Seit der Equifax-Datenpanne im September 2017, bei der die persönlichen Daten von 147 Millionen Amerikanern preisgegeben wurden, und den vielen anderen aufsehenerregenden Datenpannen, die seitdem passiert sind, sind Datensicherheit und Datenschutz zu dringenden Anliegen auf Vorstandsebene geworden.
„Das Equifax-Debakel ist der Punkt, an dem viele der inhärenten Probleme wirklich auf Unternehmensebene auftauchten“, sagte Aaron Shum, Practice Lead, Security, Privacy, Risk, and Compliance, bei der Info-Tech Research Group. „Hier haben wir das Ausmaß an Inkompetenz entdeckt, das in einer Organisation vorhanden sein kann.“
Gemäß dem Edelman Trust Barometer Special Report 2019: In Brands We Trust? gaben 81 % der Verbraucher an, dass die Vertrauenswürdigkeit von Marken eine wichtige Rolle bei ihren Kaufentscheidungen spielt. Mit anderen Worten: Datenschutzverletzungen stellen heute nicht nur ein finanzielles Risiko in Form von Strafen dar, sondern gefährden auch die Marke und den Ruf eines Unternehmens, was sich direkt auf die Fähigkeit auswirkt, neue Kunden zu gewinnen und bestehende Kunden zu binden.
„Unternehmen müssen den Datenschutz sowohl als eine Frage der Einhaltung von Vorschriften als auch als Geschäftsrisiko behandeln, um behördliche Sanktionen und kommerzielle Auswirkungen wie Rufschädigung und den daraus resultierenden Verlust von Kunden aufgrund von Datenschutzverletzungen zu verringern“, sagte
Steve Durbin, Geschäftsführer des Information Security Forum in Großbritannien.
Mehr als nur Semantik
Für viele außerhalb der Informationssicherheitsgemeinschaft werden die Begriffe „Datensicherheit“ und „Datenschutz“ oft austauschbar verwendet. Auch wenn sie ein gemeinsames Ziel verfolgen, sind sie in Wirklichkeit nicht dasselbe, so Greg Ewing, Partner für Cybersicherheit bei Potomac Law.
„Der Unterschied zwischen Datenschutz und Datensicherheit ist der Unterschied zwischen dem Schutz der persönlichen Daten einer Person und den Sicherheitsmaßnahmen, die Sie zum Schutz aller Informationen Ihres Unternehmens ergreifen“, sagte er.
Mit Vorschriften wie dem California Consumer Privacy Act (CCPA) und der Allgemeinen Datenschutzverordnung der EU (GDPR), die jetzt in Kraft sind, ist diese Unterscheidung mehr als nur eine Frage der Semantik. Die GDPR beispielsweise sieht bei Datenschutzverletzungen, die personenbezogene Daten von EU-Bürgern betreffen, hohe Geldstrafen vor, die in die Milliarden Dollar gehen können. Mit 2.500 bis 7.500 Dollar pro PII-Datensatz können sich die Strafen für die Nichteinhaltung des CCPA ebenfalls schnell summieren.
Mit der COVID-19-Pandemie, die keine Anzeichen für ein Abklingen zeigt, verbringen mehr Menschen mehr Zeit online als je zuvor. Die massive Verschiebung der Online-Nutzung sowohl vor als auch nach COVID-19 in Verbindung mit dem allgemeinen Misstrauen gegenüber der Art und Weise, wie große Unternehmen der sozialen Medien und der Unterhaltungsbranche Kundendaten zu Geld machen, bleibt von den staatlichen Aufsichtsbehörden nicht unbemerkt. Nach Angaben der National Conference of State Legislators werden derzeit in 30 Staaten Datenschutzgesetze geprüft.
„Datenschutz ist im Wesentlichen ein Teilbereich der Datensicherheit eines Unternehmens“, so Ewing. „Die Unterscheidung ist wichtig, denn obwohl sich die Instrumente zur Wahrung des Datenschutzes und zur Gewährleistung der Datensicherheit überschneiden können, werden beide Bereiche im Allgemeinen von verschiedenen Teams mit unterschiedlichen Instrumenten behandelt.“
Diese Überschneidung kann Verwirrung stiften und bei Unternehmen, die sich nur auf die Datensicherheit konzentrieren, den falschen Eindruck erwecken, dass standardmäßig auch die Privatsphäre geschützt ist. Dies ist jedoch nicht der Fall. Im Gegensatz zur Datensicherheit, die sich darauf konzentriert, alle Daten eines Unternehmens vor Diebstahl oder Beschädigung (z. B. bei einem Ransomware-Angriff) zu schützen, ist der Datenschutz viel detaillierter. Um den Datenschutz zu gewährleisten, müssen Unternehmen Dinge wie die Zugriffsberechtigung auf die Daten und den Ort, an dem die Daten gespeichert sind – beispielsweise in einer HIPAA-konformen Cloud – verstehen, verfolgen und kontrollieren.
Ein gutes Beispiel für die Unterschiede zwischen Datenschutz und Datensicherheit war das Sammeln von 87 Millionen Facebook-Nutzerprofilen durch das inzwischen aufgelöste Politikberatungsunternehmen Cambridge Analytica während der US-Präsidentschaftswahlen 2016/17, so Joshua Kail, ein Kommunikationsberater, der bis zur Schließung von Cambridge Analytica im Mai 2018 auf Agenturseite für PR zuständig war. Obwohl die Daten sicher waren, missbrauchte Facebook seine eigenen Datenschutzrichtlinien und eine FTC-Zustimmungsverfügung aus dem Jahr 2011 hinsichtlich der Verwendung von Nutzerdaten.
„Es war ein seltsamer Fall eines Versagens der Datensicherheit aus der Perspektive, dass sie im Grunde die Daten übergeben haben und sie dann auf unangemessene Weise verwendet wurden, anstatt eines traditionellen bösartigen Cyberangriffs“, sagte er. „Was den Datenschutz betrifft, so haben wir ihn alle in dem Moment verloren, als wir uns mit einem Konto angemeldet haben. In Wirklichkeit waren es nicht ‚unsere Daten‘, die von Cambridge verwendet wurden, sondern die Daten von Facebook über uns. In dieser Unterscheidung liegt die wahre Gefahr der derzeitigen Datenpolitik.“
Kail erschien kürzlich im TechRepublic Dynamic Developer Podcast von Bill Detwiler und diskutierte über Datenschutz und Datenrechte.
Eine Frage des Vertrauens
Der Datenschutz wird zwar von Jahr zu Jahr stärker reguliert, ist aber immer noch eine Frage des Vertrauens, sagte Kayne McGladrey, IEEE-Mitglied und Cybersicherheitsstratege bei Ascent Solutions. Wie die Reaktionen auf den Cambridge Analytica-Skandal zeigen, ist das, was die Menschen von den Unternehmen erwarten, mit denen sie Geschäfte machen, genauso wichtig wie die Gesetze, die die Verwendung ihrer Daten regeln.
„Beim Datenschutz geht es heute in erster Linie um die Verarbeitung personenbezogener Daten auf der Grundlage von Gesetzen, Vorschriften und sozialen Normen“, sagte McGladrey. „Oft wird dies dadurch dargestellt, dass ein Verbraucher eine unverständliche Datenschutzrichtlinie (deren Lektüre fast 20 Minuten in Anspruch nehmen würde) ignoriert, bevor er auf eine Schaltfläche klickt, um seine Zustimmung zu dieser Richtlinie zu bestätigen. Die Zustimmung zu den Datenschutzrichtlinien erlaubt es dem Unternehmen, die Daten auf dokumentierte Weise zu verarbeiten, z. B. um ihnen gezielte Werbung auf der Grundlage ihrer abgeleiteten Interessen zu zeigen. Wenn diese Organisation jedoch diese personenbezogenen Daten ohne die Zustimmung des Verbrauchers an eine andere Organisation verkauft, um etwas Unerwartetes zu tun (z. B. sie zur Unterdrückung der geschützten freien Meinungsäußerung zu verwenden), wäre dies eine Verletzung der Privatsphäre, entweder durch eine behördliche Kontrolle oder durch eine Verletzung der sozialen Normen.“
In Anbetracht all dessen, was in den letzten Jahren geschehen ist – der ständige Trommelwirbel massiver Datenschutzverletzungen und die ständig zunehmenden Cyberangriffe auf Unternehmen und Einzelpersonen – ist es nicht verwunderlich, dass die Menschen das Gefühl haben, dass ihre Daten in den Händen der Unternehmen, mit denen sie Geschäfte machen, oder der Regierungen, die ihre Erhebung anordnen, nicht mehr sicher sind.
Aufgrund dieses Misstrauens könnte die Notwendigkeit für Unternehmen, sich mit diesen Themen zu befassen, nicht größer sein, so Lili Ana, Information Security Governance Manager bei loanDepot.
„Da die Hacking-Branche rasant wächst und Cyberkriminelle immer besser finanziert sind und die globale Transformation digitaler Heimarbeitsplätze zur neuen Normalität wird, müssen Unternehmen Maßnahmen ergreifen, um die Informationssicherheit zu verstehen und zu verstehen, wie Datenschutz und Datensicherheit zusammenwirken, um Unternehmen und Verbraucher zu schützen“, so Ana. „Die Investition in einen proaktiven Ansatz zum Schutz Ihres Unternehmens ist weit weniger kostspielig als die Alternative, nämlich ein Datenvorfall oder eine Datenschutzverletzung, die nicht nur ein Unternehmen zerstören, sondern auch den Ruf, die Glaubwürdigkeit und das Vertrauen der Verbraucher ruinieren kann.“
Also See
- Unternehmen mit schlechten Datenschutzpraktiken sind 80 % häufiger von Datenschutzverletzungen betroffen (TechRepublic)
- Unternehmen verlassen sich oft auf manuelle Prozesse, um das neue kalifornische Datenschutzgesetz einzuhalten (TechRepublic)
- Wie man die erweiterte Sicherheits- und Datenschutzdistribution von Whonix verwendet (TechRepublic)
- Zoom: Wir haben alle unsere Sicherheits- und Datenschutzversprechen eingehalten, mit einer Ausnahme (TechRepublic)
- Okta stellt fest, dass Kunden aus Datenschutzgründen nicht bereit sind, ihre Daten preiszugeben (TechRepublic)
- Die meisten Amerikaner sind bereit, auf den Schutz ihrer persönlichen Daten zu verzichten, um die Verbreitung von COVID-19 zu bekämpfen (TechRepublic)