Definition

Personenbezogene Daten sind Daten, die zur Identifikation einer bestimmten Person verwendet werden können. Dabei kann es sich um sensible Daten handeln, die beispielsweise bei einem Identitätsdiebstahl entwendet werden. Personenbezogene Daten können so einfach sein wie der Vorname, die Adresse und das Geburtsdatum eines Benutzers, aber auch so sensibel wie der vollständige Name, die Adresse, die Sozialversicherungsnummer und Finanzdaten. Personenbezogene Daten haben beim Verkauf auf Darknet-Märkten einen hohen Wert und sind daher bei Datenschutzverletzungen ein beliebtes Ziel für Angreifer.

Personenbezogene Daten: Beispiele

Es gibt keine einheitliche Regel, die bestimmt, was zu personenbezogenen Daten zählt und was nicht. Personenbezogene Daten sind oft eine Reihe von Daten, aber auch eine einzelne Information kann darunter fallen. So reicht beispielsweise ein vollständiger Name nicht aus, um ihn für ein Angriff zu verwenden, aber eine Sozialversicherungsnummer ist schon genug, um eine einzelne Person eindeutig zu identifizieren. Ein Vor- und Nachname grenzt die Identität einer Person ein, aber ohne eine Adresse und spezifischere Informationen könnte die Person immer noch anonym bleiben. Effektive personenbezogenen Daten liefern genügend Informationen, um eine Person unter Millionen anderer Personen eindeutig zu identifizieren.

Obwohl es keine einheitliche Definition für personenbezogene Daten gibt, können die Beispiele in der folgenden Liste als personenbezogene Daten betrachtet werden, wenn bei einer Kompromittierung genügend Daten betroffen sind. Eine oder alle der folgenden Informationen könnten bei einer Datenverletzung verwendet werden:

  • Vorname.
  • Nachname.
  • Rechnungsadresse.
  • Wohnanschrift.
  • Sozialversicherungsnummer.
  • Reisepassdaten (oder ein Bild davon).
  • Nummer des Führerscheins (oder ein Bild davon).
  • Kreditkartendaten (Nummer, CVV, Ablaufdatum).
  • Geburt.
  • Rufnummer.
  • Authentifizierungsdaten (Benutzername und Passwort).

Die oben genannten Informationen können zur Identifizierung einer Person verwendet werden, aber zusätzliche Daten können für einen Angreifer noch nützlicher sein.

Die folgenden Informationen sind für sich genommen für Angreifer nicht nützlich, können aber in Verbindung mit den oben genannten Informationen verwendet werden, um die Identität eines bestimmten Benutzers zu stehlen:

  • Nur Vor- oder Nachname, nicht der vollständige Name.
  • Land und/oder Stadt.
  • Geschlecht.
  • Race.
  • Altersgruppe (z. B. 30-40 Jahre alt).
  • Informationen zur beruflichen Position oder Karriere.

Die oben genannten Beispiele stellen jedoch keine vollständige Liste dar. Im Prinzip kann jede Information, die zur Identifizierung einer Person verwendet werden kann, als personenbezogene Daten betrachtet werden. Es sind diese Informationen, die Unternehmen dauerhaft vor Angreifern schützen müssen.

Sensible vs. nicht-sensible personenbezogenen Daten

Es ist wichtig, zwischen sensiblen und nicht-sensiblen personenbezogene Daten zu unterscheiden, da sensible Informationen durch Compliance-Standards geregelt sind und durch verschiedene, von den Aufsichtsbehörden festgelegte Cybersicherheitsstandards geschützt werden müssen. Hochgradig sensible Daten wie Sozialversicherungsnummern und Finanzdaten erfordern umfangreiche Sicherheitsmaßnahmen, um sie vor Angriffen zu schützen.

Wie bei den Definitionen für personenbezogene Daten gibt es auch für die Definition sensibler Daten keine festen Regeln oder Standards. Man kann jedoch prüfen, ob die Informationen öffentlich zugänglich sind oder ob sie in keinem Telefonbuch und keiner öffentlichen Datenbank gefunden werden können. Telefonnummern können privat sein, aber öffentliche Telefonnummern und Namen gelten nicht als private Daten. Der Name und die geschäftliche E-Mail-Adresse eines Mitarbeiters sind keine sensiblen Daten, aber die private Telefonnummer und Adresse des Mitarbeiters würden als sensible personenbezogene Daten gelten.

Gesetzliche Normen legen fest, wie sensible Daten gespeichert und übertragen werden müssen. Sensible Daten müssen sowohl bei der Speicherung als auch bei der Übertragung über das Netz verschlüsselt werden. Daten, die auf einem Laufwerk oder in einer Datenbank gespeichert sind, werden als „ruhende Daten“ (data at rest) bezeichnet. Daten, die über ein Netzwerk übertragen werden, bezeichnet man als „Daten in Bewegung“ (data in motion). Beide Versionen sind anfällig für Angriffe und müssen mit den besten Cybersicherheitsmaßnahmen geschützt werden.

Neben personenbezogenen Daten unterliegen auch geschützte Gesundheitsinformationen und Finanzdaten bestimmten Normen und müssen gemäß den folgenden Richtlinien gesichert werden: In den USA überwacht der Health Insurance Portability and Accountability Act (HIPAA) die Gesundheitsdaten des Gesundheitswesens und definiert die Standards für Cybersicherheit im Gesundheitsbereich, die etwa für Ärzte, Krankenhäuser, Zahnärzte, Versicherungsgesellschaften und andere Einrichtungen gelten. Mehrere Aufsichtsbehörden überwachen Sicherheitsstandards für Finanzdaten, darunter PCI-DSS, Financial Industry Regulatory Authority (FINRA) und Sarbanes-Oxley (SOX). Verstöße gegen diese Standards können Geldstrafen in Millionenhöhe nach sich ziehen. Daher ist es von entscheidender Bedeutung, dass sensible Daten durch einen dieser Compliance-Standards geregelt werden.

DSGVO: Personenbezogene Daten in der EU

Die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO) legt fest, wie Unternehmen mit personenbezogene Daten arbeiten müssen. Sie enthält Richtlinien darüber, was als personenbezogene Daten zu betrachten ist und was getan werden muss, um sie zu speichern, zu sichern und zu löschen. Anhand der DSGVO-Checkliste können Unternehmen prüfen, ob sie bei der Verwaltung der personenbezogenen Daten auf dem richtigen Weg sind.

Die DSGVO unterscheidet zwischen Unternehmen mit 250 Mitarbeitern und Unternehmen mit weniger Mitarbeitern. Die Checkliste gibt Unternehmen Anweisungen, wie sie ruhende und bewegte Daten verschlüsseln müssen. Verschlüsselung ist die wichtigste Strategie, um Daten zu anonymisieren, wenn sie offengelegt werden. Selbst wenn ein internes Netzwerk durch einen Angriff kompromittiert wird, würden die Daten durch die Verschlüsselung unbrauchbar für den Angreifer.

Mehrere andere Cybersicherheitsstandards überwachen die in der EU ansässigen Daten. Unternehmen müssen nicht nur sicherstellen, dass die Daten bei der Entwicklung von Schutzmaßnahmen Priorität haben, sondern sie müssen ihren Kunden auch eine einfache Möglichkeit bieten, sich über die Verwendung ihrer Daten zu informieren und deren Löschung zu verlangen. Die Kunden sollten zudem auch die Möglichkeit haben, das Unternehmen an der Verwendung und Erfassung ihrer Daten zu hindern.

Wenn ein Unternehmen die DSGVO befolgen muss, ist es wichtig, die genauen Gesetzesanforderungen zu überprüfen, da sie sich von anderen regulatorischen Standards unterscheiden. Zum Beispiel besagt die DSGVO, dass Cookies als personenbezogene Daten betrachtet werden können. Das Gesetz unterscheidet zwischen personenbezogenen Daten und „persönlichen Identifikatoren“. Ein persönlicher Identifikator, der zu den persönlichen Daten hinzugefügt wird, würde einem Angreifer die Daten liefern, die er benötigt, um eine Person anhand grundlegender persönlicher Daten zu identifizieren. Beispielsweise könnte ein Angreifer mit dem Namen „Anna Müller“ nicht viel anfangen, aber durch die Kombination mit geografischen Daten könnte der Angreifer seine Suche auf die richtige Anna Müller eingrenzen.

Bewährte Cybersicherheitspraktiken für die Arbeit mit personenbezogenen Daten

Normen für die Einhaltung von Rechtsvorschriften sind die besten Richtlinien für die Sicherung sensibler Daten. Diese Normen sind ein hervorragender Ausgangspunkt für die Entwicklung von Cybersicherheitsrichtlinien und die Regelung der Datennutzung, aber sie bieten keine vollständige Strategie für alle Unternehmenssysteme. Basierend auf den individuellen Anforderungen eines Unternehmens können weitere Cybersicherheitsstrategien in Betracht gezogen werden.

So können beispielsweise HIPAA und PCI-DSS vorschreiben, dass Unternehmen bei der Übertragung sensibler Daten SSL/TLS (HTTPS) verwenden müssen. Das Unternehmen wäre dann verpflichtet, alle sensiblen Daten in der Datenbank zu verschlüsseln. Dennoch müssen Sie eine Reihe von Strategien für den internen Zugriff, Backups und Archive festlegen und bestimmen, wer innerhalb des Unternehmens auf die personenbezogenen Daten zugreifen kann. Wenn Benutzer aus der Ferne auf PII zugreifen, sollten sie verpflichtet werden, ein VPN und eine mehrstufige Authentifizierung (MFA) zu verwenden.

Phishing- und Social-Engineering-Angriffe sind für den Diebstahl von Anmeldedaten weit verbreitet. Alle Mitarbeiter sollten über die Gefahren von Phishing und Social Engineering aufgeklärt werden, und sie sollten lernen, wie sie einen Angriff erkennen und melden. Die allgemeine Aufklärung über gesetzliche Richtlinien, die die Daten und die Personen, die darauf zugreifen, überwachen, sollte Teil der Mitarbeiterschulung sein. Verschiedene andere Cybersicherheitslösungen können eingesetzt werden, um Phishing zu verhindern, z. B. E-Mail-Filter, DMARC, SPF und DNS-basierte Inhaltsblocker.

Die Cybersicherheitsstrategien müssen regelmäßig überprüft werden – mindestens einmal im Jahr, manche Unternehmen entscheiden sich jedoch für eine häufigere Überprüfung. In einer Phase der Incident Response wird analysiert, welche Lektionen gelernt werden können. Diese Phase hilft dabei, Probleme in Strategien aufzudecken, allerdings erst, nachdem die Datenverletzung stattgefunden hat. Die regelmäßige Überprüfung der aktuellen Cybersicherheitsstrategien und der eingesetzten Infrastruktur hilft den IT-Mitarbeitern, Schwachstellen in der aktuellen Verteidigung besser zu erkennen.

Persönliche Gesundheitsdaten, personenbezogene Daten, Persönliche Finanzinformationen (PFI) und elektronische PHI (ePHI) sind Formen digitaler Daten, die physisch und virtuell geschützt werden müssen. Der erste Schritt besteht darin, alle Arten der Datenerfassung in dem Unternehmen zu ermitteln, die gesetzlichen Normen zu bestimmen, die den Umgang mit Daten regeln, und dann Strategien anzuwenden, die alle Richtlinien befolgen.

Erfahren Sie mehr über aktuelle Bedrohungen im jährlichen State of Phishing Report

Phishing-E-Mails sind eine ständige Bedrohung, doch nicht jeder fällt darauf herein. In unserem achten jährlich erscheinenden State of the Phish-Bericht erfahren Sie, wie sehr Anwender durch die größten Cyberbedrohungen gefährdet sind.

Trainingsmodul: DSGVO im Überblick

Ihre Endnutzer müssen wissen, dass sie für die GDPR Compliance, d.h. die Einhaltung der Vorgaben der Datenschutz-Grundverordnung (DSGVO) verantwortlich sind.