HIPAA-COMPLIANCE UND VARONIS

IT-Sicherheitsgesetz für kritische Infrastrukturen Am 12. Juni 2015 hat der Bundestag das seit über zwei Jahren diskutierte IT-Sicherheitsgesetz verabschiedet und am 10. Juli 2015 passierte es anstandslos den Bundesrat. Grundlage des Gesetzestextes ist die Entwurfsfassung vom Februar 2015 inklusive der vom Innenausschuss empfohlenen Änderungen. Mit auslösend für den Charakter dieses Entwurfs waren vor allem die Angriffe auf sogenannte „kritische Infrastrukturen“, KRITIS. Welche Empfehlungen und Anforderungen mit diesem neuen Gesetz verbunden sind, damit hatten wir uns bereits in einem früheren Beitrag beschäftigt.

Varonis-Umfrage bestätigt: Noch bleibt für Unternehmen einiges zu tun Anlässlich der CeBIT 2015 in Hannover, befragte Varonis IT-Fachleute aus dem Kreis der Fachbesucher im Hinblick auf die neuen EU-Datenschutzgesetze. Diese reformieren die seit 1996 gültigen Datenschutzverordnungen.

Bevor es losgeht, laden Sie sich am besten gleich das PDF mit der PCI Compliance-Checkliste herunter und richten sich nach den Empfehlungen!

Von Cyril Simonnet Seit einigen Jahren klettern die Zahlen für Wirtschaftskriminalität, Dunkelziffer inbegriffen. Die Materie ist komplex und kommt es denn tatsächlich zu einer Strafverfolgung, hat man es nicht selten mit sehr großen Datenmengen zu tun. Die beweisrelevanten Daten werden in aller Regel nicht nur bei dem oder den Beschuldigten sichergestellt, sondern auch bei Arbeitgebern, Providern, Banken und Versicherungen, meist noch vor Ort und in der sogenannten „gerichtsverwertbaren“ Art und Weise. Bei diesen Daten kommt es besonders auf die Inhalte an, Terabyte-große Datenvolumina müssen dann schnell vereinheitlicht und sinnvoll reduziert werden, um Muster und Beziehungen zwischen den unstrukturierten Daten zu erkennen. Datennutzer, Ort, Ereignisse und die Verbindungen aller drei untereinander werden identifiziert, nachvollzogen und visualisiert. Digital und kriminell? Nur was für die Großen? Globale, digitale Beziehungen und die zunehmend unübersichtlicher werdenden Geschäftsprozesse haben zu einem höheren Risiko von wirtschaftskriminellen Handlungen geführt. Dabei wird betrogen, veruntreut, unterschlagen, Bilanzen werden gefälscht, es wird bestochen, spioniert und korrumpiert. Kurz, die ganze Palette des Möglichen. Dabei kann es jedes Unternehmen treffen, auch wenn nur die großen, spektakulären Fälle das mediale Interesse auf sich ziehen.

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte das PCI Security Standards Council ein Dokument zu bewährten Methoden gemäß DSS 3.0, das Hintergrundinformationen zu den zwölf Anforderungen und ihren fast 300 Unterpunkten enthält. Es lohnt sich, einen Blick hineinzuwerfen. Die Kernaussage: Die Einhaltung der PCI-Regeln für den Zahlungsverkehr ist kein Projekt, das man einmal jährlich nur für die offiziellen Bewertungen durchführt.

Kritiker des PCI Data Security Standard (DSS) bemängeln, dass die Regeln für den Zahlungsverkehr nicht mit den sich wandelnden Bedrohungen Schritt gehalten haben. Wie wir alle wissen, haben sich Phishing, Advanced Persistent Threats (APTs) und PoS-Malware im Einzelhandel als äußerst erfolgreiche Angriffsmethoden erwiesen. Der PCI-Report von Verizon, den ich in meinem letzten Blog-Eintrag schon erwähnt habe, enthält aufschlussreiche Hinweise auf mögliche Gründe: Die Bewertung von über 4.000 vorwiegend großen, internationalen Unternehmen zeigt, dass diese selbst bei den DSS-Minimalanforderungen bei derartigen Bedrohungen nicht besonders gut abschneiden.

2013 startete Latanya Sweeney, FTC-Chef-Technologin und eine führende Expertin auf dem Gebiet des Datenschutzes, zusammen mit ihrem Team ein Projekt, um zu dokumentieren, welche Wege Daten aus dem Gesundheitswesen nehmen. Wer sie kauft, verkauft oder weitergibt. Die beunruhigende Tatsache, die zu Tage getreten ist: Wer genau zu welchem Zeitpunkt Zugriff auf diese Daten hatte, war nicht nur unklar, sondern auch sehr schwierig nachzuvollziehen. Auf Basis der erhobenen Daten erstellte Sweeneys Team eine Visualisierung (Data Map) von Zugriffen und Verbindungswegen der Patientendaten. Eine gestrichelte Linie bedeutet, dass anonymisierte Daten weitergegeben wurden – hier wurden bspw. der Name, die Adresse oder die Sozialversicherungsnummer entfernt. Durchgezogene Linien bedeuten, dass diese Informationen nicht entfernt wurden. Nachdem diese Daten abschließend zugeordnet worden waren, nahm man sich als nächstes Thema der zentralen Nachforschungen die Entlassungsdaten der Patienten vor. Sweeney und ihr Team stellten dabei fest, dass Krankenhäuser per Gesetz dazu verpflichtet sind, Informationen zu Diagnosen, Behandlungen und Zahlungen von jedem Krankenhausbesuch weiterzuleiten. In einigen US-Staaten leiten Ärzte diese Informationen sogar nach jedem Arztbesuch weiter. Der Staat wiederum kann dann Variationen der Daten verkaufen. Die Weitergabe dieser Daten bietet einige wertvolle Informationen, durchaus zum Wohle der Gesellschaft. Staaten können solche Gesundheitsdaten analysieren, um rechtliche Vorgaben wie auch die gesamtgesellschaftliche Gesundheit zu verbessern, aber auch um Schwankungen und Trends bewerten. All das kann zu einer besseren Patientenversorgung beitragen. Als Sweeney und ihr Team das Ganze jedoch aus der Datenschutzperspektive betrachteten, fiel ein Punkt besonders ins Auge: Nur drei von den 33 Staaten, die Patientendaten weitergegeben haben oder verkauften, waren HIPAA-konform. Staaten werden, wenn es um solche Datenregelungen geht nicht als diesen Richtlinien unterliegende Einrichtungen hinzugezählt und fallen somit fallen sie nicht unter die Anonymisierungspflicht gemäß HIPAA. Datenströme in Unternehmen, die HIPAA nicht unterliegen. Das Experiment mit den Entlassungsdaten Ein interessanter und überraschender Datenpfad in der Karte belegt, dass Patientendaten an die zuständigen Ärzten geleitet worden sind und die von ihnen ausgestellten Entlassungspapiere dann möglicherweise bei Finanzinstitutionen landeten. Sweeney gibt dazu ein Beispiel: “Es gab einen Artikel im New England Journal of Medicine, der über einen Banker berichtete, der die Daten von Krebspatienten dazu benutzte, um herauszufinden ob Hypotheken oder Kredite bei ihrer Bank vorliegen. Je nachdem hat er dann die Kreditwürdigkeit der Betroffenen sozusagen justiert.“ Der beschriebene Datenpfad machte das Team skeptisch und die Forscher beschlossen, ein eigenes Experiment zu starten. So kauften sie im Juni 2013 Entlassungsdaten aus dem Jahr 2011 im Wert von 50 US-Dollar vom Staat Washington. Dabei fanden Sie heraus, dass diese Daten nahezu alle Krankenhausaufenthalte im Staat Washington für das betreffende Jahr enthielten. Inklusive sensibler Daten wie Postleitzahl, Alter, Diagnosen, Behandlungen, Krankenhausname und einer Zusammenfassung der angefallenen Kosten. Außerdem konnte Sweeney auch anonymisierte Patientendaten entschlüsseln: Dazu benutzte Sie beispielsweise lokale Zeitungsberichte oder öffentlich zugängliche Aufnahmen. Wie Sweeney dabei genau vorgegangen ist, können Sie in diesem Artikel nachlesen. Stimmten die Informationen aus den lokalen Medien mit öffentlich zugänglichen Aufzeichnungen überein, konnte die Datenschutzexpertin nicht nur den Namen des Patienten, sondern auch Informationen zum Wohnort und den Grund des Krankenhausaufenthaltes herausfinden. Mit diesen drei Informationsquellen – Entlassungsdaten, Zeitungsartikel und öffentlichen Aufzeichnungen – konnte Sweeney rund 43 Prozent der persönlichen Informationen mit Hilfe der staatlich vergebenen Informationen herausfiltern. Diese Informationen betrafen auch hochkarätige Personen des öffentlichen Lebens wie Politiker, Profisportler oder erfolgreiche Geschäftsleute. Nach Bekanntwerden der Forschungsergebnisse verabschiedete der Staat Washington ein Gesetz, um die Sicherheit der öffentlich zugänglichen Datenbanken zu verbessern. Sobald Daten von staatlichen Behörden weitergeleitet werden, fordert das neue Gesetz die jeweiligen Dritten auf, ein Datenschutzabkommen zu unterschreiben und die Re-Identifizierung der anonymisierten Daten zu unterlassen. Was wir daraus lernen Das Experiment belegt einige harte Fakten zu Entlassungsdaten: Anonymisierte, sensible Patientendaten können leicht re-identifiziert werden. Niemand weiß wirklich, wie viele Unternehmen schlussendlich Patientendaten erhalten. Patienten geben ihre Daten an Krankenhäuser, Staaten und andere Organisationen, haben aber keine Ahnung, welche dieser Daten an Dritte weitergeleitet werden. Und es wirft komplizierte Fragen mit komplizierten Antworten auf: Wie viel ist die Vertraulichkeit von Patientendaten wert? Wie kann ein Patient seine Daten kontrollieren, wenn diese für zahlreiche weitere Organisationen zugänglich sind beziehungsweise aktiv geteilt werden? Wie kann man den Zugriff auf Patientendaten so beschränken, dass nur diejenigen diese Daten bekommen, die sie auch wirklich benötigen? Wie ist Ihre Meinung? Kommentieren Sie hier. The post HIPAA-Schlupflöcher lassen Gesundheitsdaten wandern appeared first on Varonis Deutsch.

von Andy Green Uns allen ist die Gefahr bewusst, versehentlich unsere Sozialversicherungsnummer preiszugeben. Aber gibt es auch andere weniger personenbezogene oder gar anonyme Daten, die zusammengenommen wie eine Sozialversicherungsnummer funktionieren? Mit dem Reformpaket für europäische Vorschriften beschreitet die Europäische Union neue Wege im Verbraucherdatenschutz. Die Überlegungen der EU zur persönlichen Identität haben ihren Weg bis über den Teich und in die neu vorgeschlagenen US-Regelungen geschafft. Die ersten Vorschriften über Verbraucherdatenschutz und Datensicherheit der Europäischen Union wurden mit der Datenschutzrichtlinie von 1995, der EU 96/46EG für Sicherheitsexperten, eingeführt. EU-Richtlinien bieten einen Leitfaden für die Gesetzgebung der Mitgliedsstaaten, die dann ihre eigenen spezifischen Gesetze ausarbeiten können. Die EU-Datenschutzrichtlinie hatte einen großen Einfluss auf die Gestaltung des Vokabulars und, wenn auch weniger freiwillig, auf den Jargon der Diskussion zum Verbraucherschutz auf beiden Seiten des Atlantiks. In den USA war der Ausgangspunkt für die Diskussion zum Datenschutz der Sarbanes-Oxley-Act (SOX), der 2002 zum Gesetz wurde. Vergleicht man die beiden, könnte man sagen, dass die EU-Datenschutzrichtlinie eher auf den Schutz von Verbraucherinformationen, und dabei vor allem – im Gegensatz zum SOX – auf die Abdeckung von öffentlichen und privaten Unternehmen ausgerichtet war. Bis zum heutigen Tag gibt es in den USA kein eigenständiges und umfassendes Gesetz zum Verbraucherdatenschutz. Die ursprüngliche Richtlinie der EU ist von großer Bedeutung, da sie persönliche Daten als „Informationen über eine bestimmte oder bestimmbare natürliche Person“ definiert. Laut der EU-Richtlinie gehören zum Beispiel die Hausanschrift, der Name und die Telefonnummer zu persönlichen Daten; Größe, Augenfarbe und das Auto, das man fährt, jedoch nicht. Diese Auffassung zu persönlichen Daten als eine Art Schlüssel ist Teil der Definition, die von Datenschutzgesetzen außerhalb der EU verwendet wird – darunter auch in den USA. In Nordamerika wurde jedoch ein eigener Begriff für persönliche Daten eingeführt: personenbezogene identifizierbare Informationen oder PII. Nebenbei bemerkt haben die EU-Regulierungsbehörden bewusst einen weniger eindeutigen Begriff für persönliche Daten eingeführt, sodass neue Technologien darunter aufgenommen werden können. Seit 2012 zählen auch die E-Mail- sowie IP-Adresse und in einigen EU-Ländern sogar Fotos zu personenbezogenen identifizierbaren Informationen. Um die Entwicklung bis heute zusammenzufassen; Sicherheitsexperten stellten fest, dass es neben den persönlichen Daten auch andere Informationen gibt (sozusagen quasi persönliche Daten), die bei einer Offenlegung ebenfalls zurück zur entsprechenden Person führen würden. Die Datenmagie, die genutzt wird, um eine Identifizierung zu ermöglichen, ist ein Abgleich der anonymen Datenpunkte, wie Geburtstag (oder -jahr), Postleitzahl, Ethnizität und vielleicht sogar die Automarke anhand öffentlich verfügbarer Datenbanken. Es gibt zum Beispiel gut dokumentierte Fälle, in denen anonymisierte Entlassungsberichte aus einem Krankenhaus zur Identifizierung der Patienten genutzt wurden. Mit mehr als 1 Milliarde registrierter Benutzer bei Facebook lässt sich sicher sagen, dass das Web einen Überschuss an persönlichen Daten mit allen Detailstufen bietet. Große soziale Netzwerke haben Hackern – den neuen ominösen Mitspieler in diesem Sektor – eine unerschöpfliche Quelle an Daten zum Abgleich bereitgestellt (vgl. Matt Honan). Um besser verstehen zu können, wie eine Einzelperson nachträglich identifiziert werden kann, sollten wir uns eine Variante des zuvor erwähnten Falls ansehen. Während die Technik keine Garantie dafür ist, eine Person eindeutig identifizieren zu können (da dies von den jeweils verfügbaren Informationen abhängt), wird in vielen Fällen eine engere Liste von möglichen Zielpersonen erstellt. Gehen wir rein hypothetisch davon aus, dass eine europäische Hypothekenbank einen Gesundheitsbericht von einem großen öffentlichen Krankenhaus auswertet. Die Berichte zeigen, dass fünf Einzelpersonen in Behandlung für eine seltene Krankheit waren. Auch das Alter der Personen wurde veröffentlicht. In der Annahme, dass die Patienten in der Nähe des Krankenhauses leben, filtert der Hypothekengeber einfach seine Datenbank nach der Postleitzahl und dem Geburtsjahr. Die dadurch erhaltenen kleineren Datensätze ermöglichen das Durchsuchen von sozialen Netzwerken oder Online-Foren sowie ein Filtern der abgefragten Namen und Daten, während nach „Gute Besserung“-Nachrichten gesucht wird. Der Hypothekengeber findet einige Treffer und dank der zusätzlichen neuen Datenpunkte der sozialen Seite kann die Person identifiziert werden. Die gute Nachricht ist, dass EU-Länder schon lange erkannt haben, dass ihre Gesetze nicht mehr auf dem neuesten Stand sind. Der EU-Verwaltungsrat ist aktuell dabei, eine Reformierung der Richtlinie von 1995 zu bewirken, die die Verbreitung der öffentlichen Daten im Web und das Unkenntlichmachen von persönlichen und anonymen Daten berücksichtigt. Um mehr über den neuen Standpunkt der EU zu persönlichen Daten zu erfahren, werfen Sie einen Blick auf dieses Dokument. Und auch in den USA gibt es Gerüchte zur Änderung der Datenschutzbestimmungen im Sinne der EU-Reform. Ich werde in der Zukunft mehr über die Gesetze in den USA schreiben und was dies für die Datenschutzrichtlinien Ihres Unternehmens bedeutet. Fotocredit: http://en.wikipedia.org/wiki/File:Institutions_europeennes_IMG_4300.jpg The post Die neue Datenschutzumgebung: Europäische Union weist den Weg für personenbezogenen Datenschutz appeared first on Varonis Deutsch.

Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz „DS-GVO“ genannten Verordnung waren immer wieder neue Hürden aufgetaucht. Die finale Textfassung wurde dann im April endgültig vom EU-Parlament beschlossen.