Die E-Mail angesichts der DSGVO: Bedrohungen, Rechte und Pflichten

Als Schnittstelle vieler Anwendungen im Unternehmen und erster Vektor von Cyberattacken unterliegen E-Mails vielen Vorschriften und sensiblen Praktiken. Einschließlich der DSGVO, die seit dem 25. Mai 2018 in Kraft ist.

Eine E-Mail ist eine von einer Person geschriebene und für eine andere Person bestimmte Nachricht, die über ein Computernetzwerk von einem Mailserver an einen zweiten Mailserver weitergeleitet wird.

Diese vereinfachte Definition einer E-Mail reicht aus, um das Sicherheitsproblem dieses Kommunikationsverfahrens aufzuwerfen, das zwei Rekorde aufweist: Es ist das Meistgenutzte im Unternehmen und das am meisten bedrohte und bedrohlichste, da E-Mails nunmehr der erste Angriffsvektor sind, der von Hackern verwendet wird (1).

An die DSGVO angepasste Cybersicherheit

E-Mails müssen daher in den Mittelpunkt der Cybersicherheit von Unternehmengestellt werden, da sie für die interne und externe Kommunikation unerlässlich und ein persönliches Werkzeug sind, das alle Mitarbeiter betrifft und sich auf alle Personen erstreckt, die am Unternehmen mitwirken. Das macht sie zum Ziel von Hackern, die das Unternehmen angreifen wollen, um das zu zerstören oder zu stehlen, was heute seinen Wert ausmacht, die Daten. Insbesondere müssen E-Mails vor Phishing und Spear-Phishing-Missbrauchoder vor Malware geschützt werden, d. h. vor jeder Technik, mit der Daten gestohlen und für betrügerische Zwecke verwendet werden sollen.

Parallel zu diesem Kontext des Datenschutzes gegen Cyberkriminalität wurden mit der Umsetzung der DSGVO (Datenschutz-Grundverordnung) bzw. GDPR (General Data Protection Regulation) neue Regelungen zum Schutz personenbezogener Daten hinzugefügt. Seit dem 25. Mai 2018 unterliegen alle europäischen Unternehmen oder solche, die mit Bürgern der Europäischen Gemeinschaft handeln, der europäischen DSGVO. Insbesondere ist das Unternehmen verpflichtet, die in seinen Datenbanken gespeicherten personenbezogenen Daten zu schützen, unabhängig davon, ob es sich um Daten von Kunden, Lieferanten, Mitarbeitern oder anderen mit ihm in Kontakt stehenden Personen handelt. Sie definiert auch zwei Konzepte, denen sich Unternehmen nun unterwerfen müssen: „Privacy by Design (jeder neue Prozess muss durch das Prisma der Cybersicherheit gestaltet werden) und „Privacy by Default (alle gespeicherten Daten müssen zuvor eine minimale Pseudonymisierung erfahren haben, d. h. keine formale Identifizierung einer Person zulassen).

Dies bedeutet, dass die Unternehmen Prozesse einrichten und Technologien einsetzen müssen, um ihre persönlichen Daten zu schützen und sicherzustellen, dass sie nicht außerhalb des Rahmens verwendet werden, für den sie erhoben wurden und dass sie ohne die Zustimmung der betroffenen Personen nicht an Dritte weitergegeben werden.

In diesem neuen Rechtsrahmen muss das Unternehmen daher nachweisen, dass es geeignete Maßnahmen ergriffen hat, um sicherzustellen, dass die Daten, über die es verfügt, nicht gehackt werden können. Daher ist es für Unternehmen, die Cloud-basierte Anwendungsplattformen wie G- Suite oder Office 365 einsetzen, noch wichtiger, die am meisten genutzte Eingangspforte für Daten-Hacking, d. h. die E-Mail, zu schützen. Die Implementierung von Lösungen, die es ermöglichen, sich vor Cyberkriminalität, und insbesondere das eigene E-Mail-System zu schützen, ist daher in diesem neuen Kontext vollständig konform und im Sinne der Umsetzung der DSGVO.

Ihre E-Mails schützen und die DSGVO einhalten: 4 Schlüsselelemente

Mit dem Schutz Ihrer E-Mails, d. h. des Flusses der empfangenen, versendeten, aber auch innerhalb des Unternehmens ausgetauschten E-Mails, reagieren Sie auf die Forderung des Gesetzgebers nach Gewährleistung des Schutzes personenbezogener Daten. Genauer gesagt hat der Schutz von E-Mails Auswirkungen auf verschiedene vom Gesetzgeber geforderte Elemente: Schutz von Daten, Verfolgung von Daten und Beschränkung des Zugriffs, Schutz vor Datenverlust und schließlich Verwaltung der Benutzeridentitäten.

Schutz der Daten
Die Implementierung einer E-Mail-Schutzlösung ermöglicht es, alle Angriffsversuche, sei es Malware, Phishing, Spear-Phishing, zu blockieren und so den Diebstahl einzelner oder zahlreicher Daten zu verhindern. Wichtig ist eine Lösung, die bekannte, vor allem aber unbekannte Bedrohungen blockiert und somit vor Zero-Day-Angriffen (Angriffe, die Schwachstellen ausnutzen, die noch nicht aufgedeckt und dokumentiert wurden) schützt. Wenn es um Sicherheit geht, kann ein einziger erfolgreicher Angriff schwerwiegende Konsequenzen haben! Lösungen wie unsere, die auf heuristischem Filtern, Algorithmen maschinellen Lernens und künstlicher Intelligenz basieren, können diese neuen Angriffe blockieren, im Gegensatz zu Lösungen, die traditionelle Technologien verwenden, die auf Signatur- oder IP-Adressen-Reputation basieren.

Phishing bekämpfen

Daten verfolgen und Zugriff einschränken
Die Rückverfolgbarkeit wird durch Filterprotokolle für E-Mails, Ereignisprotokolle und Statistiken über lange Zeiträume hinweg gewährleistet. Die Statistiken basieren auf dem Einsatz von Datenverbrauchsmaßnahmen (Datenlebensdauer, Lösch- und Migrationsworkflow, Zugriffskontrolle, usw.).

Verhindern von Datenverlust
Zum Schutz vor Datenverlust ist es notwendig, sowohl das Bewusstsein der Nutzer zu schärfen als auch wirksame Schutzlösungen, insbesondere gegen Phishing und Spear-Phishing, bereitzustellen.
Bewusstsein und Wachsamkeit müssen im Mittelpunkt der Datensicherheit stehen, denn die Nutzer sind die Ersten, die von Angriffen bedroht und von Hackern als das schwache Glied betrachtet werden. Sie versuchen also, die Anwender zu täuschen, um die Verteidigungsbarrieren des Unternehmens zu überwinden und auf die Daten zuzugreifen.

Das Verhindern von Datenverlust bedeutet auch, eine E-Mail-Schutzlösung zu haben, die in der Lage ist, diese Art von Bedrohung zu erkennen und jeden Angriff zu blockieren, der darauf abzielt, Daten zu stehlen. Es muss beispielsweise eine Analyse der in E-Mails vorhandenen Links geboten werden, gerade für dem Moment, in dem diese geöffnet werden (Anti-Phishing). Oder ein spezifischer Schutz vor Identitätsdiebstahl und Datendiebstahl (Anti-Spear-Phishing).

Whitepaper herunterladen Spear-Phishing – einen ausgeklügelten Angriff verstehen

Benutzeridentitäten verwalten
Authentifizierung ist ein Schlüsselfaktor für den Schutz von Personen und Unternehmen und ist bei Weitem nicht nur für E-Mails erforderlich. Für den E-Mail-Schutz ist es notwendig, sich auf Benutzerfilterregeln (insbesondere zur Erkennung gezielter Spear-Phishing-Angriffe) und die Authentifizierung vor dem Zugriff auf Benutzer-Quarantänen verlassen zu können.

Erinnerung an die wichtigsten Rechte im Zusammenhang mit der DSGVO:

  • Zugangsrecht: Wissen, wo und zu welchem Zweck die Daten verwendet werden. Möglichkeit, kostenlos eine elektronische Kopie der Daten zu erhalten.
  • Recht auf die Einschränkung der Verarbeitung: Recht, eine Einschränkung der Verarbeitung zu verlangen, wenn Zweifel an der Richtigkeit der Daten, der Rechtmäßigkeit oder der Notwendigkeit der Verarbeitung bestehen.
  • Recht auf Berichtigung: Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten.
  • Recht auf Löschung: Personenbezogene Daten müssen gelöscht und die Verarbeitung und Verbreitung eingestellt werden.
  • Widerspruchsrecht: Die Zustimmung muss klar zum Ausdruck gebracht werden, und es muss möglich sein, sie so einfach zurückzuziehen, wie sie erteilt wurde.
  • Recht auf Übertragbarkeit der Daten: Das Recht, personenbezogene Daten, die zuvor an eine Maschine übermittelt wurden, zu erhalten und an eine andere Organisation zu übermitteln.

Das Unternehmen wird sich bemühen, diese Rechte zu respektieren – die DSGVO basiert auf dem Ansatz, d. h. dem Willen, personenbezogene Daten zu schützen – und es unterliegt daher den Verpflichtungen der DSGVO.

Erinnerung an die wichtigsten Verpflichtungen:

  • Privacy by Design und by Default: Die Daten müssen ab der Erstellung und bei jeder Standardnutzung geschützt werden. Das Unternehmen sollte nur erforderliche Daten aufbewahren und der Zugriff auf diejenigen Personen beschränkt werden, die die Daten verarbeiten.
  • Es muss ein Verarbeitungsprotokoll geführt werden: Alle Anforderungen an personenbezogene Daten und deren Verarbeitung müssen erfasst werden.
  • Ernennung eines DSB (Datenschutzbeauftragter): Ein DSB (Datenschutzbeauftragter) ist für öffentliche Einrichtungen und solche zu beauftragen, deren Haupttätigkeit es erfordert, „sensible“ Daten in großem Umfang zu verarbeiten (Art. 37).
  • Informieren im Falle eines Vorfalls: Es ist obligatorisch, die betroffenen Personen (deren Daten gespeichert sind) innerhalb von 72 Stunden über alle Mängel zu informieren, die ein Risiko für die Daten darstellen können.

Erfahren Sie mehr über Kampf gegen Phishing Laden Sie unser aktuelles Whitepaper herunter

1 – Dark Reading – Umfrage: The Impact of a Security Breach 2017

2018-06-27T14:57:57+00:00

Über den Autor: Sébastien Gest

Mit großer Erfahrung in der Welt der Telekommunikation und der Start-ups ist Sébastien Gest, Co-Board-Member bei MAAWG, Technology Evangelist bei Vade Secure.