Fehlversand: Ein häufig übersehenes Datenschutzrisiko

Fehlversand: Ein häufig übersehenes Datenschutzrisiko

Laut dem Verizon 2022 Data Breach Investigations Report (DBIR) führten 22 % der untersuchten Sicherheitsvorfälle im Jahr 2021 zu einer Datenschutzverletzung. Eine in diesem Bericht besonders hervorgehobene Datenschutzverletzung ist der “Fehlversand”. Ein solcher liegt vor, wenn ein Benutzer per E-Mail oder über einen anderen Kommunikationskanal an einen unbeabsichtigten Empfänger sendet.

Fehlversand spielte bei 715 Vorfällen eine Rolle, von denen 708 zu einer Datenschutzverletzung führten. Das bedeutet, dass 13,5 % aller Datenschutzverletzungen darauf zurückzuführen sind, dass jemand versehentlich sensible Informationen an den falschen Empfänger geschickt hat!

Was versteht man unter Fehlversand?

Um es klar zu sagen: Ein Fehlversand ist eine Datenschutzverletzung. Sobald sensible Informationen, die für autorisierte Benutzer bestimmt waren, an einen unbefugten Empfänger weitergeleitet wurden, ist der Schaden bereits angerichtet. Leider ist das Risiko eines Fehlversands angesichts der Tatsache, dass so viele Menschen mobil arbeiten, höher denn je. Doch warum?

Erstens befinden sich die Mitarbeiter nur noch selten im selben Büro, so dass sie über E-Mail und Collaboration-Tools kommunizieren müssen. Zweitens leiden viele unter einer Flut von Benachrichtigungen. Zwischen Teams oder Slack, E-Mail und Text können Mitarbeiter leicht die Übersicht verlieren und versehentlich Daten an die falsche Person weitergeben.

Wahrscheinlich ist es Ihnen auch schon passiert

Einige Branchen sind anfälliger für Fehlversand als andere. Laut dem Verizon 2022 DBIR ist die Wahrscheinlichkeit, dass Mitarbeiter im Finanzdienstleistungssektor sensible Informationen fälschlicherweise weitergeben, dreimal so hoch.

Finanzdienstleistungsunternehmen und professionelle Dienstleistungsunternehmen im weiteren Sinne haben in der Regel einen großen Kundenstamm und daher eine umfangreiche und häufige Kundenkommunikation. Es ist nicht ungewöhnlich, dass ein Angestellter, der in der Kundenbetreuung oder -beratung tätig ist, täglich bis zu hundert E-Mails an Kunden, Kollegen und Partner verschickt.

Prozentualer Anteil der Datenverluste durch Fehlversand

Während das Gesundheitswesen im Jahr 2021 andere Schlüsselindustrien in Bezug auf Fehlversand-Vorfälle anführte, ging die Zahl der Vorfälle im Vergleich zu den Vorjahren sogar zurück. Im Gegensatz dazu nahmen die Fehlversendungen in den anderen Branchen im gleichen Zeitraum zu.

In dem Bemühen, einen vorbildlichen Kundenservice zu bieten, senden diese Mitarbeiter gelegentlich vertrauliche und sensible Informationen an den falschen Empfänger, entweder per E-Mail oder über gemeinsam genutzte Ordner. E-Mail-Cache und Auto-Fill erhöhen leider die Wahrscheinlichkeit eines Fehlversands erheblich.

Ein Angestellter tippt “Jan” in das E-Mail-Feld “An” oder “Freigeben” in einer Anwendung zur gemeinsamen Nutzung von Dateien und hat die Absicht, einen Vertrag an Jan Vincent zu senden, doch stattdessen füllt sich das Feld automatisch mit Jan Valentino. Die Namen liegen so nah beieinander, dass man sie leicht übersehen kann; einfach, aber kostspielig.

Wenn sensible Informationen falsch übermittelt werden, führt dies in der Regel zu einer Datenschutzverletzung. Eine Datenpanne kann ein Unternehmen Millionen an entgangenen Einnahmen und Prozesskosten kosten. Schlimmer noch, Kundenabwanderung und Markenerosion folgen in der Regel.

Best Practices zur Minderung des Fehlversand-Risikos

Durch die Anwendung der folgenden Verfahren und Lösungen können Mitarbeiter das Risiko einer Verletzung des Datenschutzes durch eine falsch übermittelte Nachricht mindern:

Richtlinien zur Unternehmenssicherheit aktualisieren

Die Sicherheitsrichtlinien eines Unternehmens sollten klar umreißen, wie mit kritischen Daten umgegangen wird, wer darauf zugreifen darf und wie sie extern weitergegeben werden können (sofern erforderlich).

Der Einsatz einer DLP-Lösung (Data Loss Prevention) ist zum Beispiel sehr wichtig. DLP umfasst nicht nur die Technologie, sondern auch Richtlinien und Verfahren zur Vermeidung von Datenverlusten, einschließlich Falschzustellungen. Sie hilft Unternehmen, andere Insider-Bedrohungen wie Diebstahl und Sabotage einzudämmen. Außerdem erleichtert es Unternehmen die Überwachung kritischer Dateibewegungen und den Nachweis der Einhaltung von Datenschutzbestimmungen und gesetzlichen Standards.

Mac Shares Sensitive Competitive Analysis with a Prospective Employer

“Least Privilege”-Prinzip anwenden

Der Einsatz von Zero-Trust-Sicherheit für den Aufbau, die Wartung und die Nutzung eines IT-Systems ist ein sehr sicherer Ansatz, um sensible Inhalte vor unbefugtem Zugriff zu schützen.

Zero-Trust-Sicherheit kann frei definiert werden als eine Methode, bei der Systembenutzer vor dem Zugriff auf ein System, das sensible Daten enthält oder verarbeitet, authentifiziert, autorisiert oder kontinuierlich überprüft werden müssen. Der Zugriff ist geschützt und wird von Fall zu Fall gewährt. Zero-Trust-Sicherheit mindert das Risiko eines unbefugten Zugriffs auf personenbezogene Daten, vertraulich zu behandelnde Gesundheitsinformationen oder geistiges Eigentum eines Unternehmens erheblich.

Regelmäßige Schulungen anbieten

Die Technologie entwickelt sich ständig weiter. Leider gilt das auch für die Internetkriminalität. Unternehmen und ihre Mitarbeiter müssen also mit den Veränderungen in beiden Bereichen Schritt halten, um einerseits wettbewerbsfähig zu bleiben und andererseits das geistige Eigentum ihres Unternehmens zu schützen.

Der Mensch muss nicht unbedingt das schwächste Glied im Bereich des Datenschutzes sein. Regelmäßige Schulungen für Mitarbeiter zu Lösungen für die Datenspeicherung und das Management von Dateitransfers können dazu beitragen, dass die Mitarbeiter mit den sich weiterentwickelnden Systemen und Technologien auf dem neuesten Stand bleiben und das Risiko eines unbefugten Zugriffs, wie z. B. bei einem Fehlversand, der zu einem Datenleck führen könnte, minimiert wird.

Managed File Transfer nutzen

Managed File Transfer (MFT) fasst viele der Funktionen und Protokolle anderer File-Sharing-Mechanismen in einer Plattform zusammen, um sichere, effiziente und rechtskonforme Dateiübertragungen innerhalb eines Unternehmens oder unternehmensübergreifend zu ermöglichen.

Darüber hinaus sind MFT-Plattformen so konzipiert, dass sie die Einhaltung der relevanten Vorschriften wie Health Insurance Portability and Accountability Act (HIPAA), General Data Protection Regulation (GDPR/DSGVO), Payment Card Industry Data Security Standard (PCI DSS) und Gramm-Leach-Bliley Act (GLBA) gewährleisten. Wenn Unternehmen ihre Dateiübertragungen automatisieren, minimieren sie das Risiko menschlicher Fehler, wie z. B. Fehlversand, die zu einer Datenverletzung führen können.

Discover How to Address the Biggest Gap in Your Zero-trust Security Strategy

Mit Kiteworks verhindern Sie Fehlversand-bedingte Datenlecks

Unternehmen verringern das Risiko eines Fehlversands, wenn sie personenbezogene Daten, vertraulich zu behandelnde Gesundheitsinformationen, IP-Adressen oder andere sensible Daten über das Private Content Network (PCN) von Kiteworks übertragen.

Wenn ein Mitarbeiter versehentlich eine Datei per E-Mail an Bill Smith und nicht an Bill Smithers sendet, kann der Mitarbeiter die Datei zurückziehen, bevor Bill Smith darauf zugreifen kann. Falls mehrere Dateien gesendet wurden, kann der Mitarbeiter wählen, welche Dateien er entfernen möchte.

Kiteworks -  Send Secure Emails

Wenn ein Mitarbeiter mit Kiteworks versehentlich Dateien an einen unbeabsichtigten Empfänger sendet, kann er die betreffende Datei mit wenigen Klicks zurückziehen und entfernen. (Quelle: Kiteworks)

Kiteworks Secure Email Removal

Der Kiteworks-Benutzer wird dann aufgefordert, die Entfernung der Datei zu genehmigen. (Quelle: Kiteworks)

Beim Secure File Sharing von Kiteworks können die Benutzer auch festlegen und ändern, wer Zugriff auf sensible Inhalte hat. Wenn ein Mitarbeiter Michael Johnson anstelle von Michelle Johnson einlädt, um auf einen Ordner zuzugreifen, der vertrauliche Dateien über eine anstehende Fusion enthält, kann der Mitarbeiter Michael die Berechtigungen entziehen und verhindern, dass dieser auf die Dateien im Ordner zugreifen kann.

Abschließende Überlegungen

Das Kiteworks PCN schützt die sensibelsten Inhalte von Unternehmen, wenn Mitarbeiter sie extern weitergeben, selbst wenn ein Mitarbeiter diese Informationen an einen unbeabsichtigten Empfänger sendet. Die Funktionen zum Zurückziehen von Dateien und Empfängern in der sicheren E-Mail und beim sicheren Dateiaustausch gewährleisten, dass die personenbezogenen Daten, die vertraulich zu behandelnden Gesundheitsinformationen und das geistige Eigentum eines Unternehmens zu jeder Zeit geschützt bleiben. 

Kitworks bietet darüber hinaus:

  • Vereinheitlichung sicherer Kommunikationskanäle für Inhalte wie E-Mail, Dateifreigabe, SFTP, MFT und Webformulare. Dazu gehört die native Erweiterung von Standard-E-Mail-Clients, um eine nahtlose Benutzererfahrung zu fördern und jede E-Mail mit sensiblen Inhalten zu schützen, die über diese Clients gesendet wird.
  • Nachverfolgung von Inhalten, Metadaten, Benutzeraktivitäten und Systemereignissen, um die Effizienz des Security Operations Center (SOC) zu steigern, über den Zugriff seitens Dritter zu berichten und die Anforderungen an die Berichtsführung hinsichtlich der Einhaltung gesetzlicher Vorgaben zu erfüllen.
  • Kontrolle des Zugriffs auf Inhalte und funktionale Regeln, die auf Risikoprofile und Benutzerrollen abgestimmt sind. Nutzen Sie die zentrale Verwaltung zum Schutz der Inhalte in E-Mails, Webformularen, MFT und sicherem File-Sharing für umfassende Governance und Compliance bei internen und externen Audits.
  • Schutz von Daten durch Verschlüsselung von Inhalten im ruhenden Zustand und während der Übertragung sowie Integration mit Single Sign On (SSO), Multi-Faktor-Authentifizierung (MFA), Anti-Virus (AV), Advanced Threat Protection (ATP) und Data Loss Prevention (DLP), um das Risiko einer unbeabsichtigten Offenlegung sensibler Informationen, wie z. B. durch Fehlversand, zu verringern.

Weitere Informationen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks