Was sind personenbezogene Daten?
Personenbezogene Daten sind wichtige Daten in Ihrem Unternehmen, da sie es Ihnen ermöglichen, digitale Identitäten zu verwalten. Zu den personenbezogenen Daten gehören Daten, die eine Person identifizieren können, wie zum Beispiel eine Sozialversicherungsnummer, Geburtsdaten oder Geburtsorte. Der unsachgemäße Umgang mit personenbezogenen Daten kann zu Identitätsdiebstahl führen und Ihre Nutzer oder Kunden schädigen. Dies kann auch zu erheblichen Geldstrafen und Reputationsschäden für Ihr Unternehmen führen.
Wahrscheinlich ist es für Ihr Unternehmen keine praktikable Option, den Umgang mit personenbezogenen Daten gänzlich zu vermeiden. Stattdessen benötigen Sie geeignete Verfahren und Systeme, um den ordnungsgemäßen Umgang mit personenbezogenen Daten sicherzustellen. In diesem Beitrag beschäftigen wir uns genauer mit personenbezogenen Daten. Wir betrachten die relevanten Datenschutzgesetze, gehen auf häufige Bedrohungen für personenbezogene Daten ein und geben Hinweise, wie Ihr Unternehmen Schutzmaßnahmen ergreifen kann.
Was sind personenbezogene Daten?
Personenbezogene Daten umfassen alle Daten, die zur eindeutigen Identifizierung einer Person verwendet werden können. Diese Daten werden in zwei Typen kategorisiert: direkte und indirekte Identifikatoren.
Direkte Identifikatoren können eine Person eindeutig identifizieren. Dazu gehören Daten wie:
- Sozialversicherungsnummern
- Passnummern
- Führerscheinnummern
Diese Identifikationsmerkmale sind oft eindeutig individuell. Somit können sie die Identität einer Person direkt und ohne zusätzlichen Kontext offenbaren.
Indirekte Identifikatoren hingegen können eine Person möglicherweise nicht allein identifizieren, aber in Kombination mit anderen Daten ist dies möglich. Nehmen wir zum Beispiel ein Geburtsdatum und einen Geburtsort. Einzeln betrachtet reichen sie möglicherweise nicht aus, um die Identität einer Person zu enthüllen. In Verbindung miteinander können sie dies jedoch.
Um diese Konzepte weiter auszuführen, ist es wichtig zu verstehen, dass auch nicht personenbezogene Daten zu personenbezogenen Daten werden können, je nachdem, in welchem Kontext sie verwendet werden oder ob sie mit anderen Informationen zusammengeführt werden. So wissen wir beispielsweise, dass eine Postleitzahl für sich genommen keine personenbezogene Angabe darstellt. In Verbindung mit der Berufsbezeichnung und dem Arbeitgeber einer Person könnte sie jedoch den Kreis der möglichen Personen eingrenzen, insbesondere in weniger dicht besiedelten Gebieten.
Der umfassende Leitfaden zur Entwicklung einer Identitätsschutzstrategie
Machen Sie den ersten Schritt in Richtung einer resilienten Identitätssicherheitsstrategie und laden Sie den vollständigen Leitfaden zum Aufbau einer Strategie zum Identitätsschutz herunter, um die digitale Identitätslandschaft Ihrer Organisation noch heute zu schützen.
Jetzt herunterladenGesetzliche und regulatorische Frameworks
Der Umgang mit personenbezogenen Daten unterliegt mehreren wichtigen Datenschutzgesetzen und -vorschriften, die dem Schutz der Privatsphäre des Einzelnen dienen. Hier ein Überblick über einige der wichtigsten Bestimmungen:
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) ist eines der strengsten Datenschutzgesetze der Welt. Sie erlegt Organisationen überall auf der Welt Verpflichtungen auf, sofern diese sich an EU-Bürger richten oder Daten über diese erheben. Die DSGVO betont Transparenz, Sicherheit und Rechenschaftspflicht aller Entitäten, die diese Daten verarbeiten, und räumt gleichzeitig Einzelpersonen weitreichende Rechte in Bezug auf ihre Daten ein.
Ähnlich wie die DSGVO gewährt der California Consumer Privacy Act (CCPA) Einwohnern Kaliforniens spezifische Rechte in Bezug auf ihre Daten:
- das Recht zu erfahren, welche personenbezogenen Daten über sie gesammelt werden
- das Recht, die Löschung ihrer Daten zu verlangen
- das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen
Der CCPA verpflichtet Unternehmen zudem, die Daten der Einwohner Kaliforniens durch angemessene Sicherheitsmaßnahmen zu schützen.
Schließlich schützt der Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten alle „personenbezogenen Gesundheitsinformationen“, die von betroffenen Entitäten oder deren Geschäftspartnern gespeichert oder übermittelt werden. Dieses Gesetz schreibt den Schutz und die vertrauliche Behandlung von geschützten Gesundheitsdaten vor.
Die Nichteinhaltung dieser Gesetze kann zu schweren Strafen führen. Unternehmen müssen mit rechtlichen Konsequenzen, Geldstrafen und Reputationsschäden rechnen. Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, müssen Sie diese Vorschriften kennen und die erforderlichen Richtlinien und Verfahren einführen, um Compliance sicherzustellen.
Gefahren für personenbezogene Daten
Heutige Cyberangriffe bedrohen die Sicherheit Ihrer personenbezogenen Daten. Es ist wichtig, diese Bedrohungen zu verstehen, damit Ihr Unternehmen wirksame Sicherheitsmaßnahmen ergreifen kann. Zu den häufigsten Bedrohungen für personenbezogene Daten gehören:
- Datenschutzverletzungen: wenn auf sensible, geschützte oder vertrauliche Daten ohne Genehmigung zugegriffen wird oder diese Daten weitergegeben werden. Datenschutzverletzungen können das Ergebnis ausgeklügelter Cyberangriffe sein, oder sie sind einfach auf menschliches Versagen zurückzuführen. Die Auswirkungen einer Datenschutzverletzung können jedoch unglaublich weitreichend sein und zu erheblichen finanziellen und Reputationsschäden führen.
- Phishing-Angriffe: betrügerische Versuche – in der Regel per E-Mail –, an vertrauliche Informationen zu gelangen, indem man sich als vertrauenswürdige Instanz ausgibt. Oft besteht das Ziel eines Phishing-Angriffs darin, personenbezogene Daten wie Benutzernamen, Kennwörter oder Kreditkartendaten zu extrahieren. Phishing ist eine der häufigsten Methoden, mit denen Angreifer personenbezogene Daten für böswillige Zwecke sammeln.
Malware: jegliche Software, die absichtlich dazu entwickelt wurde, einen Computer, Server, Client oder ein Computernetzwerk zu beschädigen. Wenn Cyberkriminelle ein System mit Schadsoftware infizieren, können sie Folgeschäden verursachen, wie z. B. den Diebstahl personenbezogener Daten, das Aussperren legitimer Benutzer oder andere schädliche Aktionen.
Best Practices zum Schutz personenbezogener Daten
Ihr Unternehmen sollte die folgenden Best Practices zum Datenschutz umsetzen, um personenbezogene Daten vor den oben genannten und anderen Cyberbedrohungen zu schützen.
Datenminimierung
Erheben Sie nur die Daten, die für den vorgesehenen Zweck erforderlich sind. Wenn Sie keinen guten Grund für die Erhebung bestimmter Daten haben, dann erheben Sie diese nicht. Je weniger sensible Informationen Sie verarbeiten, desto weniger könnten Sie versehentlich preisgeben. Darüber hinaus hält dies Ihren Compliance-Aufwand so gering wie möglich und vereinfacht Ihnen die Einhaltung der Datenschutzbestimmungen.
Datenanonymisierung und Pseudonymisierung
Daten sollten nach Möglichkeit anonymisiert oder pseudonymisiert werden, um die Privatsphäre zu schützen. Anonymisierung, auch De-Identifizierung genannt, bedeutet, Daten von personenbezogenen Elementen zu befreien. Dies macht es unmöglich, die Person ohne zusätzliche Informationen zu identifizieren.
Bei der Pseudonymisierung werden Identifikatoren durch fiktive Bezeichnungen ersetzt. Dies ermöglicht die Verarbeitung von Daten, ohne die Identität von Personen preiszugeben.
Verschlüsselung
Verwenden Sie Verschlüsselung, um Daten im Ruhezustand, während der Übertragung und bei der Nutzung zu schützen. Auf diese Weise stellen Sie sicher, dass die Daten für jeden, der nicht über den entsprechenden Entschlüsselungsschlüssel verfügt, unlesbar bleiben, falls sie abgefangen werden.
Sichere Speicherung
Setzen Sie sichere Speicherlösungen ein, wie sichere Datenbanken oder Cloud-Speicher-Buckets, um Daten vor unbefugtem Zugriff und Kompromittierungen zu schützen. Stellen Sie sicher, dass Sie diese Speicherlösungen mit geeigneten Zugriffskontrollen sichern.
Regelmäßige Sicherheitsaudits
Führen Sie regelmäßig Sicherheitsaudits und Schwachstellenanalysen durch, um potenzielle Sicherheitslücken im System zu identifizieren und zu beheben.
Die Anwendung dieser Praktiken trägt dazu bei, dass Ihre personenbezogenen Daten vor unbefugtem Zugriff und Missbrauch geschützt sind. Dies reduziert Ihr Risiko von Datenschutzverletzungen und hilft Ihnen, die Datenschutzgesetze einzuhalten.
Datenblatt: CrowdStrike Falcon® Data Protection
Laden Sie dieses Datenblatt herunter und erfahren Sie, wie CrowdStrike Falcon® Data Protection Datendiebstahl verhindert, indem Richtlinien automatisch anhand von Inhalten und nicht anhand von Dateien durchgesetzt werden.
Datenblatt zu Falcon Data Protection herunterladenDer Ansatz von CrowdStrike zum Schutz personenbezogener Daten
In diesem Beitrag haben wir uns mit personenbezogenen Daten, den Vorschriften zu ihrem Schutz und den Bedrohungen, denen sie ausgesetzt sind, befasst. Wir haben uns außerdem Best Practices angesehen, die Ihnen als Leitfaden beim Schutz der personenbezogenen Daten Ihres Unternehmens dienen sollen.
CrowdStrike Falcon® Data Protection bietet kontinuierliche Überwachung und Echtzeittransparenz der sensiblen Daten in Ihren cloudnativen Anwendungen und Systemen. Die Lösung hilft Ihnen dabei, festzustellen, wo personenbezogene Daten gespeichert sind und wie innerhalb Ihres Unternehmens darauf zugegriffen wird. Als KI-native Plattform, die kontinuierliche Sicherheit bietet, setzt CrowdStrike Falcon® Data Protection Datensicherheitsrichtlinien dynamisch durch und passt seine Schutzmaßnahmen an, wenn neue Bedrohungen erkannt werden oder wenn sich Daten innerhalb des Netzwerks bewegen.
Ryan Terry ist Senior Product Marketing Manager bei CrowdStrike mit Fokus auf Identitätssicherheit. Er verfügt über mehr als 10 Jahre Erfahrung im Produktmarketing für Cybersicherheit und war zuvor bei Symantec, Proofpoint und Okta beschäftigt. Ryan hat einen Master of Business Administration (MBA) von der Brigham Young University.
