Barracuda full logo

Die Sprache des Datenschutzes: Verletzungen, Lecks, Verluste und mehr

Themen:
18. Mai. 2023
|
Christine Barry

Milliarden von Konten und einzelne Benutzer wurden durch Datenverletzungen und -lecks kompromittiert. Die bei diesen Vorfällen offengelegten Datentypen stellen für die Opfer unterschiedliche Grade von Gefahr dar. Unternehmen, Schulen, Behörden und andere Einrichtungen haben unterschiedliche Haftungsstufen, je nach Art und Umfang der verlorenen Daten und ob ein Verstoß gegen den Datenschutz vorliegt.

In den Vereinigten Staaten gibt es kein Bundesdatenschutzgesetz, das alle Arten von Daten abdeckt. Wir haben einen Flickenteppich aus nationalen, bundesstaatlichen und Branchen- und Verbandsvorschriften. Das ist bedauerlich,weil es zu Unsicherheit in Bezug auf die Rechte und Pflichten beim Datenschutz führt.

Klassifizierungen der Datenexposition

Jede gesetzlich vorgeschriebene Reaktion auf eine Datenkompromittierung definiert, welche Ereignisse reguliert werden. Diese Definitionen können variieren, aber Offenlegung-Ereignisse werden häufig in Datenverletzungen, Datenlecks oder Datenverluste unterteilt. Dies sind häufig verwendete Begriffe, die weithin bekannt sind.  

  • Der Begriff Datenschutzverletzung bezieht sich auf eine Exposition durch einen vorsätzlichen Angriff. Wenn ein Bedrohungsakteur in Ihr System eindringt, um Daten abzurufen, handelt es sich um eine Verletzung. Dabei spielt es keine Rolle, auf welche Art sich der Bedrohungsakteur Zugang verschafft. Jede vorsätzliche Handlung, in das Datensystem einzudringen und Daten zu stehlen, ist eine Datenschutzverletzung.
  • Ein Datenleck erfordert keinen vorsätzlichen Datendiebstahl. Ein Leck bedeutet lediglich, dass die Daten für unbefugte Benutzer sichtbar sind. Daten können durch eine falsch konfigurierte Anwendung, ungeeignete Berechtigungen oder andere Fehler von Mitarbeitern, die dazu führen, dass die Daten außerhalb des vorgesehenen Benutzerkreises freigegeben werden, in die Öffentlichkeit gelangen.
  • Datenverlust ist ein Ereignis, das auftritt, wenn wertvolle oder sensible Daten zerstört oder aus anderen Gründen nicht abgerufen werden können. Datenverlust kann durch physische Systemschäden, Dateibeschädigung und versehentliches Löschen auftreten. Der Begriff bezieht sich auch auf Daten, die von einem Bedrohungsakteur verschlüsselt oder gestohlen werden. Dieser Begriff ist wahrscheinlich der umstrittenste der drei Begriffe. Manche verstehen unter Datenverlust nur Vorfälle, bei denen Daten zerstört werden, während andere darunter verstehen, dass alle Vorfälle dazu gehören, bei denen Ihre sensiblen Daten Ihrer Kontrolle entzogen werden.

Oftmals sind mehrere Geheimhaltungsstufen im Spiel. Ein Datenleck kann sowohl zu einem Verlust als auch zu einem Missbrauch führen. Eine Sicherheitsverletzung kann zu einem Datenverlust führen (siehe Ransomware). Und der Wiederherstellungsprozess nach einem Datenverlust kann ungewollt ein Datenleck zur Folge haben.

HIPAA zur Veranschaulichung der Unterschiede verwenden

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) regelt, wie Gesundheitsinformationen und vertrauliche Gesundheitsdaten (Protected Health Information, PHI) geschützt werden. HIPAA soll die Privatsphäre des Patienten schützen und gleichzeitig den Angehörigen der Gesundheitsberufe die Möglichkeit geben, sich mit anderen im Gesundheitswesen Beschäftigten abzustimmen und an der medizinischen Forschung mit anonymisierten Daten teilzunehmen. HIPAA umfasst Datenschutz-, Sicherheits- und Meldevorschriften bei Datenschutzverletzungen.

Ich bin kein Experte für HIPAA oder andere Vorschriften. Die im HIPAA verwendete Sprache hilft uns lediglich, verschiedene Arten von Offenlegung-Ereignissen zu veranschaulichen.

Datenverletzung vs. Datenleck

Die Meldevorschrift bei Datenschutzverletzungen definiert eine Datenschutzverletzung als „eine unzulässige Nutzung oder Offenlegung gemäß der Datenschutzregel, die die Sicherheit oder den Datenschutz der geschützten Gesundheitsinformationen gefährdet“.  

Die Vorschrift besagt, dass jede „unzulässige Nutzung oder Weitergabe“ einen Verstoß darstellt, es sei denn, die dem HIPAA unterliegende Einrichtung oder der unterliegende Geschäftspartner kann nachweisen, dass PHI nur mit geringer Wahrscheinlichkeit kompromittiert wurden. Bei dieser Wahrscheinlichkeitsbewertung sind vier Faktoren zu berücksichtigen, darunter „ob die geschützten Gesundheitsdaten tatsächlich erfasst oder eingesehen wurden“. Der HIPAA macht hier keine Unterschiede, aber wir nennen einen solchen Vorfall wahrscheinlich ein Datenleck. Ein Datenleck erfordert nicht die gleichen Maßnahmen wie ein Datenverstoß.

Datenschutzverletzung vs. Datenverlust

Gemäß der Datenschutzrichtlinie sind Meldungen über Datenverletzungen nur dann erforderlich, wenn der Verstoß ungesicherte PHI betrifft.

„Ungesicherte geschützte Gesundheitsinformationen sind geschützte Gesundheitsinformationen, die nicht durch den Einsatz einer vom Minister in den Leitlinien festgelegten Technologie oder Methodik für Unbefugte unbrauchbar, unlesbar oder nicht entzifferbar gemacht wurden. …

Der Leitfaden  ... beschreibt Verschlüsselung und Vernichtung als die Verfahren, mit denen geschützte Gesundheitsdaten für Unbefugte unbrauchbar, unlesbar oder nicht entzifferbar zu machen sind.“ 

Dies könnte eher ein Beispiel für Datenverlust als für eine Datenverletzung sein. Die Spende eines stillgelegten Dateiservers mit PHI auf der Festplatte ist möglicherweise kein Verstoß, wenn der Dateityp ohne die ursprüngliche Anwendung nicht lesbar ist.  Dies ist möglicherweise keine genaue Interpretation der HIPAA-Meldevorschrift über Datenschutzverletzungen, aber es ist ein gutes Beispiel dafür, wie geschützte Daten an Unbefugte weitergegeben werden können, ohne dass dies als Datenverletzung angesehen wird.  

Warum das wichtig ist

Es gibt konkurrierende Interessen, wenn es um den Datenschutz geht. Das ist zwar nicht immer beabsichtigt, aber in vielen Fällen funktioniert es so. Welche Interessen Sie auch verfolgen, Sie sollten wissen, wo sie im Gesamtkontext einzuordnen sind.

Führungskräfte müssen ihr regulatorisches Umfeld und ihre Compliance-Verantwortung genau kennen. Das Unternehmen kann die Kosten im Zusammenhang mit einem Vorfall der Datenpreisgabe unter Umständen eindämmen, wenn es in diesem Bereich von Experten beraten wird. Hierfür sollten Rechtsanwälte und andere Fachleute hinzugezogen werden. Handelskammern und andere Wirtschaftsverbände veranstalten häufig Veranstaltungen zu diesen Themen und können mitunter den Kontakt zwischen einem Unternehmen und einem zuverlässigen Ansprechpartner herstellen.

Einzelne Verbraucher sollten sich darüber im Klaren sein, dass die Offenlegung von Daten möglicherweise keine Meldung oder besondere Reaktion seitens des kompromittierten Unternehmens auslöst. Es ist auch hilfreich für die Öffentlichkeit, zu verstehen, dass ein Datenleck entdeckt und behoben werden kann, ohne dass die Daten jemals von einer dritten Partei gesehen werden. Datenschutz kann für Verbraucher ein frustrierendes Thema sein, da er im Kleingedruckten und in Rechtstexten vergraben ist, über die nicht verhandelt werden kann. Die Sprache des Datenschutzes zu verstehen, hilft Verbrauchern, ihre Rechte zu kennen und auszuüben.

Forscher benötigen einen vollständigen Einblick in die Vorfälle, die zu einem Expositionsrisiko führen. Anfang dieser Woche haben wir über den Mangel an Informationen über Ransomware-Angriffe im Gesundheitswesen gesprochen. Das Fehlen einer umfassenden Berichterstattung verschleiert das vollständige Ausmaß des Problems und beraubt uns aller möglichen Erkenntnisse. Darüber hinaus ist unser gesetzliches Umfeld möglicherweise nicht flexibel genug, um sich bei Bedarf anzupassen. Aufgrund von Nachforschungen im Gesundheitswesen wird spekuliert, dass Sicherheitsverletzungen aufgrund der Verwirrung um Ransomware und die Meldevorschrift zu spät oder gar nicht gemeldet wurden. Forscher im Gesundheitswesen haben darauf hingewiesen, dass die Verwirrung um Ransomware und die Meldevorschrift über Datenschutzverletzungen dazu geführt hat, dass einige Datenschutzverletzungen falsch klassifiziert und nicht gemeldet wurden.   

Von Gesetzgebern und politischen Entscheidungsträgern wird erwartet, dass sie datengesteuerte Entscheidungen treffen. Man kann keine fundierten Entscheidungen treffen, wenn man nicht über die richtigen Daten verfügt. Der Gesetzgeber will in der Regel die Verbraucher schützen, ohne den Unternehmen unnötige Lasten aufzubürden. Das gelingt ihm umso besser, je mehr einschlägige Daten er kennt.

Was steht als Nächstes an?

Als Nächstes müssen Sie dafür sorgen, dass Sie Ihre Passwörter immer nur einmal vergeben. Das sollte grundsätzlich der nächste Schritt sein und passt immer. Sie können auch in der Datenbank für Sicherheitsverletzungen nachsehen, ob Ihre E-Mail-Adresse oder Ihr Passwort verletzt wurden.

Informationen zum Datenschutz sind bei der Cybersecurity & Infrastructure Security Agency (CISA), dem National Institute of Standards and Technology (NIST), der Federal Trade Commission (FTC) und vielen weiteren öffentlichen und privaten Einrichtungen und Bildungseinrichtungen erhältlich.

Und abschließend. Kommen Sie wieder zurück, um über dieses Thema zu erfahren. In den nächsten Wochen veröffentlichen wir einen weiteren Beitrag zum Datenschutz.

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Abstimmung der Cybersecurity mit den geschäftlichen Bedürfnissen und Anforderungen
Abstimmung der Cybersecurity mit den geschäftlichen Bedürfnissen und Anforderungen
 Die Not bleibt weiterhin die Mutter der Cybersecurity-Erfindung
Die Not bleibt weiterhin die Mutter der Cybersecurity-Erfindung
 Verschlüsselung vs. Kryptografie: Was ist der Unterschied (und warum ist das wichtig?)
Verschlüsselung vs. Kryptografie: Was ist der Unterschied (und warum ist das wichtig?)
 Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen
Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.