Was sind personenbezogene Daten?

Personenbezogene Daten sind Daten, die zur Identifikation einer bestimmten Person verwendet werden können. Dabei kann es sich um sensible Daten handeln, die beispielsweise bei einem Identitätsdiebstahl entwendet werden. Personenbezogene Daten können so einfach sein wie der Vorname, die Adresse und das Geburtsdatum eines Benutzers, aber auch so sensibel wie der vollständige Name, die Adresse, die Sozialversicherungsnummer und Finanzdaten. Personenbezogene Daten haben beim Verkauf auf Darknet-Märkten einen hohen Wert und sind daher bei Datenschutzverletzungen ein beliebtes Ziel für Angreifer.

Die oben genannten Beispiele stellen jedoch keine vollständige Liste dar. Im Prinzip kann jede Information, die zur Identifizierung einer Person verwendet werden kann, als personenbezogene Daten betrachtet werden. Es sind diese Informationen, die Unternehmen dauerhaft vor Angreifern schützen müssen.

Es ist wichtig, zwischen sensiblen und nicht-sensiblen personenbezogene Daten zu unterscheiden, da sensible Informationen durch Compliance-Standards geregelt sind und durch verschiedene, von den Aufsichtsbehörden festgelegte Cybersicherheitsstandards geschützt werden müssen. Hochgradig sensible Daten wie Sozialversicherungsnummern und Finanzdaten erfordern umfangreiche Sicherheitsmaßnahmen, um sie vor Angriffen zu schützen.

Wie bei den Definitionen für personenbezogene Daten gibt es auch für die Definition sensibler Daten keine festen Regeln oder Standards. Man kann jedoch prüfen, ob die Informationen öffentlich zugänglich sind oder ob sie in keinem Telefonbuch und keiner öffentlichen Datenbank gefunden werden können. Telefonnummern können privat sein, aber öffentliche Telefonnummern und Namen gelten nicht als private Daten. Der Name und die geschäftliche E-Mail-Adresse eines Mitarbeiters sind keine sensiblen Daten, aber die private Telefonnummer und Adresse des Mitarbeiters würden als sensible personenbezogene Daten gelten.

Gesetzliche Normen legen fest, wie sensible Daten gespeichert und übertragen werden müssen. Sensible Daten müssen sowohl bei der Speicherung als auch bei der Übertragung über das Netz verschlüsselt werden. Daten, die auf einem Laufwerk oder in einer Datenbank gespeichert sind, werden als „ruhende Daten“ (data at rest) bezeichnet. Daten, die über ein Netzwerk übertragen werden, bezeichnet man als „Daten in Bewegung“ (data in motion). Beide Versionen sind anfällig für Angriffe und müssen mit den besten Cybersicherheitsmaßnahmen geschützt werden.

Neben personenbezogenen Daten unterliegen auch geschützte Gesundheitsinformationen und Finanzdaten bestimmten Normen und müssen gemäß den folgenden Richtlinien gesichert werden: In den USA überwacht der Health Insurance Portability and Accountability Act (HIPAA) die Gesundheitsdaten des Gesundheitswesens und definiert die Standards für Cybersicherheit im Gesundheitsbereich, die etwa für Ärzte, Krankenhäuser, Zahnärzte, Versicherungsgesellschaften und andere Einrichtungen gelten. Mehrere Aufsichtsbehörden überwachen Sicherheitsstandards für Finanzdaten, darunter PCI-DSS, Financial Industry Regulatory Authority (FINRA) und Sarbanes-Oxley (SOX). Verstöße gegen diese Standards können Geldstrafen in Millionenhöhe nach sich ziehen. Daher ist es von entscheidender Bedeutung, dass sensible Daten durch einen dieser Compliance-Standards geregelt werden.

Die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO) legt fest, wie Unternehmen mit personenbezogene Daten arbeiten müssen. Sie enthält Richtlinien darüber, was als personenbezogene Daten zu betrachten ist und was getan werden muss, um sie zu speichern, zu sichern und zu löschen. Anhand der DSGVO-Checkliste können Unternehmen prüfen, ob sie bei der Verwaltung der personenbezogenen Daten auf dem richtigen Weg sind.

Die DSGVO unterscheidet zwischen Unternehmen mit 250 Mitarbeitern und Unternehmen mit weniger Mitarbeitern. Die Checkliste gibt Unternehmen Anweisungen, wie sie ruhende und bewegte Daten verschlüsseln müssen. Verschlüsselung ist die wichtigste Strategie, um Daten zu anonymisieren, wenn sie offengelegt werden. Selbst wenn ein internes Netzwerk durch einen Angriff kompromittiert wird, würden die Daten durch die Verschlüsselung unbrauchbar für den Angreifer.

Mehrere andere Cybersicherheitsstandards überwachen die in der EU ansässigen Daten. Unternehmen müssen nicht nur sicherstellen, dass die Daten bei der Entwicklung von Schutzmaßnahmen Priorität haben, sondern sie müssen ihren Kunden auch eine einfache Möglichkeit bieten, sich über die Verwendung ihrer Daten zu informieren und deren Löschung zu verlangen. Die Kunden sollten zudem auch die Möglichkeit haben, das Unternehmen an der Verwendung und Erfassung ihrer Daten zu hindern.

Wenn ein Unternehmen die DSGVO befolgen muss, ist es wichtig, die genauen Gesetzesanforderungen zu überprüfen, da sie sich von anderen regulatorischen Standards unterscheiden. Zum Beispiel besagt die DSGVO, dass Cookies als personenbezogene Daten betrachtet werden können. Das Gesetz unterscheidet zwischen personenbezogenen Daten und „persönlichen Identifikatoren“. Ein persönlicher Identifikator, der zu den persönlichen Daten hinzugefügt wird, würde einem Angreifer die Daten liefern, die er benötigt, um eine Person anhand grundlegender persönlicher Daten zu identifizieren. Beispielsweise könnte ein Angreifer mit dem Namen „Anna Müller“ nicht viel anfangen, aber durch die Kombination mit geografischen Daten könnte der Angreifer seine Suche auf die richtige Anna Müller eingrenzen.

Normen für die Einhaltung von Rechtsvorschriften sind die besten Richtlinien für die Sicherung sensibler Daten. Diese Normen sind ein hervorragender Ausgangspunkt für die Entwicklung von Cybersicherheitsrichtlinien und die Regelung der Datennutzung, aber sie bieten keine vollständige Strategie für alle Unternehmenssysteme. Basierend auf den individuellen Anforderungen eines Unternehmens können weitere Cybersicherheitsstrategien in Betracht gezogen werden.

So können beispielsweise HIPAA und PCI-DSS vorschreiben, dass Unternehmen bei der Übertragung sensibler Daten SSL/TLS (HTTPS) verwenden müssen. Das Unternehmen wäre dann verpflichtet, alle sensiblen Daten in der Datenbank zu verschlüsseln. Dennoch müssen Sie eine Reihe von Strategien für den internen Zugriff, Backups und Archive festlegen und bestimmen, wer innerhalb des Unternehmens auf die personenbezogenen Daten zugreifen kann. Wenn Benutzer aus der Ferne auf PII zugreifen, sollten sie verpflichtet werden, ein VPN und eine mehrstufige Authentifizierung (MFA) zu verwenden.

Phishing- und Social-Engineering-Angriffe sind für den Diebstahl von Anmeldedaten weit verbreitet. Alle Mitarbeiter sollten über die Gefahren von Phishing und Social Engineering aufgeklärt werden, und sie sollten lernen, wie sie einen Angriff erkennen, eine Phishing-Mail melden und was sie zu tun haben, wenn sie einen Social-Engineering-Angriff vermuten. Die allgemeine Aufklärung über gesetzliche Richtlinien, die die Daten und die Personen, die darauf zugreifen, überwachen, sollte Teil der Mitarbeiterschulung sein. Verschiedene andere Cybersicherheitslösungen können eingesetzt werden, um Phishing zu verhindern, z. B. E-Mail-Filter, DMARC, SPF und DNS-basierte Inhaltsblocker.

Die Cybersicherheitsstrategien müssen regelmäßig überprüft werden – mindestens einmal im Jahr, manche Unternehmen entscheiden sich jedoch für eine häufigere Überprüfung. In einer Phase der Incident Response wird analysiert, welche Lektionen gelernt werden können. Diese Phase hilft dabei, Probleme in Strategien aufzudecken, allerdings erst, nachdem die Datenverletzung stattgefunden hat. Die regelmäßige Überprüfung der aktuellen Cybersicherheitsstrategien und der eingesetzten Infrastruktur hilft den IT-Mitarbeitern, Schwachstellen in der aktuellen Verteidigung besser zu erkennen.

Persönliche Gesundheitsdaten, personenbezogene Daten, Persönliche Finanzinformationen (PFI) und elektronische PHI (ePHI) sind Formen digitaler Daten, die physisch und virtuell geschützt werden müssen. Der erste Schritt besteht darin, alle Arten der Datenerfassung in dem Unternehmen zu ermitteln, die gesetzlichen Normen zu bestimmen, die den Umgang mit Daten regeln, und dann Strategien anzuwenden, die alle Richtlinien befolgen.