Wie Sie wissen, wann Ihre privaten Daten verloren gehen oder gestohlen werden

Sie sind dafür verantwortlich, die privaten Informationen, die Sie auf Ihrem Computer speichern oder über das Internet übertragen, zu sichern. Aber was ist mit Ihren persönlichen Daten, die sich in den Händen einer Organisation befinden, der Sie damit vertraut haben?

Ihre persönlichen Informationen werden von der IRS bis zu Ihrem lokalen Floristen weit verbreitet. Jeden Tag verliert ein Unternehmen sensible Daten über seine Kunden oder Kunden - entweder aufgrund eines Angriffs durch einen Hack oder (wahrscheinlicher) durch den Verlust oder Diebstahl eines Computers oder eines Speichergeräts.

Hier sind drei aktuelle Beispiele aus der Data Loss Database der Open Security Foundation:

  • Ein verärgerter Mitarbeiter stiehlt die Sozialversicherungsnummern, Kreditkartenkonten und andere persönliche Daten von etwa 1.200 Kunden. Die Informationen werden zur Erstellung gefälschter Arbeitslosenkonten verwendet und betrügen das Arbeitsministerium von Maryland, die Lizenzierung und Regulierung von bis zu 170.000 US-Dollar.
  • Ein von einem Property-Management-Unternehmen in Vermont gestohlener Laptop enthält einige SSNs und andere private Daten über Einwohner. Dies geht aus der Mitteilung hervor, die das Unternehmen an die betroffenen Kunden gesendet hat (pdf).
  • Ein Steuerberatungsdienst wird aus ihrem Büro in San Francisco vertrieben und hinterlässt eine Kiste mit alten Steuererklärungen vor der Haustür.

Eine weitere nützliche Informationsquelle zu den jüngsten Verstößen gegen die Datenschutzbestimmungen ist die Chronik des Datenschutzrechts in Bezug auf Datenschutzrechtsverletzungen, in der Ereignisse aufgeführt sind, bei denen Organisationen, die sensible Daten verlieren, auf das Jahr 2005 zurückgehen.

Wie effektiv sind die Verstöße gegen Verstöße?

Nach Angaben der US-amerikanischen Nationalen Konferenz der US-amerikanischen Gesetzgebungskonferenz zu Sicherheitsverletzungen 2011 fordern derzeit 46 Staaten, dass Benachrichtigungen an Personen gesendet werden, deren private Daten aufgrund von Verstößen bei einer Mindestzahl von Personen (in der Regel 500) verletzt wurden. Als privat eingestufte Informationen sind eine Kombination aus Vorname, Nachname, mittlerer Initiale, SSN, Finanzdaten und Gesundheits- oder medizinischen Daten.

(Die Website des US-amerikanischen Ministeriums für Gesundheit und menschliche Dienste erläutert die strengeren HIPAA-Meldeanforderungen bezüglich der Verletzung von Gesundheitsdaten.) Zu den anhängigen Bundesgesetzen für die Meldung von Datenverletzungen gehören das Datenschutzgesetz von 2011 und das Gesetz über den Schutz personenbezogener Daten und das Datenschutzgesetz 2011.)

Die Liste kann in Kürze einige oder alle E-Mail-Adressen enthalten, wie Mark G. McCreary von Fox Rothschild LLP in der Pannenbenachrichtigung: Zeit für einen Weckruf erläutert. Gezielte E-Mail-Angriffe - oder Spear-Phishing - werden oft von gefährdeten Konten gesendet, sodass sie anscheinend aus vertrauenswürdigen Quellen stammen. Eine Verletzung von E-Mail-Adressen kann zu finanziellen Schäden für die Opfer führen.

Aktuelle und vorgeschlagene Gesetze, die eine Benachrichtigung über Verstöße verlangen, sind keine Garantie dafür, dass Sie über Ihre privaten Daten von Dritten informiert werden. Die Sozialversicherungsbehörde wurde rundum kritisiert, weil sie Tausende von Menschen nicht informiert hatte, deren Namen, Geburtsdatum und SSNs versehentlich in der Death Master File veröffentlicht wurden, die laut Consumer Watchdog-Website auf vielen verschiedenen Websites zum Verkauf angeboten wird .

Die einfachste Lösung: Alle Daten verschlüsseln

In vielen Fällen hätte die Organisation, die die privaten Daten verloren hat, das Risiko durch die Verschlüsselung der vertraulichen Dateien praktisch beseitigt. Laut Keith Vance auf der eSecurityPlanet-Website müssen Organisationen derzeit nur in Nevada und Massachusetts die von ihnen gespeicherten privaten Daten verschlüsseln.

Die Federal Information Processing Standards (FIPS) und die "Twenty Critical Security Controls" des National Institute of Standards and Technology dienen als Leitfaden für große Unternehmen, die Datenschutzpläne von Suppe-zu-Nuts umsetzen. Was fehlt, sind Richtlinien für kleine Unternehmen.

Das Better Business Bureau bietet eine Einführung in die Datensicherheit für kleine Unternehmen (pdf), die Checklisten für Datenbestände, Sicherheitsrichtlinien und Tipps zum Identifizieren von Identitätsdiebstahl enthält. (Beachten Sie, dass der Bericht von Visa und Symantec gesponsert wurde. Nehmen Sie daher die Produktempfehlungen mit einem Salzkorn.)

Sicherstellung der sicheren Entsorgung sensibler Daten

Die drei Eckpfeiler eines Datensicherheitsplans sind Zugriffskontrollen, Verschlüsselung der gespeicherten Daten und sichere Entsorgung persönlicher Daten. Das Zerkleinern ist die bevorzugte Methode für Papierdateien und optische Medien. In einem Beitrag vom März 2009 habe ich beschrieben, wie man eine alte Festplatte zerstört. Eines der in dieser Geschichte behandelten Tools ist Dariks Boot and Nuke (DBAN), ein kostenloses Datenlöschprogramm.

Wenn die entsorgten Daten verschlüsselt werden, ist die Wahrscheinlichkeit, dass jemand sie wiederherstellt, natürlich minimiert. Am sichersten ist es jedoch, alle Speichermedien zu löschen, bevor sie gelöscht werden.

Trotz dieser Vorsichtsmaßnahmen können Ihre persönlichen Daten dennoch in falsche Hände geraten. Machen Sie es sich zur Gewohnheit, Ihre monatlichen Kreditkarten- und Kontoauszüge zu überprüfen, und erwägen Sie einen Kreditüberwachungsdienst, der Sie per E-Mail oder einer anderen Methode benachrichtigt, sobald ein neues Konto in Ihrem Namen eröffnet wird.

Die Fight Identity Theft-Site überprüft die vier wichtigsten Kreditberichterstattungsdienste. Nicht jeder muss jedoch bis zu 15 US-Dollar pro Monat ausgeben, um seine Identität zu schützen: Investopedia untersucht die Vor- und Nachteile von Kreditüberwachungsdiensten.

Wenn Sie vermuten, dass Sie Opfer eines Identitätsdiebstahls sind, bietet die Website der US-Bundesbehörde für den Kampf gegen Identitätsdiebstahl ausführliche FAQs zu diesem Thema und einen Link für die Einreichung einer Beschwerde bei der Agentur.

 

Lassen Sie Ihren Kommentar