EINSICHT
E-Mails sind so sicher wie eine Postkarte.
Würden Sie sensible und vertrauliche Informationen auf einer Postkarte versenden? Wäre das sicher und konform, oder ein hohes Risiko und eine grobe Fahrlässigkeit? Menschen tun dies täglich mit E-Mails, die nicht einmal Umschläge wie normale E-Mails haben, d.h. E-Mails werden im Plain unverschlüsselten Text über unverschlüsselte Drittanbieter-Server (Public Internet) übertragen.
Als unverschlüsselter Text gesendet - es ist keine "Leseberechtigung" für E-Mail-Relais erforderlich.
Versandt über nicht vertrauenswürdige Dritte - Kopien können angefertigt werden.
Normale E-Mails können nicht zurückgeschickt werden, und Sie sind Backups auf den Computern der Empfänger ausgesetzt.
Regelmäßige E-Mails sind auch dem Data Mining in Web-Browsern, Erweiterungen und Outlook-Add-Ins ausgesetzt.
Regelmäßige E-Mails verstoßen oft gegen bestehende Vorschriften.
Zusätzlich zu den inhärenten Cybersicherheits- und Geschäftssicherheitsrisiken verstößt die Nutzung von Regular Email oft gegen eine Reihe von Datenschutzbestimmungen.
Aus diesem Grund sollten Unternehmen und Organisationen sowohl E-Mail als auch Vorschriften verstehen, um Strafen, Reputationsrisiken und rechtliche Schritte gegen ihre leitenden Angestellten zu vermeiden.
In vielen Fällen verstößt die Standard-SMTP-E-Mail gegen 15 DSGVO-Artikel, wenn sie zum Senden persönlicher Daten verwendet wird.
BIS ZU€20
MILLION IN BUßGELD
Die DSGVO verhängt wegen Nichteinhaltung hohe Bußgelder gegen Datenverantwortliche und Auftragsverarbeiter. Bis zu 20 Mio. € oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Die Verwendung von regulären E-Mails (Senden von personenbezogenen Daten in unverschlüsseltem Text über unverschlüsselte E-Mail-Relais von Drittanbietern) kann gegen Grundsätze und zahlreiche DSGVO-Artikel verstoßen:
Artikel 5 "Grundsätze für die Verarbeitung personenbezogener Daten".
Artikel 25 "Datenschutz durch Design und Standard".
Artikel 28 "Verarbeiter".
Artikel 32 "Sicherheit der Verarbeitung".
Artikel 33 "Mitteilung einer Verletzung personenbezogener Daten an die Aufsichtsbehörde".
Artikel 34 "Mitteilung einer Verletzung personenbezogener Daten an die betroffene Person".
Andere relevante Art. 17, 18, 35, 46, 50, 82, 84, 90.
SMTP-E-Mail verstößt in vielen Fällen gegen 7 COBIT-Anforderungen.
BIS ZU$5
MILLION IN BUßGELD
BIS ZU20
JAHRELANGE HAFT
SOX ermöglicht es SEC, CEOs und CFOs Entschädigungen zu zahlen - Strafen und Bußgelder können bis zu 5 Millionen Dollar betragen, zusammen mit 20 Jahren Gefängnis.
Ohne zusätzliche Sicherheit können reguläre E-Mails, die nur auf 1982 SMTP basieren, gegen das COBIT-Framework verstoßen:
Identifizieren und schützen Sie Finanzinformationen vor unbefugtem Zugriff, Übertragung oder Offenlegung;
Authentifizieren Sie einzelne Absender von Nachrichten und beabsichtigte Empfänger;
Sichern Sie die Übertragung von E-Mail-Nachrichten mit Finanzinformationen;
Sichere Indizierung, Archivierung und Aufbewahrung von Nachrichten;
Haben Sie die Möglichkeit, Nachrichten nach Bedarf von Auditoren und Compliance-Verantwortlichen zu auditieren und abzurufen;
Schützen Sie E-Mail-Server und andere Systeme, die E-Mails mit Finanzinformationen speichern oder verarbeiten;
Sie können den Nachrichtenverkehr verfolgen und protokollieren.
(Public Company Accounting Oversight Board (PCAOB), gegründet von SOX, erkennt COBIT (Control Objectives for Information and Related Technologies) Framework für IT-Compliance an).
SMTP-E-Mail verstößt in vielen Fällen gegen 4 Sicherheitsregeln, wenn sie zum Senden von e-PHI verwendet wird.
BIS ZU$250 000
PRO VORFALL
BIS ZU10
JAHRELANGE HAFT
Nach HIPAA können Gesundheitsorganisationen, die PHI nicht vor Verlust oder unbefugter Offenlegung schützen, mit Bußgeldern von bis zu 250.000 US-Dollar pro Vorfall rechnen, während verantwortliche Personen wegen Nichteinhaltung mit bis zu 10 Jahren Gefängnis rechnen müssen.
Sicherheitsregeln schreiben vor, dass betroffene Unternehmen geeignete Richtlinien umsetzen, einschließlich technischer und physischer Sicherheitsvorkehrungen für Informationssysteme, die e-PHI unterhalten, um die Sicherheit und Vertraulichkeit von e-PHI vor Verlust oder unbefugter Weitergabe zu gewährleisten:
Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit aller e-PHI, die sie erstellen, empfangen, warten oder übertragen;
Identifizieren und schützen Sie e-PHI vor vernünftigerweise zu erwartenden Bedrohungen für die Sicherheit oder Integrität der Informationen;
Schützen Sie e-PHI vor vernünftigerweise erwarteten, unzulässigen Nutzungen oder Offenlegungen;
Sicherstellung der Compliance durch die Mitarbeiter.
SMTP-E-Mail verstößt gegen die 3 Datenschutzanforderungen des Act, wenn sie in vielen Fällen zum Versenden von NPI verwendet wird.
BIS ZU$10 000
FÜR JEDEN VERSTOß
BIS ZU5
JAHRELANGE HAFT
Bei Nichteinhaltung gibt es schwere Strafen: Freiheitsstrafe bis zu 5 Jahren, hohe Geldstrafen oder beides. Ein Finanzinstitut kann für jeden Verstoß mit einer Geldstrafe von bis zu 100.000 US-Dollar belegt werden; und Amtsträger und Direktoren können für jeden Verstoß mit einer Geldstrafe von bis zu 10.000 US-Dollar belegt werden.
Das Gesetz überträgt den Finanzinstituten die Verantwortung für den Schutz der Finanzdaten ihrer Kunden und der personenbezogenen Daten, die sie als nicht öffentliche personenbezogene Daten (NPI) bezeichnen, und für die Benachrichtigung von Regulierungsbehörden und Kunden im Falle eines Verstoßes gegen die Datensicherheit.
Die vierte Datenschutzanforderung des Gesetzes verpflichtet jede Aufsichtsbehörde des Finanzinstituts, "zur Förderung der Richtlinie" geeignete "Normen" in Bezug auf die Garantien festzulegen:
Gewährleistet die Sicherheit und Vertraulichkeit der Kundendaten;
Schützt vor allen zu erwartenden Bedrohungen für die Sicherheit solcher Aufzeichnungen;
Schützt vor unbefugtem Zugriff auf solche Datensätze, die zu erheblichen Schäden oder Unannehmlichkeiten für den Kunden führen können.
Die Regulierung der Fair Disclosure wurde von der SEC im August 2000 veröffentlicht. Die Regel schreibt vor, dass alle börsennotierten Unternehmen wesentliche Informationen an alle Anleger gleichzeitig weitergeben müssen.
Die Verordnung FD sieht vor, dass ein Emittent oder eine in seinem Namen handelnde Person wesentliche, nicht öffentliche Informationen selektiv an bestimmte aufgezählte Personen (im Allgemeinen Wertpapiermarktprofis oder Inhaber von Wertpapieren des Emittenten, wenn es vernünftigerweise absehbar ist, dass die Inhaber auf der Grundlage der Informationen handeln werden) weitergibt, dann muss der Emittent die Informationen öffentlich bekannt geben.
Regelmäßige SMTP-E-Mails mit Finanzinformationen werden täglich über nicht vertrauenswürdige Dritte in unverschlüsseltem Text an Finanzanalysten, Investoren, PR-Unternehmen, Rechtsberater und Ratingagenturen verschickt - was in bestimmten Fällen gegen die Vorschriften zur Fair Disclosure verstoßen kann.
✖
KAPITEL II, Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).