgendwelche externen „Termindienstleister“ mit App und ausufernder Datenerfassung inklusive Cookie-Zustimmungsarie nicht zustimmen will.
Im Einzelhandel sieht es zunehmend genauso düster aus, wenn man ohne Smartphone + App-Sammelsurium unterwegs ist.
Und dann war noch das E-Auto-Sharing und die Suche nach einer Lademöglichkeit ohne Smartphone und Kartenzahlung … Tanken und Barzahlen ist (noch) kein Problem.
Beispielsweise im Einzelhandel kann man (wenn man möchte) sehr wohl (noch) problemlos ohne Smartphone und mit Bargeld einkaufen. Wenn man das nicht macht, muss man sich nicht wundern, dass die Umerziehung zum gläserenen Menschen stetig weiter ausgerollt wird.
Ja und die paar Cent die man mit der App einspart sind es nicht wert sie zu benutzen. Es geht schlicht niemanden etwas an was ich einkaufe und ich möchte keine Tipps was ich essen „möchte“.
keines der von dir genannten Dinge setzt eine Smartphone oder App vorraus, geht auch alles ganz gut ohne … zeigt eigentlich nur wie „blöd“ die Nutzer sind, sich einreden zu lassen das man da alles braucht!
Ich kriege beinm Arzt auch einfach per Telefonanruf einen Termin, im Einzelhandel zahle ich grundsätzlich bar und App Spionage kann mir gestohlen bleiben. Tanke geht auch problemlos bar, Mietwagen ebenso (wobei ich das ned brauche, selbst wenn einer in der Werkstatt ist bleibt immer noch der Zweitwagen und notfalls der Firmenwagen).
Schon blöd wenn man sich so abhängig macht!
Und das sage ich der ein voll Smartes Haus hat bei dem sogar das Licht und Musik mir von Raum zu Raum folgt! Nur setz ich da halt nicht auf billigsten IoT Dreck und alles läuft zentral auf dem eigenen Server im Haustechnikraum… da verläßt kein einziges Bit unerwünscht das Haus!
Die meisten überschätzen den Wert der eigenen Daten, oder hätten gerne dass sie mehr Wert wären.
Das ist schlicht falsch. Wenn dem so wäre, würden sämtliche an der Sammlung beteiligten Konzerne dieses Sammeln sofort einstellen, weil der dafür benötigte Speicherplatz schlicht zu wertvoll wäre. Ganz im Gegenteil, je mehr die über jeden einzelnen wissen, desto besser. Und die Gesamheit aller Daten macht diese Riesenhalde dann erst so richtig wertvoll, man kann daraus unglaublich wertvolle Schlüsse ziehen und weitreichende taktische Entscheidungen treffen.
Das Prinzip des Gerrymandering in den USA basiert mittlerweile wohl fast vollständig auf Big Data. Nur so als Beispiel.