Lesezeit: 4 Min
Personenbezogene Daten ausreichend schützen
Phishing stellt im Umgang mit Daten immer wieder eine große Gefahr dar. Dabei geht es nicht nur um unternehmensbezogene Interner, sondern auch um personenbezogene Daten Betroffener. Daher spielt das Thema Phishing auch im Datenschutz eine große Rolle.
Mittlerweile findet nach unterschiedlichen Angaben durchschnittlich ca. alle 20 Sekunden alleine in Deutschland ein Phishing-Angriff statt.
Was ist Phishing?
Beim Phishing werden durch gefälschte Nachrichten (E-Mail, SMS o.ä.) oder auch durch Anrufe im Namen von angeblichen Anbietern, zum Beispiel Zugangsdaten von den betroffenen Personen abgefragt, um diese unrechtmäßig zu nutzen. Ziemlich bekannt ist beispielsweise der Versand von angeblichen E-Mails der eigenen Bank. Hier werden dann täuschend echt aussehende Mails von der vermeintlichen Bank an den Kunden geschickt zum Beispiel mit der Aufforderung sich wegen Sicherheitsmängeln, ungewöhnlichen Kontobewegungen o.ä. über einen Link aus der E-Mail heraus im Bankkonto anzumelden.
Nicht selten wird auch angegeben, dass der Zugang gesperrt wird, sollte man dies nicht tun. Nutz der Kunde nun den vermeintlichen Link, wird er zu einer sehr echt aussehenden Anmeldeseite weitergeleitet, welche für Laien meist gar nicht als Fake zu bewerten ist. Bei der Anmeldung auf dieser Seite der vermeintlichen Bank gibt der Kunde seine Zugangsdaten ein, welche dann durch die Betrüger abgegriffen und für weiteren Missbrauch genutzt werden.
Eine zweite Möglichkeit ist, dass in einer Phishing-Mail ein Anhang zu finden ist, der mit vermeintlich wichtigen Informationen, z.B. zu einer Bestellung oder Banktransaktion, versehen sein soll. In diesem Anhang findet sich dann eine entsprechende Malware oder ein Virus, welcher Daten auf dem Computer – meist vorerst unbemerkt – abgreifen und nutzen kann.
Datenschutz – Verlust von personenbezogenen Daten durch Phishing
Betrachtet man Phishing-Angriffe aus der Sicht von Unternehmen, Vereinen, Arztpraxen, Schulen, Kindergärten oder anderen Organisationen, so wird klar, wie groß auch im Datenschutz der Schaden sein kann. Neben finanziellen Verlusten und dem Verlust von wichtigen Firmendaten, spielt auch der mögliche Schaden für Betroffene durch das Abgreifen von personenbezogenen Daten eine große Rolle.
Erhält ein Hacker durch einen Phishing-Angriff Zugang zu personenbezogenen Daten, kann der Schaden für den Betroffenen sehr groß sein. Für den Verantwortlichen bedeutet das, dass eine meldepflichtige Datenpanne vorliegt.
BLOG-TIPP: WAS TUN BEI DATENPANNEN?
Phishing – Änderung und Löschung personenbezogener Daten
Der Verlust von personenbezogenen Daten ist dabei eine Möglichkeit des Schadens für den Betroffenen, aber auch unrechtmäßige Änderungen oder Löschung – also die Veränderung oder der Verlust – von personenbezogenen Daten können meldepflichtig sein, da sie einen Schaden für den Betroffenen darstellen.
Um dies zu verhindern, sollte ein regelmäßiges Backup, also eine Datensicherung erstellt werden, um mögliche Datenänderungen oder Verluste wieder rückgängig zu machen und die personenbezogenen Daten wieder herstellen zu können.
Virenschutz als Schutz bei Phishing
Viele Phishing-Mails sind auch mit einem Virus versehen, mit dem das System durch das Öffnen von schadhaften Anhängen befallen wird. Auch hier können personenbezogene Daten angegriffen, verändert oder gelöscht werden. Es kommt zu einem meldepflichtigen Vorgang und einem Schaden für den Betroffenen.
Ein entsprechender Schutz, zum Beispiel durch Virenscanner, ist daher auch in Betracht auf den Datenschutz unerlässlich. Ein solcher Schutz der Daten zählt zu den technischen und organisatorischen Maßnahmen (TOM) im Datenschutz.
BLOG-TIPP: VIRENSCANNER – BAUSTEIN IM DATENSCHUTZ
Handlungsempfehlungen gegen Phishing-Angriffe
Um nicht auf Phishing-Angriffe hereinzufallen, gibt es einige Tipps, die man beachten sollte. Grundsätzlich sollten Sie allen E-Mails oder anderen Nachrichten misstrauen, die vertrauliche Daten abfragen. Dazu gehören Zugangsdaten oder ähnliches. Wenn ein Link in der Nachricht angegeben ist, sollten Sie diesen nicht direkt in der E-Mail anklicken, sondern immer eigenständig im Browser eingeben.
Genauso wie Sie keine Links aus einer E-Mail öffnen sollten, sollten auch Anhänge aus verdächtigen E-Mails nie geöffnet werden. Diese können Viren oder ähnliches enthalten. E-Mail-Anhänge sollten immer nur nach einer entsprechenden Prüfung auf Malware geöffnet werden.
Sollte in der Mail damit gedroht werden, dass fehlende Beachtung bzw. Bearbeitung eines Links negative Folgen mit sich bringen, sollten Sie ebenfalls misstrauisch werden. Wenn Ihnen – vor allem bei Befragungen zum Thema Sicherheit oder Konto – etwas fraglich vorkommt, fragen Sie immer beim Absender nach – am besten telefonisch. Dies sollten Sie nicht über die in der E-Mail angegebenen Daten machen, sondern über den offiziellen Anbieter (z.B. über dessen offizielle Homepage oder Ihre vorliegenden Kontaktdaten). Die Kontaktdaten und auch die angegebene Homepage in der Phishing-Mail können gefälscht sein, daher nutzen Sie niemals diese Kontaktmöglichkeiten für eine Rückfrage.
Verdächtige Nachrichten sollten Sie sofort löschen und dem Administrator Ihren Verdacht melden. Der Phishing-Filter sollte an der entsprechenden Fachabteilung regelmäßig angepasst und optimiert werden.
Abfragen von Kennwörtern oder anderen Zugangsdaten kann immer auch auf anderen Wegen, als nur per E-Mail erfolgen. Dazu gehören SMS, FAX, Anrufe, Webseiten usw. Geben Sie also entsprechende Daten nie weiter, auch wenn die Zugangsdaten durch den Administrator oder den Vorgesetzten abgefragt werden.
BLOG-TIPP: PASSWORTRICHTLINIEN NACH DS-GVO FÜR UNTERNEHMEN IN NRW
Phishing – Datenschutz und IT-Sicherheit
In erster Linie geht es bei dem Umgang mit Phishing Mails also um die Vereitelung solcher Angriffe zum Beispiel durch einen ausreichenden Virenschutz oder Vorsichtsmaßnahmen im Umgang mit verdächtigen Nachrichten und Anrufen.
Entsprechende technische und organisatorische Maßnahmen (TOM) sollten in jedem Unternehmen Standard sein. Aber auch der Umgang mit einer Datenpanne sollte immer auch ausreichend festgelegt sein, damit im Fall der Fälle entsprechende Maßnahmen getroffen werden können.
Der (externe) Datenschutzbeauftragte sollte bei der Beurteilung der notwendigen Maßnahmen zum Schutz der personenbezogenen Daten, aber auch beim Umgang mit möglichen Datenpannen hinzugezogen werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.