Ewiger Fluss: Wie Regulierungsbehörden den Verlust personenbezogener Daten bekämpfen

Das Problem der PD-Leckage an Benutzer sozialer Netzwerke und Webdienste wird in den Medien zunehmend diskutiert. Wahrscheinlich hat jeder die Geschichte mit dem Analyseunternehmen Cambridge Analytica gehört, das die persönlichen Daten von 87 Millionen Facebook-Nutzern (einschließlich der Daten von Mark Zuckerberg selbst ) abrufen konnte .

Es gibt jedoch weniger bekannte Fälle mit PD-Lecks, deren Ausmaß nicht geringer ist. Schauen wir uns einige Beispiele an und sprechen wir darüber, welche Maßnahmen Regulierungsbehörden und IT-Unternehmen ergreifen, um solche Vorfälle zu verhindern.


/ Foto Mike Rickard CC

Verlustsituation bei personenbezogenen Daten

Im Jahr 2016 stieg die Zahl der Fälle von PD-Diebstahl im Vergleich zum Vorjahr um 40%. Im späten Frühjahr 2016 haben Hacker 360 Millionen Benutzeranmeldeinformationen für MySpace zum Verkauf angeboten . Das gleiche Schicksal ereilte 164 Millionen E-Mail-Adressen und Passwörter des sozialen Netzwerks LinkedIn und 100 Millionen Benutzerkonten von vk.com .

Und das "Volumen" von Lecks wächst nur. Wie InfoWatch, ein Informationssicherheitsunternehmen, im ersten Halbjahr 2017 feststellte , wurden 7,78 Milliarden Datensätze mit persönlichen und Zahlungsinformationen von Nutzern internationaler Dienste kompromittiert . Dies ist fast achtmal mehr als im ersten Halbjahr 2016 (1,06 Milliarden) und doppelt so viel wie im gesamten Jahr 2016 (3 Milliarden). Darüber hinaus werden sowohl Hacker als auch Mitarbeiter des Unternehmens (absichtlich oder unbeabsichtigt) für Lecks verantwortlich.

Zum Beispiel waren Hacker für das Durchsickern von PD-Nutzern von Yahoo-Nutzern vor einigen Jahren verantwortlich. 2014 haben sie die persönlichen Daten von mehr als 500 Millionen Nutzern des Dienstes gestohlen. Nach Angaben des Unternehmens könnten Namen, Adressen und Telefonnummern sowie Geburtsdaten „auslaufen“. Später stellte sich heraus, dass es 2013 einen weiteren, schwerwiegenderen Fall von Hacking gab, bei dem Hacker Informationen von mehr als 1 Milliarde Yahoo-Nutzern erhielten, darunter Passwörter und Antworten auf geheime Fragen.

Und im Fall des vor einigen Monaten bekannt gewordenen Analyseunternehmens LocalBlox erfolgte die "Entladung" der Daten aufgrund des Verschuldens der Mitarbeiter des Unternehmens. LocalBlox sammelte Daten über Benutzer mehrerer sozialer Netzwerke gleichzeitig - Facebook, LinkedIn, Twitter und Zillow. Unter diesen Daten waren aufgeführt: Nachname und Vorname, Links zu Konten in sozialen Netzwerken, Adresse, Geburtsdatum, Post- und Telefonnummer, Gehalt, Interessen und vieles mehr. Das gesamte Datenfeld von 48 Millionen Menschen (sein Volumen betrug 1,2 Terabyte) hat das Unternehmen im offenen Speicher von Amazon "zurückgelassen". Er wurde von UpGuard , einem Cybersicherheitsteam , entdeckt .

Die Situation mit Equifax, die als „schlimmstes Leck“ bezeichnet wird, kann nicht ignoriert werden. Im Jahr 2017 ist die Anzahl der sozialen. Versicherungen, Kreditkarten und Führerscheine des Kreditbüros fielen in die Hände von Eindringlingen. Insgesamt waren 143 Millionen Kunden betroffen.

Es sind auch Fälle bekannt, in denen Datenbroker an Benutzerlecks beteiligt waren. Im Jahr 2011 wurde die Marketingfirma Epsilon gehackt . Dann kamen die E-Mails von Millionen von Menschen in das Netzwerk und ihre Besitzer wurden von Phishing- und Spam-Angriffen heimgesucht. Und 2015 wurde Experian gehackt. Hacker "gaben" persönliche Informationen an 15 Millionen Benutzer weiter.

Um den Schaden durch solche Vorfälle in Zukunft nicht zu verringern, haben US-Telekommunikationsunternehmen sogar beschlossen, den Verkauf von Kunden-Geodaten an Makler einzustellen. Wir haben mehr darüber in einem unserer letzten Blog-Materialien geschrieben .

Strengere Standards - eine Lösung oder eine neue Runde von Widersprüchen

Viele Experten und Politiker der Welt waren sich einig, dass frühere Fälle von Lecks und Diebstählen die Notwendigkeit einer Verschärfung der staatlichen Kontrolle über die Speicherung, Verteilung und den Schutz von Benutzerdaten belegen. Eines der bekanntesten Gesetze, das kürzlich verabschiedet wurde, ist die DSGVO.

Die DSGVO sollte den EU-Bürgern mehr Kontrolle über ihre Daten geben, was von verschiedenen Online-Diensten angefordert wird. Insbesondere können Benutzer jetzt sozialen Netzwerken die Weitergabe personenbezogener Daten ohne ihr Wissen untersagen und die Bereitstellung von Informationen über deren Verwendung verlangen.

Bei Verstößen gegen die Anforderungen drohen Unternehmen hohe Bußgelder. Sie können 20 Millionen Euro oder 4% des Jahresumsatzes erreichen . Daher haben viele Dienste ihre Datenschutzrichtlinien bereits entsprechend geändert und neue Funktionen eingeführt. Um beispielsweise die Anforderungen der DSGVO-Verordnung zu erfüllen, hat WhatsApp die Möglichkeit hinzugefügt, Kontoinformationen anzufordern - dies sind Einstellungen, Profilfotos, Gruppennamen usw. Auf Instagram wurde eine neue Option zum Herunterladen von Daten angekündigt. Wir haben separates Material zu anderen Änderungen in den Richtlinien von Medienunternehmen vorbereitet .

Die Aufsichtsbehörden legen auch den Zeitraum fest, innerhalb dessen das Unternehmen über den "Verlust" personenbezogener Daten berichten muss. Laut GDPR ist dieses „Fenster“ 72 Stunden nach dem Erkennen eines „Abflusses“.


/ Foto Descrier CC

In verschiedenen Ländern und sogar in verschiedenen Bundesstaaten Amerikas legen die Aufsichtsbehörden ihre eigenen Regeln für die Meldung von Vorfällen fest. In Florida und Colorado muss der Regulierer beispielsweise innerhalb von 30 Tagen nach einem Leck benachrichtigt werden. Gleichzeitig benötigen amerikanische Unternehmen laut Untersuchungen durchschnittlich 206 Tage , um den Verlust vertraulicher Informationen festzustellen. Wie in der Forschungsagentur Ponemon erwähnt, müssen Unternehmen daher ihre Leistung verbessern.

Wenn ein Unternehmen Informationen über ein Leck oder einen Hack verbirgt, besteht die Gefahr einer hohen Geldstrafe. Ende April 2018 kündigte die US-amerikanische Börsenaufsichtsbehörde Securities and Exchange Commission an, dass Altaba (ehemals Yahoo) eine Geldstrafe für die Unterdrückung des Lecks personenbezogener Daten von 2014 zahlen sollte . Die Höhe der Geldbuße (zur Unterdrückung des Ausmaßes des Diebstahls und nicht wegen seiner Zulassung) belief sich auf 35 Millionen US- Dollar.

In Russland sind die Geldbußen für Verstöße im Bereich der Verarbeitung von PD geringer. Die Regulierung könnte jedoch bald in die Fußstapfen des Westens treten. Die Behörden des Landes planen Unternehmen, um das Risiko des Verlusts personenbezogener Daten zu versichern. Das Schicksal der Initiative sollte bereits in diesem Monat entschieden werden.

Ob solche Regierungsprojekte langfristig wirksam sein werden und wie sie sich auf das Online-Leben der Nutzer auswirken werden, bleibt abzuwarten. Da gibt es in diesem Bereich noch Rechnungen, mit denen nicht alles so einfach ist. Wie bei der jüngsten Urheberrechtsreform in der EU , die diese Woche vom Europäischen Parlament abgelehnt wurde .

---

PS Was schreiben wir noch über den ersten Corporate IaaS-Blog:

• PD in der Cloud: Verantwortungsbereiche von Kunden und Cloud-Anbietern
• Umgang mit PD in der Cloud
• Was ist PD aus Sicht der russischen Regulierungsbehörde zu beachten?

PPS Beiträge zu einem Thema aus unserem Blog über Habré:

• Wie man mit PD in der Russischen Föderation umgeht und nicht gegen das Gesetz verstößt
• "Ein bisschen mehr über PD": US-amerikanische TV-Unternehmen werden den Verkauf von Kunden-Geodaten einstellen
• Die EU-Urheberrechtsreform könnte den Status des Internets vollständig ändern

---

Die Haupttätigkeit des IT-GRAD-Unternehmens ist die Bereitstellung von Cloud-Diensten:

Virtuelle Infrastruktur (IaaS) | PCI DSS Hosting | Wolke FZ-152 | Mieten Sie 1C in der Cloud

---