Was sind personenbezogene Daten und wie sollte Ihr Unternehmen sie schützen?

Was sind sensible Daten und wo werden sie in der Zusammenarbeit gespeichert?

Jedes Unternehmen hat in irgendeiner Form mit sensiblen Daten zu tun, z. B. mit geistigem Eigentum, Finanzunterlagen, juristischen Dokumenten und regulierten Informationen wie Zahlungskartendaten, geschützten Gesundheitsdaten und persönlichen Identifikationsdaten (PCI/PHI/PII).

Das Ziel des Managements sensibler Daten ist es, die Risiken im Zusammenhang mit dem Umgang mit regulierten Daten und der Diskussion vertraulicher Geschäftsvorgänge in Collaboration-Tools wie Slack und Microsoft Teams zu identifizieren und zu minimieren. Wenn diese Informationen durchsickern oder exfiltriert werden, könnten sie den Ruf des Unternehmens schädigen, Marktanteile kosten oder zu Klagen und behördlichen Maßnahmen führen.

Was sind persönlich identifizierbare Informationen (PII)?

Persönlich identifizierbare Informationen (PII) sind alle Informationen, die, wenn sie mit einer bestimmten Person verknüpft sind, allein oder mit anderen relevanten Daten verwendet werden können, um deren Identität aufzudecken.

Es gibt zwei Arten von Identifikatoren. Die erste sind direkte Identifikatoren wie Passdaten oder eine eindeutige Kundennummer, die eine Person eindeutig identifizieren können. Das zweite sind indirekte Identifikatoren oder so genannte Quasi-Identifikatoren, wie z.B. das Geburtsdatum. In Kombination mit anderen Quasi-Identifikatoren wie Postleitzahlen könnten diese Informationen die Identität einer Person aufdecken.

Was wird als PII betrachtet?

Alle Informationen, die mit einer bestimmten Person in Verbindung stehen und dazu verwendet werden können, ihre Identität aufzudecken, werden als persönlich identifizierbare Informationen (PII) betrachtet.

Beispiele für PII: - 

• Vollständiger (rechtlicher) Name
• Heimatadresse
• E-Mail Adresse
• Sozialversicherungsnummer
• Reisepassnummer
• Nummer des Führerscheins
• Kreditkartennummern
• Geburtsdatum
• Telefon Nummer
• Eigene Immobilien z.B. Fahrzeug-Identifikationsnummer (VIN)
• Details zur Anmeldung
• Seriennummer des Prozessors oder Geräts
• Medienzugriffskontrolle (MAC)
• Internet (IP) Adresse
• Geräte-IDs
• Cookies

Diese gelten als PII, da es sich um statische Identifikatoren handelt, die durchgängig mit einer bestimmten Person oder Personengruppe verknüpft sind. Wenn sie mit anderen Informationen kombiniert werden, können sie eine Person oder eine Gruppe von Personen erfolgreich identifizieren, verfolgen oder lokalisieren.

Sensible vs. nicht sensible PII

Nicht alle persönlich identifizierbaren Informationen (PII) bergen das gleiche Risiko.

Zu den sensiblen PII gehören Informationen, die, wenn sie offengelegt werden, einer Person erheblichen Schaden zufügen könnten. Dies kann durch finanziellen Betrug, Identitätsdiebstahl oder Rufschädigung geschehen. Sensible PII unterliegen oft strengeren gesetzlichen Kontrollen und erfordern stärkere Schutzmaßnahmen.

Zu den nicht sensiblen PII gehören hingegen personenbezogene Daten, bei denen es weniger wahrscheinlich ist, dass sie Schaden anrichten, wenn sie allein veröffentlicht werden. Wenn sie jedoch mit anderen Daten kombiniert werden, können selbst nicht sensible PII identifizierbar werden und das Risiko erhöhen.

Auch wenn nicht sensible PII nicht immer verschlüsselt oder geschwärzt werden müssen, sind sie dennoch schützenswert. Vor allem, wenn sie zusammen mit sensiblen Informationen gespeichert werden.

Datenschutzgesetze und PII

Mit der Zunahme von Datenschutzverletzungen und Cyber-Bedrohungen sind die weltweiten Datenschutzbestimmungen strenger geworden. Organisationen, die personenbezogene Daten erfassen, verarbeiten oder speichern, müssen die regionalen und branchenspezifischen Gesetze zur Datensicherheit einhalten. Dies geschieht, um unbefugten Zugriff zu verhindern und die Privatsphäre des Einzelnen zu schützen.

In den Vereinigten Staaten regelt der Privacy Act von 1974, wie Bundesbehörden mit persönlichen Daten umgehen. Branchenspezifische Gesetze wie HIPAA (für das Gesundheitswesen) und GLBA (für Finanzinstitute) schreiben strenge Kontrollen für sensible Informationen vor.

Auch die General Data Protection Regulation (GDPR) der Europäischen Union und der Consumer Privacy Act (CCPA) von Kalifornien verlangen von Unternehmen, dass sie bei der Verwaltung personenbezogener Daten für Transparenz, Verantwortlichkeit und Zustimmung sorgen.

Zu den wichtigsten Anforderungen der meisten Vorschriften gehören:

• Implementierung strenger Sicherheitskontrollen zur Verhinderung von Datenlecks oder unbefugtem Zugriff
• Minimierung der Erfassung von unnötigen PII
• Gewährung von Rechten für Einzelpersonen in Bezug auf ihre persönlichen Daten, einschließlich Zugang, Korrektur und Löschung
• Rechtzeitige Meldung von Datenschutzverletzungen an Behörden und betroffene Benutzer

Die Nichteinhaltung dieser Gesetze kann zu erheblichen Geldstrafen, Rufschädigung und dem Verlust des Kundenvertrauens führen. Da Daten weiterhin über Grenzen und Plattformen hinweg fließen, ist es wichtig, die PII-Richtlinien Ihres Unternehmens mit den sich entwickelnden Datenschutzbestimmungen in Einklang zu bringen.

Wie werden PII gestohlen?

Persönliche Daten können auf unterschiedliche Weise kompromittiert werden, und mit nur wenigen persönlichen Informationen können böswillige Akteure großen Schaden anrichten. Zu den vielen möglichen Szenarien gehören die Einrichtung falscher Konten in Ihrem Namen, die Anhäufung von Schulden, die Fälschung eines Reisepasses auf Ihren Namen und der Diebstahl und Verkauf Ihrer Identität.

Da Geschäfte zunehmend online abgewickelt werden, können digitale Dateien leicht gehackt und von Cyberkriminellen eingesehen werden. Dies gilt insbesondere, wenn Ihr Cyber-Schutz zu locker ist. Ohne einen soliden Schutz und eine Richtlinie zum Schutz von personenbezogenen Daten sind Unternehmen und ihre Kunden einem großen Risiko ausgesetzt.

Eine der einfachsten Möglichkeiten für Cyberkriminelle, an personenbezogene Daten zu gelangen, sind E-Mails. Da E-Mail das wichtigste Kommunikationsmittel ist, kann viel auf dem Spiel stehen, wenn Sie Ihre Umgebung nicht gut genug absichern. 

Wie Sie persönliche Informationen zur Identität (PII) schützen

Der SaaS-basierte Abonnementdienst von Mimecast geht auf alle Herausforderungen ein, denen sich Finanzdienstleister beim Schutz von PII und anderen sensiblen Informationen in E-Mails gegenübersehen. Die Lösungen von Mimecast basieren auf einer echten Cloud-Architektur und tragen dazu bei, die Kosten und die Komplexität des E-Mail-Schutzes zu reduzieren, während sie gleichzeitig die Leistung deutlich verbessern und die Sicherheit und Compliance erhöhen.

Mimecast-Lösungen zum Schutz von PII helfen:

• Schützen Sie sich vor Sicherheitsbedrohungen, die von E-Mails ausgehen. Mimecast stoppt nicht nur Spam und Viren, sondern entschärft auch Spear-Phishing, Imitationsangriffe, Ransomware, einen Man-in-the-Browser-Angriff und andere ausgeklügelte Angriffe. 
• Verbessern Sie die Ausfallsicherheit von E-Mails mit 100% Betriebszeit. Mimecast Mailbox Continuity bietet ununterbrochenen Zugriff auf aktuelle und historische E-Mails und Anhänge - selbst bei Ausfällen und Angriffen - über alltägliche Tools wie Outlook für Windows, mobile Anwendungen und das Internet.
• Vereinfachen Sie Archivierung und Compliance. Das Mimecast Cloud Archive dient als zentrales externes Repository für E-Mails, Dateien und IM conversations. Es bietet Benutzern blitzschnelle Suchfunktionen und Administratoren Tools zur Vereinfachung von E-Mail-Aufbewahrungsrichtlinien, E-Discovery und Legal Hold. Mimecast erleichtert auch die Verwaltung der PCI-DSS- und FINRA-Compliance sowie der SEC-Anforderungen zur Aufbewahrung von E-Mails.
• Befähigen Sie die Benutzer. Mimecast bietet Ihren Benutzern Tools für Self-Service-Sicherheit, Archivierung und Kontinuität sowie Funktionen für den sicheren Versand von Nachrichten und den Austausch großer Dateien.

PII-Schutz mit Mimecast

Der Schutz personenbezogener Daten in der E-Mail-Kommunikation ist ein wichtiger Bestandteil der Compliance im Finanzdienstleistungssektor. E-Mail ist zum wichtigsten Kommunikationsmittel mit Kollegen, Kunden, Lieferanten und Partnern geworden. Daher sind Unternehmen im Finanzdienstleistungsbereich verpflichtet, sichere und effektive Lösungen zum Schutz von PII zu implementieren.

Diese Anforderung wird noch dringlicher durch die Tatsache, dass E-Mail der Angriffsvektor Nr. 1 für Hacker ist, die versuchen, PII und andere sensible Informationen zu stehlen. Finanzdienstleister sind anfällig für eine Vielzahl von ausgeklügelten Angriffen per E-Mail. Diese können die Benutzer täuschen und selbst die anspruchsvollsten Mitarbeiter täuschen. Die Aufgabe, personenbezogene Daten zu schützen, wird durch strenge und sich weiterentwickelnde Vorschriften, verteilte Mitarbeiter und komplexe IT-Umgebungen noch komplexer.

Mimecast kann helfen. Mit einem All-in-One-Ansatz für E-Mail-Sicherheit, Archivierung und Kontinuität bietet Mimecast Cloud-basierte Dienste zum Schutz von personenbezogenen Daten, E-Mail-Systemen und Benutzern und vereinfacht gleichzeitig die Verwaltung von business email.

Vorteile des Schutzes von PII mit Mimecast

Mit Mimecast können Sie:

• Rasche Einführung und Skalierung von Lösungen zum Schutz von personenbezogenen Daten bei gleichzeitiger Senkung der Betriebs- und Kapitalkosten dank der Cloud-SaaS-Lösung von Mimecast 100%.
• Verbessern Sie die Sicherheit und Ausfallsicherheit für Microsoft Office 365, Microsoft Exchange und Google G Suite.
• Vereinfachen Sie die E-Mail-Verwaltung mit einer single Konsole für die Festlegung von Richtlinien, die Berichterstellung, die Fehlerbehebung und die Verwaltung von E-Mail-Sicherheit, Archivierung und Kontinuität.

Erfahren Sie mehr über den Schutz von PII mit Mimecast und über die Mimecast-Lösungen zur Einhaltung von Vorschriften im Gesundheitswesen.