Identifizierung und Schutz von PII (Persönlich identifizierbare Informationen)

Wer möchte schon, dass seine persönlichen Informationen und sensiblen Daten kompromittiert und von jemandem für betrügerische Aktivitäten verwendet werden? Aber die traurige Realität ist, dass dies inzwischen gängige Praxis ist.

Kürzlich wurde bekannt, dass fast 50 % der Datenschutzverletzungen zwischen 2021 und 2023 personenbezogene Daten von Kunden betrafen, und 40 % dieser Daten stammten von Mitarbeitern. Diese Daten wurden aufgezeichnet während a Umfrage im Oktober 2023.

Persönliche Daten sind nicht sehr kompliziert, aber es ist dennoch wichtig zu verstehen, was sie sind und wie wichtig es ist, sie zu schützen. Dieser Leitfaden enthält alle Antworten, die Ihnen helfen, Ihre personenbezogenen Daten und sich selbst zu schützen. 

Was sind PII (Persönlich identifizierbare Informationen)?

PII oder persönlich identifizierbare Informationen sind Informationen, die einen wesentlichen Teil Ihrer Identität ausmachen und direkt auf Sie hinweisen können. 

Stellen Sie sich die Daten wie einen Geheimcode vor, der für sich allein oder in Verbindung mit anderen Informationen Ihre Identität offenbaren kann. Es geht also nicht nur um Ihren Namen und Ihre Adresse, sondern um die Puzzleteile, die zusammengesetzt ein vollständiges Bild von Ihnen ergeben. 

Nehmen wir zum Beispiel an, Ihr Name ist John. Es gibt viele andere Menschen auf der Welt, die denselben Namen tragen, weshalb er nicht als personenbezogene Daten betrachtet werden kann. Aber was ist, wenn Ihr Name John Doe ist und Sie in Manhattan leben und eine Sozialversicherungsnummer AXY123 haben? Jetzt wird sie zu einer PII und kann Sie eindeutig von anderen Johns unterscheiden, die in anderen Gegenden leben.

PII können in nicht sensible und sensible unterteilt werden. Wir werden sie als nächstes behandeln.

Nicht-sensible und sensible PII-Informationen

Das US-Verteidigungsministerium bietet eine Liste von Beispielen in Bezug auf PII. Von Sozialversicherungsnummern bis hin zu persönlichen Adressen können all diese Daten unter personenbezogene Daten fallen.

Werfen wir einen Blick auf die beiden unterschiedlichen Kategorien von personenbezogenen Daten: 

Sensible PII

Sensible personenbezogene Daten sind Informationen, mit denen eine Person sehr leicht identifiziert werden kann. Diese Art von PII kann für die Person, zu der sie gehören, schädlich sein, wenn sie von einem Cyberkriminellen abgerufen wird. 

Beispiele für sensible personenbezogene Daten

• Sozialversicherungsnummer (SSN)
• Führerschein
• Postanschrift
• Informationen zur Kreditkarte
• Informationen zum Reisepass
• Finanzielle Informationen
• Medizinische Unterlagen

Nicht-sensible PII

Alle Informationen, wie z. B. ein Mädchenname, die eine Person identifizieren können, aber nicht dazu verwendet werden können, ihr zu schaden, werden als nicht sensible PII definiert. 

Beispiele für nicht sensible personenbezogene Daten

• Vorname
• Postleitzahl
• Rennen
• Geschlecht
• Datum der Geburt
• Ort der Geburt
• Religion

Wenn Sie oder ein anderes Unternehmen personenbezogene Daten erheben wollen, müssen sie Online-Formulare, Umfragen und soziale Medien verwenden, vorzugsweise in Verbindung mit einer Vertraulichkeitsvereinbarung. Stellen Sie sicher, dass Sie, wenn Sie jemandem Ihre PII zur Verfügung stellen, überprüfen, ob ein angemessener Plan für die Verwendung, die Speicherung und den Schutz der Informationen vorhanden ist.

Warum sind personenbezogene Daten wichtig?

PII sind wichtig, weil sie Ihre Daten schützen. Alle Unternehmen oder Organisationen, die über Ihre PII verfügen, sind gesetzlich verpflichtet, diese unter allen Umständen zu schützen. Sie bieten eine Garantie für die Sicherheit Ihrer persönlichen Daten.

Unternehmen können Ihre Daten für verschiedene Zwecke verwenden, z. B.:

• Gezielte Werbung
• Betrugsprävention
• Strafverfolgung
• Kreditwürdigkeitsprüfung
• Überprüfung der Beschäftigung

Wie können personenbezogene Daten gestohlen werden?

Angriffe wie Social Engineering unter Verwendung eines gefälschten Domänennamens oder einer gefälschten E-Mail können Menschen dazu bringen, personenbezogene Daten preiszugeben. Es ist auch möglich, dass private Informationen durch ein gehacktes E-Mail-Konto, Datenschutzverletzungen usw. nach außen dringen.

Im Folgenden sind einige gängige Methoden aufgeführt, mit denen personenbezogene Daten gestohlen werden können: 

1. Phishing-E-Mails: Gefälschte E-Mails, die Opfer dazu verleiten, ihre persönlichen Daten preiszugeben
2. Datenschutzverletzungen: Angreifer nutzen Systemschwachstellen aus, um in sensible Datenbanken einzudringen
3. Mülltonnen-Tauchen: Wiederherstellung gelöschter Dokumente aus dem Papierkorb, die personenbezogene Daten enthalten
4. Sozialtechnik: Manipulation ahnungsloser Opfer zur Weitergabe persönlicher Informationen
5. Malware: Bösartige Software, die Dateien mit personenbezogenen Daten auf Ihrem Computer infiltriert
6. Insider-Bedrohungen: Ihre eigenen Mitarbeiter geben PII in böser Absicht oder gegen Geld weiter
7. Cyber-LauschangriffAbhören von Online-Kommunikation, um personenbezogene Daten zu stehlen
8. Gehackte E-Mail-Konten: Zugang zu E-Mail-Konten, um Chats mit personenbezogenen Daten zu lesen
9. Man-in-the-middle-Angriffe: Angreifer fangen Online-Kommunikation ab, um personenbezogene Daten zu stehlen
10. Brute-force-Angriffe: Unerlaubter Zugriff auf Konten durch Brute-Force-Angriffe wie ständige Wiederholungen und anschließendes Stehlen von personenbezogenen Daten

Methoden zum Schutz von PII

Verschiedene Länder haben mehrere Datenschutzgesetze erlassen, um Richtlinien für Unternehmen zu schaffen, die personenbezogene Daten von Kunden erfassen, speichern und weitergeben. Schauen wir uns an, wie Sie Ihre PII schützen können.

• Verwenden Sie bei Bedarf sichere Passwörter.
• Seien Sie vorsichtig mit den Angaben, die Sie online machen.
• Überprüfen Sie Ihre Kreditberichte regelmäßig auf Anzeichen von Betrug.

Wenn Sie Unternehmer sind, sollten Sie die unten genannten Schritte in Betracht ziehen:

• Erfassen Sie nur die personenbezogenen Daten, die zur Erbringung einer bestimmten Dienstleistung erforderlich sind.
• Die in Unternehmen verwendete Verschlüsselung sollte robust sein, um die personenbezogenen Daten der Mitarbeiter und Kunden vor unbefugtem Zugriff zu schützen.
• Der Zugriff auf personenbezogene Daten sollte auf diejenigen Mitarbeiter beschränkt werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
• Es sollte eine Schulungsveranstaltung durchgeführt werden, in der die Mitarbeiter über den Schutz von personenbezogenen Daten unterrichtet werden.
• Achten Sie immer genau auf plötzlich auftretende Sicherheitsverletzungen.
• Es sollte ein Plan für die Reaktion auf Datenschutzverletzungen vorhanden sein, damit schnell auf eine Datenschutzverletzung reagiert und der Schaden minimiert werden kann.

Auch das US-Ministerium für Heimatschutz hat ein aufschlussreiches Dokument veröffentlicht Dokument in dem beschrieben wird, wie Sie Ihre PII sicher schützen und weitergeben können.

Die Bedeutung des Schutzes von PII vor Datenverletzungen

Eine Datenschutzverletzung liegt vor, wenn jemand ohne Genehmigung des Unternehmens auf Computersysteme zugreift und dabei möglicherweise sensible Informationen erlangt. 

Bei unseren Recherchen sind wir auf eine Studie gestoßen, die zeigt, dass über 6 Millionen Datensätze weltweit missbraucht wurden im Jahr 2023. Dies ist einer der beunruhigendsten Faktoren für Unternehmensleiter.

Diese Datenschutzverletzungen können aus verschiedenen Gründen auftreten, z. B:

• Malware
• Hacken
• Menschliche Fehler

Unternehmen können sich an die unten genannten Praktiken halten, um ihre Daten vor Verstößen zu schützen:

• Umsetzung geeigneter Sicherheitsmaßnahmen.
• Aufklärung der Mitarbeiter über die besten Praktiken im Bereich der Cybersicherheit Welt.
• Erstellen Sie einen Reaktions- und Abhilfeplan für den Fall, dass es plötzlich zu Datenverletzungen kommt.

PII-Gesetze und -Verordnungen

Für personenbezogene Daten gibt es zahlreiche Gesetze und Vorschriften. Diese gewährleisten, dass die Privatsphäre des Einzelnen geschützt ist und er sich keine Sorgen über Bedrohungen wie Nachahmung machen muss. Einige dieser Bundesgesetze sind:

1. Datenschutzgesetz von 1974

Das Datenschutzgesetz von 1974 legt die Regeln für Bundesbeamte fest, wenn es darum geht, personenbezogene Daten zu sammeln, zu verwenden und weiterzugeben. Nach diesem Gesetz sind die Bundesbehörden verpflichtet, den Bürgern mitzuteilen, ob sie ihre personenbezogenen Daten offenlegen können, und es drohen Strafen, wenn sie dies nicht tun. Allerdings gibt es bestimmte Sonderfälle und Ausnahmen.

2. Health Insurance Portability and Accountability Act

Und dann ist da noch HIPAA, der Health Insurance Portability and Accountability Actder Superheld für Gesundheitsdaten. Es schreibt vor, dass Gesundheitseinrichtungen und -anbieter die Daten ihrer Patienten unter Verschluss halten und deren Gesundheitsdaten nicht ohne Zustimmung weitergeben dürfen.

3. Gesetz über die Informationsfreiheit

Und vergessen Sie nicht das FOIA, das Gesetz über die Informationsfreiheit. Es ist die goldene Eintrittskarte für Leute, die in Regierungsakten graben wollen. Es sagt den Bundesbehörden: "Zeigt eure Karten, es sei denn, es ist super geheimnisvoll. Im Grunde ist es also der Backstage-Pass für die Öffentlichkeit zu Regierungsinformationen! Der FOIA dient jedoch auch dem Schutz personenbezogener Daten, indem er die Strafverfolgungsbehörden auffordert, Informationen zurückzuhalten, die persönlich identifizierbar oder schädlich sein können.

4. Allgemeine Datenschutzverordnung (GDPR) 

Im Jahr 1995 gab es eine Datenschutzrichtlinie, aber später, GDPR übernommen, um personenbezogene Daten zu schützen. Jetzt muss jedes Unternehmen, das mit den personenbezogenen Daten von EU-Bürgern zu tun hat, unabhängig davon, ob es in der EU oder anderswo (ja, sogar in den USA!) ansässig ist, dieselben Regeln befolgen.

Die Nichteinhaltung kann zu saftigen Geldstrafen führen - 4 % Ihres weltweiten Jahresumsatzes oder 20 Mio. EUR, je nachdem, was schmerzhafter ist -, wenn Sie gegen bestimmte Vorschriften verstoßen. Außerdem haben Einzelpersonen das Recht, sich zu beschweren, wenn sie der Meinung sind, dass ihre Rechte aus der DSGVO verletzt wurden. 

Denken Sie daran, dass die GDPR der globale Sheriff für den Datenschutz ist, der dafür sorgt, dass Unternehmen nicht leichtfertig mit den persönlichen Daten der Menschen umgehen. Sie ist die Hüterin Ihrer Daten und hält die digitale Welt in Schach.

Wie können Unternehmen die Daten ihrer Kunden schützen?

Unternehmen, die ihre Sicherheitsvorkehrungen verbessern möchten, sollten diese praktischen Tipps beachten:

• Implementieren Sie die Netzwerksegmentierung: Stellen Sie sich das so vor, als würden Sie Mauern innerhalb Ihres digitalen Reiches errichten. Wenn ein Bereich durchbrochen wird, bleiben die anderen stark. Es ist, als hätte man geheime Fächer in seinem Datentresor.
• Durchsetzung von Sicherheitsrichtlinien und -verfahren: Legen Sie die Regeln fest und sorgen Sie dafür, dass sich alle daran halten. Das ist wie ein Sicherheitshandbuch - jeder weiß, was erlaubt ist und was nicht.
• Sichern Sie regelmäßig Ihre Daten: Stellen Sie sich Ihre Daten wie einen Schatz und Backups wie ein Geheimversteck vor. Wenn die Piraten kommen (auch bekannt als Datenpiraten), können Sie immer noch auf Ihren Geheimvorrat zurückgreifen. 
• Erstellen Sie einen umfassenden Reaktionsplan für Datenverletzungen: Planen Sie jeden Schritt - von der Erkennung von Problemen bis zu deren Behebung. 

Auswirkungen des Identitätsdiebstahls und des Missbrauchs von personenbezogenen Daten

Identitätsdiebstahl ist kein Scherz - er kann ernsthafte finanzielle Probleme verursachen. Stellen Sie sich vor, jemand gibt sich für Sie aus und geht auf Einkaufstour oder nimmt ungefragt einen Kredit in Ihrem Namen auf - oder schlimmer noch, er führt illegale Aktivitäten durch! 

Identitätsdiebstahl und gestohlene personenbezogene Daten können dazu führen: 

1. Schwere finanzielle Schäden 
2. Emotionale Belastung und Angstzustände 
3. Juristischer Aufruhr bei Straftaten, die in Ihrem Namen begangen wurden
4. Verlust von Glaubwürdigkeit und Ansehen in der Branche 
5. Verlust des Kundenvertrauens

Letzte Worte

Ein beliebter Vektor zum Abrufen von PII sind Phishing-E-Mails, die sich als Ihr Domänenname ausgeben oder diesen fälschen. Wir empfehlen die Einrichtung eines DMARC für Ihre E-Mails und Domains einzurichten, um davor geschützt zu sein. Und es gibt keinen besseren Weg, Ihre Implementierung sicher zu konfigurieren und zu überwachen als PowerDMARC! Wir sind ein Team von Domain-Sicherheitsexperten, die sich darauf spezialisiert haben, Ihnen zu helfen, E-Mail-Betrug durch Authentifizierung zu minimieren. Kontaktieren Sie uns noch heute für eine kostenlose DMARC-Testversion!

Denken Sie daran, so wenig persönliche Informationen wie möglich im Internet preiszugeben! Bleiben Sie sicher und wachsam im Internet.

• Über
• Neueste Beiträge

Ahona Rudra

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Kann Blockchain helfen, die E-Mail-Sicherheit zu verbessern? - 9. Mai 2024
• Rechenzentrum-Proxies: Enthüllung des Arbeitspferdes der Proxy-Welt - 7. Mai 2024
• Kimsuky nutzt DMARC "Keine"-Richtlinien für aktuelle Phishing-Angriffe aus - 6. Mai 2024