Ist Ihre E-Mail-Sicherheit für die EU-DSGVO bereit?
Am 25. Mai 2018 wird die Europäische Union (EU) ihre Allgemeine Datenschutzgrundverordnung (EU-DSGVO/GDPR) einführen.
Die GDPR beinhaltet eine Reihe von Regelungen, die das Sammeln, Speichern und Verwalten von personenbezogenen Daten in der EU schützen sollen. Eine Nichtbeachtung der EU-GDPR-Verordnung soll zu empfindlichen Strafen führen (max. 20 Mio oder 4% des Umsatzes).
Nach dem Infowatch Global Data Leakage Report von 2016 , da dürfte sich bis heute auch nicht viel geändert haben, sind E-Mails der zweitgrößte Bedrohungskanal für entstehenden Datenmissbrauch.
Eine frühzeitige Überprüfung der aktuellen E-Mail Sicherheit in Bezug auf die kommende GDPR kann nicht schaden.
Einige Schlüsselelement der GDPR
- Die GDPR gilt für alle Organisationen, die personenbezogenen Daten der in der EU ansässigen Personen verarbeiten, unabhängig vom Standort der Organisation.
- Die Verletzungsmeldung wird zwingend erforderlich und muss innerhalb von 72 Stunden nach Eintritt des Datenmissbrauchs erfolgen.
- EU-Einwohner haben das Recht, eine Bestätigung darüber zu erhalten, ob, wo und zu welchem Zweck personenbezogene Daten über sie verarbeitet werden.
- Das Recht, „vergessen zu werden“, berechtigt die User dazu das Löschen und die weitere Verbreitung ihrer personenbezogenen Daten zu untersagen.
- Datenschutz durch Design fordert die Einbeziehung des Datenschutzes bereits zu Beginn der Systemgestaltung nicht erst bei einer nachträglichen Ergänzung.
Was bedeutet dies nun für die E-Mail Sicherheit eines Unternehmens?
Implikationen der GDPR auf das E-Mail-System
- Als persönliche Daten werden alle Informationen eingestuft, die persönliche E-Mail-Adressen, Telefonnummern, Adressen, usw. enthalten, meist verwendet zu Marketingzwecken.
- Organisationen wie Einzelhandel, Finanzen und Gesundheitswesen müssen sehr wahrscheinlich mit einer höheren Komplexität im Umgang mit personenbezogenen Daten rechnen, um den Vorschriften entsprechen zu können.
- Um geeignete technische Maßnahmen zur Erfüllung der "Privatsphäre durch Design" durchzuführen, müssen Organisationen in ihre E-Mail-Sicherheitsinfrastruktur entsprechende E-Mail-Verschlüsselungs- und Compliance-Funktionen einbauen.
Um den Vorschriften zu entsprechen und eine positive Berwertung der E-Mail Sicherheit zu erreichen, müssen folgende Richtlinien berücksichtigt werden:
- Ein umfassender, vielschichtiger Ansatz, der einen starken Inbound- und Outbound-Schutz bietet
- Sandboxing und Quarantäne von unbekannten E-Mail-Anhängen, um Verstöße zu verhindern
- Starke Verschlüsselung und DLP für Compliance- und regulatorische Anforderungen