Im Mai 2020 verabschiedete die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, umfangreiche Empfehlungen zum Einsatz von E-Mailverschlüsselung zum Schutz von in E-Mails versendeten personenbezogenen Daten. Diese Richtlinien empfehlen die Verwendung von Ende-zu-Ende-Verschlüsselung und Transportverschlüsselung um das Risiko von Datenlecks zu verringern.
Die neuen Richtlinien bauen auf bereits bestehenden Anforderungen auf, wie etwa der Richtlinie des Bundesamts für Sicherheit in der Informationstechnologie und erläutern, welche Maßnahmen zur Verschlüsselung Verantwortliche und Auftragsverarbeiter im Sinne der DSGVO durchführen müssen.
Was sind Datenschutzbehörden?
In jedem EU-Mitgliedsstaat gibt es eine oder mehrere Datenschutzbehörden , die die Umsetzung der Datenschutzgesetze überwachen. Die Datenschutzbehörden bieten fachliche Hilfe bei Fragen zum Datenschutz im Allgemeinen wie auch zur DSGVO und nationalen Datenschutzgesetzen. Sie können die Umsetzung des Datenschutzes untersuchen und korrigierend in diese Umsetzung eingreifen und dazu auch Sanktionen aussprechen.
In Deutschland ist die nationale Datenschutzbehörde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Auf Ebene der Bundesländer sind ebenfalls Behörden, die Landesdatenschutzbeauftragten weitere Landesämter , etwa das Bayerische Landesamt für Datenschutzaufsicht, angesiedelt. Die Datenschutzbehörden des Bundes und der Länder haben ein gemeinsames Gremium in der Datenschutzkonferenz.
Was sind die Empfehlungen der Datenschutzkonferenz zur E-Mailverschlüsselung?
Die neuen Empfehlungen, enthalten in der Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail:
- definieren Mindestanforderungen an die Verschlüsselung, an die sich Unternehmen, Behörden und auch E-Mail-Diensteanbieter halten müssen.
- Diese Anforderungen sind jeweils für den Versand und den Empfang von E-Mails festgelegt und betreffen alle Verantwortlichen und Datenverarbeiter im Sinne der DSGVO.
- differenzieren zwischen “hohem Risiko” und “normalem Risiko”, eine Unterscheidung, die im Kurzpapier Nr. 18 der Datenschutzkonferenz, „Risiko für die Rechte und Freiheiten natürlicher Personen“ ausgeführt wird
Für E-Mails mit „normalem Risiko“, d.h. Szenarien, in denen ein Datenleck nur ein begrenztes Risiko für die Rechte und Freiheiten der betroffenen Personen nach sich ziehen würde, muss die Transportverschlüsselung mit TLS (Transport Layer Security) arbeiten, entweder unter Verwendung des SMTPS-Protokolls oder des SMTP-Befehls STARTTLS.
Bei E-Mails, die dagegen personenbezogene Daten enthalten, bei denen ein „Bruch der Vertraulichkeit“ (also ein Datenleck) zu hohem Risiko für die Betroffenen führen würde, müssen Datenverarbeiter sowohl Ende-zu-Ende-Verschlüsselung als auch qualifizierte Transportverschlüsselung verwenden:
- Ende-zu-Ende-Verschlüsselung sollte entweder S/MIME oder OpenPGP verwenden, damit sensible Dateien nicht nur während des Transports, als auch „at rest“, d.h. im gespeicherten Zustand, in allen Zwischenstationen der Übertragung geschützt sind..
- Qualifizierte Transportverschlüsselung zum Schutz vor aktiven Angriffen. Qualifizierte Transportverschlüsselung sollte auch Techniken einsetzen, die vor gefälschten DNS-Daten schützen, wie DANE, DNSSEC oder beide.
Während im Allgemeinen die Verantwortung für den Schutz von E-Mails mit personenbezogenen Daten beim Absender liegt – und da vor allem bei Datenverarbeitern, die automatisch zur Vertraulichkeit verpflichtet sind – müssen E-Mailempfänger auch eine sichere Verbindung benutzen.
Lesen Sie die kompletten Empfehlungen der Datenschutzkonferenz online.
Wie Sie die neuen Richtlinien umsetzen können
Stellen Sie sicher, dass Ihr Unternehmen ein E-Mailsystem benutzt, dass für die Art von Daten geeignet ist, die ausgetauscht werden sollen:
- TLS ermöglicht, dass E-Mail-Server und Clients sich gegenseitig authentifizieren und Informationen über einen geschützten Kanal austauschen können
- S/MIME verschlüsselt Ihre E-Mails und kann für Versand und Empfang von E-Mails verwendet werden.
- Sichere E-Maillösungen ermöglichen es Ihnen, Nachrichten und Dateien als sichere „Pakete“ zu versenden.
Mehr zu diesem Thema: Best Practice Guide zur E-Mailverschlüsselung (auf Englisch)
Hintergrund der neuen Richtlinien zur E-Mailverschlüsselung
Der Datenschutz ist seit Jahren Thema, das sich steigender Beachtung erfreut. Durch die Einführung der DSGVO im Jahr 2018 gewann das Thema auch für viele Unternehmen an Aktualität. Datenschützer auf der ganzen Welt arbeiten daran, Best Practices und Anforderungen an Datensammlung, verarbeitung und -übertragung zu definieren, die neue Datenschutzgesetze abbilden.
Leitfaden herunterladen: Meeting GDPR Requirements with GoAnywhere MFT
Sicherheitsprobleme und Attacken auf deutsche Unternehmen, die in jüngster Zeit bekannt wurden, haben gezeigt, wie viele Informationen von ungeschützt oder unzureichend geschützt sind – ein verheerender Zustand sowohl aus der Cybersecurity- als auch der Datenschutzperspektive.
Das TVSmiles-Datenleck
Bei TVSmiles, einer in Berlin entwickelten App mit fast 3 Millionen Nutzern, in der man mit digitales Geld verdienen kann, indem man Quizfragen beantwortet, Videos anschaut oder mit anderem „gebrandeteten“ Content interagiert, wurden durch ein Datenleck Informationen über die Nutzer und ihre Geräte für Unbefugte zugänglich. Zum Glück für die Nutzer (und die App) wurde das Leck von UpGuard entdeckt, einem Cybersecurity-Forscher, der das Datenleck an TVSmiles meldete.
Ein ungeschützter S3-Bucket (Datenspeicher) bei Amazon, der E-Mailadressen, Länderangaben, Vor- und Nachname, Geschlecht, Geburtstag, Anschrift, Telefonnummer, Passwörter (!) und eine Sammlung von „Insights“, d.h. psychographischen Attributen und mehr enthielt, war von UpGuard entdeckt worden. TVSmiles konnte den Bucket sofort sichern. Anscheinend waren die einzigen unbefugten Zugriffe diejenigen, die UpGuard durchgeführt hatte.
Wie TechCrunch in einem Artikel betonte, kann “sogar eine App mit einer relativ kleinen Nutzergruppe (unter zehn Millionen) auf massiven Datenbergen sitzen“. Nachdem das TVSmiles-Datenleck bekannt wurde, wurde von Datenschützern eine Untersuchung sowohl des Datenlecks selbst als auch der Rechtmäßigkeit der massiven Datensammlung und verarbeitung gefordert.
Phishing- die Attacke auf COVID-19-Task Force
Als wäre eine globale Pandemie noch nicht schlimm genug, wurde ein in Deutschland ansässiges Unternehmen, das von der Regierung mit der Beschaffung von Schutzkleidung beauftragt ist, Ziel einer < a href="https://www.bankinfosecurity.com/phishing-attack-targeted-german-covid-19-task-force-firm-a-14408" target="_blank">Phishing-Attacke. Ziel des Angriffs waren anscheinend Microsoft-Anmeldeinformationen, so ein Bericht von Sicherheitsforschern der IBM X-Force Incident Response und Intelligence Services. Mit diesen Informationen wären Angreifern Tür und Tor zu Kunden- und anderen Unternehmensdaten geöffnet, und auch der Zugang zu internen Firmennetzwerken.
Mehr zu diesem Thema: How the Coronavirus is Impacting Your Data Security (auf Englisch)
Zusammenfassung
In dem Maße, wie Nutzer von IT-Systemen immer mehr ihrer Daten teilen und Hackerangriffe in Quantität und „Qualität“ ansteigen, steigt auch die Notwendigkeit besserer Cybersecurity und besseren Datenschutzes. Während E-Mail als schnelles und komfortables Medium zum Austausch von Daten etabliert ist, müssen E-Mails, die sensible Daten enthalten, besser geschützt werden. Darauf weist die deutsche Datenschutzkonferenz hin und empfiehlt technische Maßnahmen zur Umsetzung.
Verschlüsseln Sie Ihre Emails
Stellen Sie sicher, dass die personenbezogenen Daten, die Sie senden, geschützt und nachverfolgbar sind. Eine sichere Lösung, die Ende-zu-Ende-Verschlüsselung einsetzt, kann Ihnen helfen Daten sicher zu senden und zu empfangen, unabhängig davon, ob Email oder ein andere Medium verwendet wird.
Jeden Tag senden Unternehmen, Behörden und andere Organisationen hunderte oder tausende von E-Mails – aber normale E-Mails sind weit davon entfernt, die sicherste Lösung für Dateiaustausch zu sein. Secure Mail, eine GoAnywhere-Lösung, hilft Ihnen, Dateien sicher mittels E-Mail zu versenden, indem Sie E-Mail-Anlagen als Link versendet, mit dem Empfänger die Datei über einen gesicherten Server herunterladen können. Secure Mail ermöglicht Ihnen auch, zu protokollieren, wann welche Dateien heruntergeladen oder angezeigt wurden, sowie Links mit Ablaufdaten zu versehen.
Alle Organisationen besitzen sensible Daten. Wenn Sie sichergehen wollen, dass diese Daten nicht ungewollt an Außenstehende weitergegeben werden, helfen Adaptive Data Loss Prevention (A-DLP)-Lösungen. Diese überwachen den Fluss Ihrer Daten, bevor diese Ihre Organisation durch Email, Websites, soziale Medien oder andere Anwendungen verlassen können. Während traditionelle DLP-Lösungen den Transfer von Daten im Zweifelsfall komplett blockieren („Stop and block“), wählt A-DLP automatisch die beste Aktion aus, um die Datensicherheit zu gewährleisten und wendet sie an, abhängig vom Inhalt der Daten, dem Kontext und den Richtlinien der Organisation. Zu diesen Aktionen gehören Echtzeit-Unkenntlichmachung der Daten (“Redaction”), Verschlüsselung, Blockieren oder Löschen.
Mehr zu diesem Thema: Pair Clearswift DLP with GoAnywhere MFT to Elevate your Cybersecurity Stance (auf Englisch)
