Risiken erkennen und mindern: Auch oder gerade beim Mail-Versand?!

Das Versenden persönlicher Daten per Mail ist in jedem Unternehmen Gang und Gäbe. Unternehmen müssen die dabei bestehenden Risiken im Datenschutz und bei der Informationssicherheit durch geeignete Maßnahmen mindern. Für Unternehmen ist insbesondere die individuelle Risikoanalyse ein geeignetes Hilfsmittel, um die richtigen Maßnahmen zu treffen.

Grundsätzlich müssen sich die Verantwortlichen im Unternehmen bei Nutzung von E-Mail-Diensteanbieter davon überzeugen, dass der Anbieter hinreichende Garantien für die Einhaltung der Anforderungen der DSGVO bietet. Neben den Risiken, die auf dem Transportweg der Mail bestehen, gilt es auch die Risiken für ‚ruhende Daten‘ zu beachten, die vor und nach dem Versand bestehen. Beide Risikogruppen lassen sich durch geeignete Verschlüsselungsverfahren mindern. Transport-verschlüsselungen garantieren nur ein Mindestmaß an Sicherheit auf dem Übertragungsweg. Der Schutz der Daten, auch nach dem Versand einer Mail, kann letztlich nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden. Ferner gilt, auch wenn die Verantwortung für Sicherheit bei derm Verseandung personenbezogener Daten per E-Mail grundsätzlich beim Sender liegt, dass auch der Empfänger geeignete Vorkehrungen zur Wahrung der Vertraulichkeit treffen muss.

Bei der praktischen Umsetzung sollten Unternehmen die konkreten Anwendungen und Geschäftsfälle in Fallgruppen mit normalen und hohen Risiken beim Empfangen und Versenden vom E-Mails einteilen.

Unternehmen, die gezielt sehr sensible Daten per Mail entgegennehmen, müssen einerseits die Voraussetzungen zum Empfang der Nachrichten über einen verschlüsselten Kanal schaffen. Um zusätzlich die Authentizität der empfangenen Nachrichten zu prüfen, empfiehlt es sich, auf eine elektronische Signatur zurückzugreifen, die den Absender verifiziert. Bei hohem Risiko sollte eine geeignete Ende-zu-Ende-Verschlüsselung zur Verfügung gestellt werden.

Beim Versand sensibler Daten ist ebenfalls eine Transportverschlüsselung obligatorisch. Auch hier sollte bei hohem Risiko neben einer qualifizierten Verschlüsselung der Datenübertragung auch eine Ende-zu-Ende-Verschlüsselung genutzt werden. Besondere Anforderungen gelten zudem beim Versand von E-Mail-Nachrichten mit geheim zu haltenden Inhalten gemäß § 203 StGB (beispielsweise Daten von Ärzten oder Rechtsanwälten). Hier muss zusätzlich sichergestellt werden, dass nur die Stellen die Nachricht entschlüsseln können, denen der ihr Inhalt der Nachricht auch offenbart werden darf.

Dies zeigt: Vor dem Ergreifen von Maßnahmen sollte stets eine Risikoanalyse oder die Klassifizierung von Informationen und Systemen stehen, um angemessene und ausreichende Maßnahmen zu ergreifen. „Es lässt sich schwer generalisieren, welche Maßnahmen in welchem Unternehmen getroffen werden sollten“ erklärt der erfahrende IT-Sicherheitsfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Die individuelle Risikoanalyse ist unverzichtbar.“ Betroffenen Unternehmen rät Dr. Voßbein, sich frühzeitig mit den Themen auseinanderzusetzen.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel