Transcript Beispiel-Datenschutzrichtlinien

Datenschutz: So funktioniert's
Inhaltsübersicht
Was Sie schützen müssen
Ihre Daten sind überall
Wie Unternehmen Daten verlieren
Datenverlust und seine Folgen
Strategien zur Sicherung Ihrer Daten
2
Datenlecks: Sorge Nummer 1
Datenverluste sind die größte Sorge von IT-Führungskräften
Diebstahl/Verlust sensibler Daten
Vorschriften
33 % Sorge Nummer 1
Viren
27 % Sorge Nummer 1
Konformität mit Richtlinien und
3
38 % Sorge Nummer 1
Quelle: Cisco Security Survey 2008
Was Sie schützen müssen
Sensible Daten sind in Ihrem Unternehmen weit verteilt und vielfältiger Natur
• Daten aus Forschung & Entwicklung
• Finanzdaten von Kunden
• Patente
• Personalakten
• Vertriebsdaten
• Kundenlisten
• Wettbewerbsinformationen
4
Inhaltsübersicht
Was Sie schützen müssen
Ihre Daten sind überall
Wie Unternehmen Daten verlieren
Datenverlust und seine Folgen
Strategien zur Sicherung Ihrer Daten
5
Unsere Geschäftspraktiken wandeln sich
Wachsende Herausforderungen auf dem Gebiet der Sicherheit sind die Folge
• Zunehmende Verwendung von Mobilgeräten
(Laptops, Blackberries, iPhones, USB-Sticks)
• Zunehmende Tätigkeit über webbasierte Anwendungen
und Services
• Zunehmender Einsatz von Social Networking im
Unternehmensumfeld
• Werbe- und Informationsvideos auf YouTube
• Marketing und PR über Twitter
• Kundensupportgruppen auf Facebook
• Anwerben von Arbeitskräften über LinkedIn
6
Mobilgeräte wie Laptops gehen
häufig verloren oder werden
gestohlen
86 % aller IT-Kräfte berichten, dass
unternehmenseigene Laptops bereits
gestohlen wurden bzw. abhanden
kamen und 61
%
schildern, dass dieser Vorfall eine
Datenschutzverletzung zur Folge
hatte.
7
Quelle: Ponemon Institute: 2010 Human Factor in Laptop
Encryption: UK Study
Inhaltsübersicht
Was Sie schützen müssen
Ihre Daten sind überall
Wie Unternehmen Daten verlieren
Datenverlust und seine Folgen
Strategien zur Sicherung Ihrer Daten
8
Versehentlicher Datenverlust
Datenverlust-Beispiele der jüngsten Vergangenheit
• Texas Comptroller's Office
Verloren gegangene Datensätze: 3,5 Mio.
Daten von drei Agenturen in Texas waren über einen öffentlichen Server frei zugänglich.
• Health Net Inc.
Verloren gegangene Datensätze: 1,9 Mio.
Neun Datenserver mit sensiblen Patientendatensätzen gingen aus dem
Health Net Datencenter in Rancho Cordova, Kalifornien, USA, verloren.
• Morgan Stanley Smith Barney,
New York State Department of Taxation and Finance
Verloren gegangene Datensätze: 34.000
Zwei CD-ROMs gingen verloren, nachdem diese von Morgan Stanley
an das New York State Department of Taxation and Finance versendet worden waren.
9
Source: PrivacyRights.org
Datendiebstahl
Einige Datendiebstahls-Beispiele der jüngsten Vergangenheit
• Citibank
Gestohlene Datensätze: 360.000
3.400 Kunden, deren Kreditkartendaten gestohlen wurden, mussten
einen finanziellen Gesamtschaden in Höhe von 2.700.000 USD
(ca. 2.000.000 EUR) hinnehmen.
• Sony
Gestohlene Datensätze: 12 Mio. unverschlüsselte
Kreditkartennummern
Für sein Programm zum Schutz vor Datendiebstahl, für KundenSupport, Verbesserungen bei der Netzwerksicherheit und
Gerichtskosten veranschlagt Sony Ausgaben in Höhe von 171 Mio.
USD (ca. 123 Mio EUR).
10
Source: PrivacyRights.org
Inhaltsübersicht
Was Sie schützen müssen
Ihre Daten sind überall
Wie Unternehmen Daten verlieren
Datenverlust und seine Folgen
Strategien zur Sicherung Ihrer Daten
11
Datenlecks = schwerwiegende
Folgen für Unternehmen
Datenverluste beeinflussen Ihr Unternehmen finanziell und rechtlich und können
die Vertrauensbasis erschüttern.
12
Finanziell
• Bereinigungskosten (z.B. Kreditüberwachung,
Benachrichtigung)
• Geschäftseinbußen
• Geldstrafen
• Diebstahl unternehmenseigener Finanzmittel
• Geräteersatz (Laptop usw.)
Rechtlich
• Strafrechtliche Verfolgung aufgrund Verletzung von
Datenschutzgesetzen
• Klagen von Betroffenen
Vertrauen
•
•
•
•
Negative PR
Reputationsverlust
Verlorenes Kundenvertrauen
Verlust des Mitarbeitervertrauens
Finanzielle Folgen
Durchschnittliche Kosten pro verloren gegangenem oder gestohlenem Datensatz:
214 USD (ca. 155 EUR)
Durchschnittliche Kosten pro verloren gegangenem oder gestohlenem Laptop:
49.246 USD (ca. 35.340 EUR)
Durchschnittliche Kosten einer Datenveruntreuung in Unternehmen:
7,2 Mio. USD (ca. 5,2 Mio. EUR)
13
Quellen: Ponemon Institute: U.S. Annual Cost of Data Breach (2010)
and The Billion Dollar Lost Laptop Problem
Rechtliche Folgen
Auch die rechtlichen Kosten in Folge eines Datenlecks können Unternehmen
teuer zu stehen kommen
• Einzelhändler TJX veranschlagt 170 Mio. USD
(ca. 130 Mio. EUR) zur Begleichung der Kosten einer
Datenschutzverletzung im Jahre 2009 (u.a. Bestreiten
zahlreicher Gerichtsverfahren).
• Sony schätzt, dass die LulzSec-Hacks des Jahres 2011
den Betriebsgewinn um 178 Mio. USD (128 Mio.
EUR) schmälern werden, u.a. aufgrund anfallender
Kosten für mind. 55 Sammelklagen.
14
Source: PrivacyRights.org
Verlorenes Vertrauen
Schwer in Zahlen festzumachen, beeinflusst Unternehmenserfolg jedoch
nachgewiesenermaßen
• Die Negativfolgen von Datenschutzverletzungen können schnell
lawinenartig anwachsen.
• Verlorenes Ansehen und negative PR können Neukunden
abschrecken und Auftragszahlen stagnieren lassen.
• Mangelndes Mitarbeitervertrauen kann zu gesteigerter
Mitarbeiterfluktuation führen und die Anwerbung neuer Arbeitskräfte
erschweren.
15
Inhaltsübersicht
Was Sie schützen müssen
Ihre Daten sind überall
Wie Unternehmen Daten verlieren
Datenverlust und seine Folgen
Strategien zur Sicherung Ihrer Daten
16
Richtlinien und Prozesse
Richtlinien und Prozesse setzen den Datenschutz in den richtigen Fokus
• Wirksame Regeln zur Sicherung ihrer Daten, u.a. Richtlinien,
Lieferantenverträge und Verträge mit Arbeitskräften
• Klar formulierte und dokumentierte Datenschutzrichtlinien, an der
sich alle, die Daten verarbeiten, orientieren können
• Konformität mit rechtlichen Vorschriften
• Richtlinien, die die tatsächlichen Arbeitsweisen in Ihrem
Unternehmen berücksichtigen
17
Technologie
Technologielösungen zur Sicherung von Daten konzentrieren sich auf vier
Hauptbereiche:
Verschlüsselung Bedrohungsschutz Data Loss
Prevention
• Festplattenver• Anti-Virenschlüsselung
• Geräteverschlüsselung
• E-Mail
Verschlüsse-lung
18
/Endpoint-Schutz
• Application Control
RichtlinienCompliance
• Firewall
• Device Control
• Kontrolle des
Internetzugangs
• Patch
Management
• Kontrolle von
Netzwerkbrücken
• Network Access
Control
Aufklärung von Benutzern
Sie sind immer nur so stark wie das schwächste Glied Ihrer Kette: Ihre Benutzer
Bewusstsein bedeutet:
• Verwantwortungsbewusstes Handeln zur Verhinderung von
Datenverlusten
• Verständnis der Verlustwege von Daten
• Wissen über die Folgen von Datenverlusten für das Unternehmen,
die Allgemeinheit oder die gesamte Branche
• Klar formulierte und kommunizierte Richtlinien sowie striktes
Enforcement
19
Fazit
20
Schlussfolgerungen und Tipps
• Daten sind eines der wichtigsten Unternehmensgüter – und der
Prozentsatz sensibler Daten wird weiter steigen.
• Regierungen weltweit lassen dem Datenschutz durch neue Gesetze
und erhöhte Geldstrafen für Datenlecks steigende Bedeutung
zukommen.
• Indem Sie die grundsätzlichen Regeln zur Implementierung einer
Datenschutzstrategie befolgen, können Sie Datenverlustrisiken
minimieren.
• Durch eine flächendeckende Verschlüsselung von Daten können
Sie ferner sicherstellen, dass Unbefugte selbst bei einem Datenleck
keinen Zugriff auf vertrauliche Daten erhalten.
21
Weitere Informationen
+49 611 5858-0
E-Mail: [email protected]
sophos.de/products
22