18. Mai 2020 Wie Sie Daten sicher übertragen – und wie nicht...

Die E-Mail ist das Kommunikationsmittel Nummer Eins im geschäftlichen Alltag. Trotzdem verschlüsseln nur 15 Prozent der Unternehmen in Deutschland ausreichend. In der Regel, weil es zu kompliziert ist. Dadurch sind E-Mails so einfach mitzulesen wie Postkarten. Eine Spurensuche, warum das so ist...

"Schöner Mist" – Norbert Meier zieht angesäuert an seiner Zigarette. Er steht allein auf der Dachterrasse direkt neben dem Besprechungsraum seiner Firma und bläst die blauen Schwaden in den Himmel. Hastig hatte er die Besprechung zum Rauchen verlassen. Als Geschäftsführer kann er das. Gefolgt ist ihm keiner – weder sein IT-Leiter noch die anderen Meetingteilnehmer. "War mir klar, dass die Fuzzis nicht rauchen", denkt er sich, "diese Datenschützer sind doch alle etwas seltsam."

Ein nicht ganz freiwilliges Audit

Meier, einer aus "der guten alten Zeit", wie er selbst sagt, hat vor kurzem ein externes Datenschutzaudit in Auftrag gegeben. Nicht ganz freiwillig. Ein großer Auftrag ist ihm durch die Lappen gegangen. Der potentielle Kunde hatte sich mit einem freundlichen Hinweis auf die Datenschutzgrundverordnung der EU (DSGVO) und den US Cloud Act geweigert, die "hochsensiblen" Angebotsunterlagen von einem Dropbox-Ordner herunterzuladen.

736287_print_860

Als dann noch der Schröder aus der Buchhaltung die Gehälter statt zum Steuerberater versehentlich an den externen Betriebsarzt per E-Mail gesendet hat, hat er dem Drängen seines IT-Leiters nachgegeben und die Jungs beauftragt. Konnte ja keiner ahnen, dass das Ergebnis derart ernüchternd sein würde.

10.000 Datenlecks jährlich

Gerade den Vorfall mit dem Steuerberater bemängelten die Datenschützer heute besonders. Nicht erst seit Inkrafttreten der DSGVO gelte eine Meldepflicht für Datenpannen. Dies bedeutet, dass Organisationen die zuständige Aufsichtsbehörde über Datenlecks informieren müssen und der fälschliche Versand war eben dies – ein Datenleck. Jährlich registrierten die Behörden gut 10.000 davon – quer durch alle Branchen. Teils mit verheerenden Folgen. Die DSGVO lässt hier mittlerweile Strafen in Millionenhöhe zu.

"Da irrt sich einer meiner Mitarbeiter mal beim E-Mailversand und die machen gleich so einen Aufwand", denkt sich Meier und nimmt noch einen Zug an seiner Zigarette. "Irgendwie müssen die Daten ja zum Empfänger kommen. Und die E-Mail ist da ja wohl erste Wahl."

E-Mail so sicher wie eine Postkarte

Grundsätzlich schon; aber: Eine gewöhnliche E-Mail ist in etwa so sicher wie eine Postkarte. Nur zu leicht können Dritte mitlesen, was nur für den Empfänger bestimmt war. Und gerade personenbezogene Daten sieht der Gesetzgeber als besonders schützenswert. Es gibt inzwischen eine Vielzahl an Gesetzen, Regulierungen und Compliance-Anforderungen, welche Unternehmen zu befolgen haben.

Darunter sind

  • auf europäischer Ebene die DSGVO bzw. das Bundesdatenschutzgesetz (BDSG)
  • der California Consumer Privacy Act (CCPA)
  • Australian Privacy Principles (APPs)

um nur ein paar Beispiele zu nennen, die Unternehmen beim Transfer von Daten beeinflussen.

Neben diesen allgemeinen Regelungen gibt es auch themen- und branchenspezifische Gesetze wie das US Health Insurance Portability and Accountability Act (HIPAA), das den sicheren Umgang mit Patientendaten oder im Immobiliengeschäft sicherstellt, das Consumer Financial Protection Bureau (CFPB) regelt die Privatsphäre der Kunden, sowie die NTA 7516 für die WvGGZ in den Niederlanden.

Keine E-Mails sind auch keine Lösung

"Das bedeutet, wir dürfen keine E-Mails mehr versenden?" schnaubt der CEO, nachdem er seine einsame Zigarettenpause beendet und den Meetingraum wieder betreten hat. Die zwei Datenschützer schmunzeln und entgegnen: "Doch. Sie sollten diese und das angehängte File nur entsprechend schützen, also verschlüsseln".

Die meisten gesetzlichen Regelungen, allen voran die DSGVO, legen fest, dass vertrauliche Informationen auch bei der digitalen Kommunikation lückenlos verschlüsselt werden müssen. Somit sind Unternehmen zum Verschlüsseln von E-Mails verpflichtet, sobald diese personenbezogene Daten enthalten. Dazu zählt bereits die Nennung von Name und Anschrift des Empfängers in einer E-Mail und erst recht die Gehaltsdaten.

Schutz zum Selbstschutz

Unternehmen sollten jedoch schon aus eigenem Interesse beim Datentransfer auf Verschlüsselung setzen. Denn nie war die Gefahr durch Cyberkriminalität höher. Drei Viertel der Wirtschaft war laut einer Studie des Branchenverbandes BITKOM in den vergangenen zwei Jahren davon betroffen, der Schaden betrug dabei mehr als 100 Milliarden Euro. Konstruktionsdaten, Formeln und andere Forschungsergebnisse sind dabei beliebte Ziele. Aber auch Patientendaten, medizinische Befunde oder Steuerunterlagen sind bei kriminellen Hackern beliebt.

Mehr zum sicheren, einfachen und DSGVO-konformen Datentransfer per Email und welche weiteren Möglichkeiten Ihnen Secure Content-Plattformen bieten, erfahren Sie in unserem kostenlosen Whitepaper "Sicherer Datentransfer im Mittelstand"

Jetzt anfordern

Die Gesichtszüge von Meier erhellen sich deutlich bei der Erklärung der beiden Datenschützer und er winkt ab. "Also da müssen Sie sich gar keine Sorgen machen. Unsere wichtigen Daten verschlüsseln wir. Die sind meist eh viel zu groß für E-Mails. Die versenden wir über unseren FTP-Server. Bzw. der Kaiser aus dem Vertrieb nimmt Dropbox und sendet dann nur einen Link."

FTP ist keine wirkliche Alternative

In der Tat ist zu beobachten, dass je größer die für den Transfer bestimmte Datei ist, desto größer ist die Chance, dass diese sicher verschickt wird. An sich nicht unlogisch. Das basiert auf einer raschen Abwägung der Konsequenzen eines eventuellen Datenlecks. Nach Einschätzung des Absenders steigt das Risiko mit der Datenmenge.

"FTP-Server bieten – neben der umständlichen Handhabung – keine durchgängige Verschlüsselung. Und Dropbox, wie auch die meisten anderen Private Cloud-Dienste, ist ein US-amerikanisches Unternehmen. Das unterliegt ganz anderen Datenschutzbestimmungen. Auch wenn die Server eventuell in Europa stehen, maßgebend ist der Unternehmenssitz", entgegnen die Datenschützer.

Reputationsschäden drohen

Und ein Datenleck ist ein Datenleck. Geht es bei einem Transfer schief, ist die Chance groß, dass andere E-Mails ebenfalls abgefangen oder an falsche Empfänger versandt werden. Neben einer möglichen Schadensersatzforderung sind Reputationsschäden dann schon unvermeidlich.

"Aber was ist denn mit der Ausschreibung? Da wollte der Kunde doch die Unterlagen und das so schnell wie möglich? Was sollen wir denn da tun", schnauzt der Geschäftsführer.

Der Kunde hat es doch angefordert

Dass das Risiko eines Datenlecks auf Rechnung des Kunden geht, wenn er selbst um Informationen gebeten hat? Das hört sich schöner an als es ist – bis die Informationen in falsche Hände fallen. "Es liegt ja auch in Ihrem Interesse, dass die sensiblen Informationen nur von Ihnen und Ihrem Kunden gelesen werden können."

Natürlich gibt es Unternehmen, die sichere digitale Eingangskanäle für Lieferanten zur Verfügung stellen. Dann kann jedes File sicher übertragen werden. Ist dies nicht der Fall, sollte im Eigeninteresse jedes Unternehmen selbst dafür sorgen.

Sicherer Datentransfer zu kompliziert?

An diesem Punkt schaltet sich IT-Leiter Schneider ein: "Ich habe mich ja schon mal mit Verschlüsseln von befasst. Aber das Thema erschien mir für unsere Mitarbeiter zu kompliziert. Unsere Mitarbeiter nutzen Outlook und FTP – ein weiteres Programm einführen – ich weiß nicht..."

Tatsächlich bieten verfügbare Technologien wie z.B. S/MIME und PGP zwar teilweise den nötigen Schutz, sind jedoch zu kompliziert einzurichten und nicht besonders benutzerfreundlich. Mitarbeiter sind aus ihrem privaten Umfeld die Benutzerfreundlichkeit der Verbraucheranwendungen gewohnt, die sie auf ihrem Heimcomputer und mobilen Endgeräten täglich nutzen. Diese sind jedoch meist nicht konform mit den Compliance-Standards, Gesetzen und Maßnahmen der Unternehmenswelt. 

Entlastung der IT Administratoren

"Neben einer hochsicheren Ende-zu-Ende-Verschlüsselung gibt es noch ein weiteres, wichtiges Kriterium, das eine Softwarelösung für den sicheren Datentransfer erfüllen muss: und die einfache Bedienbarkeit", geben die Datenschützer dem IT-Leiter recht.

Sie sollte sich unbedingt nahtlos in bestehende Systeme wie Outlook integrieren lassen, individuell an die Erfordernisse des Unternehmen anpassbar, nachvollziehbar und kostentransparent sein sowie die Übertragung hoher Datenmengen ohne Größenlimit sicherstellen. Zudem garantiert eine optimale Lösung einen geringen Verwaltungsaufwand und entlastet die IT-Administratoren.

FTAPI hilft die Anforderungen der DSGVO zu erfüllen

Mit Zwei-Faktor-Authentisierung, asymmetrischer Verschlüsselung und Log-Dateien helfen Lösungen wie FTAPI sicherzustellen, dass Hacker oder unberechtigte Dritte keinen Zugang zu vertraulichen Daten und Dateien erhalten. Damit erfüllen sie die Anforderungen der DSGVO und schützen Unternehmen umfassend vor Datenlecks und deren Folgen.

zurück