Big Data

Sammelwut bei Kundendaten

6. August 2020, 15:14 Uhr | Autor: Jürgen Venhorst / Redaktion: Diana Künstler

Fortsetzung des Artikels von Teil 1

Arbeitswelt im ständigen Wandel

Fehler 2: Nicht erfolgtes Ermitteln und Entfernen sensibler Daten in temporären Dateien
Selbst wenn alle wichtigen Datenverarbeitungsprozesse eines Unternehmens der DSGVO entsprechen, gibt es bestimmte Orte in der IT-Umgebung eines Unternehmens, die häufig übersehen werden und unter dem Radar bleiben. Insbesondere temporäre Dateien, die aufgrund verschiedener Kundendienstabläufe automatisch generiert werden, können vertrauliche Daten enthalten. Beispielsweise bereinigen Finanzinstitute häufig weder Protokolldateien für den Austausch noch temporäre PINs, die mit den neuen Kreditkarten ausgegeben wurden. Systeme generieren solche Daten nach jeder einzelnen Operation, was zu einer übermäßig hohen Anzahl an gefährdeten sensiblen Daten führt, von denen ein Großteil personenbezogene Daten (PII) und Karteninhaberdaten (CHD) enthält. Ein weiterer Bereich mit hohem Risiko sind gescannte Dokumente, die in KYC-Prozessen (Know Your Customer) verwendet werden - eine Maßnahme, die bei Finanzdienstleistungen erforderlich ist, um die Identität, die Eignung und die Risiken zu überprüfen, die mit der Bereitstellung eines Dienstes für eine Person verbunden sind. Häufig werden diese gescannten Dokumente dann aus Versehen einer übermäßigen Gefährdung ausgesetzt, was zu einem noch viel höheren Risiko führt.

Um eine übermäßige Gefährdung sensibler Daten in diesen übersehenen Bereichen zu vermeiden, muss ein Workflow eingerichtet werden, mit dem eine Organisation sensible Daten in temporären Dateien automatisch bereinigen kann. Dazu muss eine Technologie implementiert werden, mit der bestimmte Arten vertraulicher Daten in allen IT-Umgebungen, auch in temporären Dateien, ermittelt und bei Bedarf gelöscht werden können. Dieser Workflow ist insbesondere für Finanzunternehmen erforderlich, die große Mengen hochsensibler Kundeninformationen verwalten.

Fehler 3: Übersehen vertraulicher Kundendaten in E-Mails
Selbst bei erfolgreicher Implementation von Maßnahmen zum Schutz von Kundendaten, Ausrichtung aller Prozesse auf DSGVO-Konformität und Schulung der Mitarbeiter, bleibt immer noch ein Restrisiko. Denn möglicherweise wissen die Kunden nicht, wie sie mit ihren eigenen sensiblen Daten umgehen sollen. Beispielsweise können sie bei Interaktionen mit dem Kundensupport ihre PII-, CHD- oder anderen vertraulichen Daten per E-Mail weitergeben. Obwohl es der Kunde ist, der durch die Weitergabe sensibler Daten über unsichere Kanäle das Risiko herbeiführt, liegt es in der Verantwortung der Organisation, sicherzustellen, dass die Daten ermittelt und geschützt werden, solange sie sich in ihrem Besitz befinden. Andernfalls verbleiben vertrauliche Daten auf einem E-Mail-Server, der aus Sicht der DSGVO als unsicherer und ungeeigneter Speicherort gilt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Zur Vermeidung von Bußgeldern sollte eine Organisation E-Mail-Server regelmäßig überprüfen, um vertrauliche Daten zu ermitteln, sie an einen Quarantänespeicherort zu verschieben und die ursprüngliche Nachricht dann zu löschen. Die Automatisierung des Prozesses zur Verschiebung vertraulicher Daten vom E-Mail-Server zu einem dedizierten Quarantänespeicher eliminiert das vom Menschen verursachte Sicherheitsrisiko. Die Überprüfung der Informationen am Quarantänestandort erfordert jedoch menschliche Überwachung. Da die von Kunden geteilten Daten nicht in einem Standardformat vorliegen, bedarf es bei der Entscheidung, wie mit ihnen weiterverfahren wird, des menschlichen Urteilsvermögens. Wenn es einen speziellen Quarantänespeicherort gibt, muss dies jedoch keine tägliche Aufgabe sein, denn dieser Ansatz spart dem IT-Team Zeit und verringert die Angriffsfläche für das Unternehmen.

Letztendlich sollten sich Unternehmen nicht in trügerischer Sicherheit wiegen, nur weil sie Cybersicherheitstechnologien und DSGVO-konforme Prozesse eingeführt haben. Die Art und Weise, wie wir mit sensiblen Daten interagieren, ändert sich ständig. Die Covid-19-Pandemie hat zu einer enormen, beispiellosen Veränderung der Arbeitskultur und des Zugriffs der Benutzer auf ihre Daten geführt. Daher sind einige Technologien, die bislang effektiv waren, in der neuen Realität möglicherweise nicht mehr erfolgreich. Unternehmen sollten die Notwendigkeit der Anpassung an künftige Änderungen erkennen und gleichzeitig sicherstellen, dass die von ihnen gesammelten Daten gesichert sind.