Wie Unternehmen den regulatorischen Erfordernissen bei der E-Mail Compliance am besten gerecht werden.
Datenschutz betrifft jedes Unternehmen. Die rasante technologische Entwicklung hat dazu geführt, dass die Digitalisierung praktisch alle sozialen und wirtschaftlichen Bereiche erfasst hat. Wenig überraschend, dass parallel dazu kriminelle Hacker-Aktivitäten, Datenschutzverstöße und Datendiebstahl im selben Ausmaß zugenommen haben. Dazu kommt ein schier undurchdringlich erscheinender Dschungel von regulatorischen Anforderungen, die sich kontinuierlich ändern. Und deren Missachtung, beabsichtigt oder unbeabsichtigt, empfindliche Strafen und Sanktionen nach sich zieht. Für Unternehmen, die sich mit Compliance-Anforderungen ohnehin herumschlagen, ist es eine zusätzliche Herausforderung, sichere E-Mail-Kommunikation zu gewährleisten.
Auf den ersten Blick erscheinen Komplettlösungen in Sachen Compliance ein probates Mittel zu sein, dem Dilemma zu entgehen. Klar ist aber auch, dass Technologie allein niemals für Compliance sorgen kann. Firmen müssen tatsächlich ihre eigenen branchenkonformen Richtlinien zur E-Mail-Compliance entwerfen. Die zu implementierende Technologie sollte flexibel sein und vor allem die Policy stärken. Während Compliance im Bereich Messaging durchaus komplex sein kann, muss E-Mail-Sicherheit das nicht notwendigerweise auch sein.
Wir erläutern Ihnen fünf Schritte, die Unternehmen helfen eine effektive Policy zu entwickeln, die den Sicherheitsanforderungen entspricht.
Eine für alle
Die schlechte Nachricht dabei ist, dass es kein Patentrezept und keine standardisierte Vorgehensweise gibt, die für alle Anforderungsprofile passend ist. Dazu sind sie, gerade im Bereich E-Mail-Compliance zu individuell. Trotzdem gibt es einige grundsätzlich Schritte, die eine offensichtlich komplexe Aufgabe wenigstens so weit wie möglich vereinfachen.
1. Schritt : Finden Sie heraus welche Compliance-Anforderungen im Einzelnen für Sie gelten und was Sie tun müssen um diesen Vorgaben zu entsprechen
Fragen Sie sich, welche Regularien auf Ihr Unternehmen zutreffen? Und welche Anforderungen davon den Nachweis der E-Mail-Compliance betreffen? Gibt es zwischen beiden Überschneidungen oder gar Konflikte? Finden Sie unbedingt heraus, ob Sie in Ihrem Unternehmen an dieser Stelle zwei unterschiedliche Richtlinien definieren müssen oder ob es genügt lediglich eine, dafür umfassende Policy zu erstellen.
Hier sind einige der wichtigsten Vorgaben, die auch die E-Mail-Compliance betreffen:
- Rechtliche Vorgaben, die im Bundesdatenschutzgesetz (BDSG) geregelt sind. Das BDSG regelt die Erhebung, Verarbeitung und Nutzung von Daten natürlicher Personen. Ziel ist es, den Missbrauch personenbezogener Daten zu verhindern. Speziell die Anlage zu § 9 enthält hierfür spezifische organisatorische und technische Vorgaben.
- Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Die GDPdU regeln die Aufbewahrung digitaler Unterlagen. Hierbei werden handelsrechtliche Vorgaben hinsichtlich der digitalen Aufbewahrung von Geschäftsunterlagen, Buchungsbelegen und Rechnungen konkretisiert.
- Mindestanforderungen an das Risikomanagement (MaRisk). Hier sind vor allem die Bafin betreffenden Richtlinien gemeint. Das MaRisk-Rundschreiben enthält verbindliche Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Ausgestaltung eines angemessenen Risikomanagements bei deutschen Finanzinstituten und Versicherungen.
- Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erfordert die Einführung eines Risikofrüherkennungssystems und erweitert die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern.
- Sarbanes-Oxley (SOX). SOX wurde als Reaktion auf berühmte Bilanzskandale erlassen und verpflichtet zu mehr Transparenz in der Rechnungslegung und Berichterstattung. SOX gilt für Unternehmen, die an US-Börsen gelistet sind, aber auch für ausländische Tochtergesellschaften dieser Unternehmen.
- ISO 27001. ISO 27001 ist eine international anerkannte Norm für IT-Sicherheit. Die Norm enthält eine Reihe spezifizierter Anforderungen für die Herstellung, Planung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines Informationssicherheits-Managementsystems.
(Quelle: Gesellschaft für Informatik, https://www.gi.de/service/informatiklexikon/detailansicht/article/it-compliance.html)
Zusätzlich sind die folgenden Verordnungen und Richtlinien in einzelnen Bereichen relevant:
- EU-Datenschutz-Grundverordnung: Soeben wurde die finale Entwurfsfassung der neuen EU-Datenschutzbestimmungen, die so genannte Datenschutz-Grundverordnung (DS-GVO), beschlossen. Die neue DS-GVO ist im Prinzip eine Weiterentwicklung der bestehenden EU-Datenschutzrichtlinie. Für ein Unternehmen, das gerade erst den EU-Markt für sich erschließt, hält die DS-GVO einige Herausforderungen bereit. Für Unternehmen, die Best Practices und Branchenstandards (PCI DSS, SANS Top 20, ISO 27001 usw.) bereits befolgen, sollte sie hingegen kein allzu großes Problem darstellen.
Die DS-GVO enthält etliche Datenschutzempfehlungen, insbesondere zum Bereich Privacy by Design. Dazu gehören beispielsweise das Minimieren der erfassten personenbezogenen Daten, das Löschen personenbezogener Daten, die nicht mehr benötigt werden, Zugriffsbeschränkungen und Datenschutz über den gesamten Lebenszyklus hinweg. Neue Anforderungen enthält beispielsweise Artikel 28. Artikel 28 (Dokumentation) enthält zusätzliche Anforderungen hinsichtlich der Dokumentation von Verarbeitungsvorgängen. Und zwar sowohl für die sogenannten Auftragsverarbeiter als auch für diejenigen, die für die Verarbeitung verantwortlich sind. Zukünftig müssen die vom für die Verarbeitung Verantwortlichen erfassten Daten kategorisiert, die Empfänger der Daten dokumentiert und Fristen für das Löschen der personenbezogenen Daten angegeben werden.
- Vorratsdatenspeicherung: Bereits beim ersten Anlauf in Sachen Vorratsdatenspeicherung hatten Provider bemängelt, dass sie zwar jetzt wissen, was sie zu speichern hätten, aber nicht wie sie das technisch umsetzen sollen. Die “Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation”, kurz TR TKÜ, enthielt in der aktuellen Ausgabe der Bundesnetzagentur vom Februar 2008 noch keine Vorgaben, auf welche Weise die geforderten Daten gespeichert werden sollen. Mit dem neuen Gesetz sind Provider und Unternehmen an dieser Stelle gleichermaßen in der Pflicht, sensible Datenbestände entsprechend aufzubewahren und gegebenenfalls zur Verfügung stellen zu können. Gleichzeitig müssen diese Daten geschützt sein und es muss sich nachvollziehen lassen, wer wann auf sie zugreifen kann. Die Speicherfristen sind dabei verkürzt und die E-Mail-Verkehrsdaten ausgenommen worden.
- IT-Sicherheitsgesetz für Kritische Infrastrukturen (KRITIS): Am 12. Juni 2015 hat der Bundestag das seit über zwei Jahren diskutierte IT-Sicherheitsgesetz verabschiedet und am 10. Juli 2015 passierte es anstandslos auch den Bundesrat. Grundlage des Gesetzestextes ist die Entwurfsfassung vom Februar dieses Jahres inklusive der vom Innenausschuss empfohlenen Änderungen. Mit auslösend für den Charakter dieses Entwurfs waren vor allem die Angriffe auf sogenannte „kritische Infrastrukturen“, KRITIS. Mit „kritische Infrastrukturen“ sind vor allem solche gemeint, die dafür sorgen, dass ein Gemeinwesen funktioniert. Also Energieversorger, Betreiber von Krankenhäusern, Banken und Versicherungen, Transport- und Logistikfirmen, aber auch IT- und Telekommunikationsunternehmen. Die branchenübergreifenden Regeln sollen vor allem für ein besseres Sicherheitsniveau sorgen. Welche technischen Maßnahmen allerdings konkret zu ergreifen sind lässt der Gesetzgeber offen.
2. Schritt : Identifizieren Sie welche der per E-Mail versendeten Daten besonders geschützt werden müssen und setzen Sie die Protokolleinstellungen dementsprechend
Abhängig von den Richtlinien, denen ein Unternehmen unterlegt, müssen die Daten identifiziert werden, die unter den Geltungsbereich fallen und als vertraulich gelten. Dazu gehören natürlich Kreditkartennummern, alle Gesundheitsdaten und jegliche Personally Identifiable Information (deren Umfang auch erst kürzlich erweitert worden ist). Unternehmen müssen klar definieren, wer autorisiert ist, solche Daten zu versenden und zu empfangen. Das betrifft zum einen die Unternehmensrichtlinien zum anderen die einzusetzenden Technologien. Dazu gehören Techniken zum Verschlüsseln, Archivieren oder Blockieren von Inhalten. Letzteres beispielsweise auf der Basis von Benutzern, Benutzergruppen, Keywords oder anderer lexikalischer Indikatoren, dass es sich hierbei um vertrauliche Inhalte handelt.
3. Schritt: Nachvollziehen, ob und wie Daten kompromittiert oder gestohlen worden sind
Hat man verstanden welcher Typ von Daten via E-Mail versendet worden ist, kann man nachvollziehen, ob und wie Daten beim Transport verloren gegangen sind. Sind Datenschutzverletzungen innerhalb des Unternehmens aufgetreten? Vielleicht sogar innerhalb einer bestimmten Benutzergruppe? Sind Anhänge geleaked worden? Am Ende einer solchen Analyse sollte immer stehen die unternehmensinternen Richtlinien anzupassen. Und zwar so, dass sie die Schwachstellen adressieren, die sich als die gefährlichsten erwiesen haben.
4. Schritt: Entscheiden Sie sich für die E-Mail-Sicherheitslösung, die das Anforderungsprofil innerhalb der Policy am besten abbildet und verhalten Sie sich richtlinienkonform
Sich für eine technische Lösung zu entscheiden, die die Richtlinie am besten abbildet ist fast so wichtig wie die Policy selbst. Unter Umständen sind mehrere Lösungen erforderlich um das übergreifende Ziel „Compliance“ zu erreichen. Dazu gehören beispielsweise:
- Ende-zu-Ende-Verschlüsselung: Wenn Regularien einen sicheren Versand vertraulicher Informationen zwingend vorschreiben, wie das in einigen Branchen der Fall ist, ist oftmals eine Ende-zu-Ende-Verschlüsselung nötig. Sie stellt sicher, dass nur die dazu autorisierten Personen auf die Inhalte zugreifen und die Daten nicht verloren gehen.
- Data Leak Prevention (DLP): Eine DLP-Lösung umfasst E-Mail-Filter, Authentifizierung und begrenzte Zugriffsrechte, die dafür sorgen, dass die Übermittlung vertraulicher Daten innerhalb und außerhalb eines Unternehmens limitiert wird. Das sind zugleich Aspekte, die für Compliance gelten.
- Archivierung: Einige Regularien schreiben vor, dass relevante E-Mails gespeichert, indexiert und für einen bestimmten Zeitraum nach dem Versand auch weiterhin aufbewahrt werden müssen. Komfortable Archivierungslösungen sorgen dafür, dass diesen Forderungen Genüge getan wird.
Das gilt auch die Nachvollziehbarkeit im Rahmen eines Audits. Dabei geht es nicht nur darum die E-Mails entsprechend zu erfassen, sondern auch darum, dass ein Compliance-Auditor findet, was er sucht. Wenn die archivierten Dateien verschlüsselt und mit einem entsprechenden Backup versehen sind, schützt das sensible Daten auch auf dieser Ebene.
- Antiviren- und Anti-Malware-Lösungen repräsentieren die nächste Schutzebene, wenn es beispielsweise darum geht Phishing-E-Mails abzuwehren oder andere Angriffsvektoren, die ein E-Mail-System als Vehikel nutzen. Leider gibt es auch hier keine Patentlösungen. Wählt man eine E-Mail-Sicherheitslösung aus, sollte man sehr genau wissen, wie die E-Mail-Kommunikation im eigenen Unternehmen abläuft um das passende zu finden. Sonst läuft man Gefahr, dass die Lösung existierende Geschäftsprozesse und Workflows nicht ausreichend unterstützt. Nicht selten führen Lösungen, die Compliance gewährleisten sollen dazu, dass Funktionen und Workflows beeinträchtigt werden. Zurück bleiben frustrierte Benutzer, die vielleicht sogar nach Mitteln und Wegen suchen, dies zu umgehen. Auf Kosten der Compliance. Auch wenn die Studie des Ponemon Institute von 2011 schon ein wenig zurückliegt, die Aussage dürfte auch heute noch zutreffen: mehr als die Hälfte aller Anwender von E-Mail-Verschlüsselungslösungen finden die Anwendungen zu kompliziert….
5. Schritt: Behalten Sie den Benutzer im Blick, trainieren Sie ihn im Hinblick auf die im Unternehmen geltenden Richtlinien für vertrauliche Daten
Eine Compliance Policy ist nur so gut wie die Benutzer, die sie anwenden (sollen). Schulungen sollten so gestaltet sein, dass sie die Akzeptanz fördern und nicht abschrecken. Dazu gehört es auch Verhaltensweisen aufzuzeigen, die unbeabsichtigt die Policy verletzen und Datenschutzverletzungen Vorschub leisten könnten. Haben Benutzer nachvollziehbar verstanden, welche Risiken damit verbunden sind nicht richtlinienkonform zu sein und wie diese Anforderungen mit ihrer individuellen Arbeitsplatzsituation zusammenspielen, werden die entsprechenden Fehlerraten sinken. Idealerweise gestützt von der passenden technischen Lösung.
Totgesagte leben auch in punkto E-Mail-Kommunikation länger. Immer noch ist Mail eine der essentiellen Kommunikationswege und die meisten Unternehmen verlassen sich darauf. Selbst wenn sie vertrauliche Daten innerhalb und außerhalb des Unternehmens verschicken. Aber natürlich liegen genau darin die erhöhten Risiken für einen Verlust von sensiblen Daten. Laut einer jüngst veröffentlichten Studie sind für 35 % aller Datenverluste in Unternehmen Datenschutzverletzungen verantwortlich, die mit der E-Mail-Kommunikation zu tun haben.
Die zahlreichen Schwachstellen, die mit E-Mails verbunden sind, zwingen Unternehmen dazu die Daten zu schützen, zu kontrollieren und nachvollziehbar zu machen, inklusive der versendeten Anhänge und unabhängig davon, wohin die Informationen geschickt worden sind.
Die obigen fünf Schritte tragen dazu bei in einem Unternehmen eine entsprechende Richtlinie zu entwickeln und umzusetzen.
Rocco Donnino, Executive Vice President of Corporate Development, AppRiver