So mindern Sie Datenschutzrisiken bei Tabellenkalkulationen
Inhaltsverzeichnis:
Eine Reihe aufsehenerregender Datenlecks im Vereinigten Königreich haben die Sicherheits- und Datenschutzrisiken bei der Verwendung von Tabellenkalkulationen deutlich gemacht. Die Vorfälle waren so schwerwiegend, dass die Datenschutzbehörde, das Information Commissioner's Office (ICO), gezwungen war, einzugreifen. Dennoch bieten sie auch Lernmöglichkeiten für Unternehmen. Vom ICO empfohlene und in Standards wie ISO 27001 kodifizierte Best Practices können einen großen Beitrag zur Minderung dieser Risiken leisten.
Was ist passiert?
Im vergangenen Dezember wurde ein in Cambridge ansässiger NHS-Trust gegründet bestätigt dass es zu zwei Datenverstößen kam, als das Unternehmen auf Informationsfreiheitsanfragen (FoI) mit der Offenlegung von Patientendaten in Excel-Tabellen reagierte.
In ähnlicher Weise wurden in einer großen Tabelle die persönlichen Daten von Beamten und Mitarbeitern des Ministeriums offengelegt Polizeidienst von Nordirland (PSNI). Die online zugängliche Tabelle enthielt vertrauliche Informationen wie Namen, Rang und Standort der Beamten, was ihre Sicherheit ernsthaft gefährdete.
Wie Pivot-Tabellen schuld waren
Pivot-Tabellen werden beschrieben von Microsoft als eine der leistungsstärksten Funktionen von Excel, mit der Benutzer „Vergleiche, Muster und Trends“ in Daten sehen können. Laut Maria Opre, Cybersicherheitsexpertin und leitende Analystin bei EarthWeb, können sie jedoch auch ein Sicherheitsrisiko darstellen.
Erstens ermöglichen sie Benutzern die Aggregation großer Datensätze. Auch wenn das harmlos erscheint, erklärt Opre gegenüber ISMS.online, dass das Zusammenfassen und Kombinieren großer Mengen an Informationen es einfacher macht, vertrauliche Details weiterzugeben und anzuzeigen. Ein weiterer Grund zur Sorge besteht darin, dass Pivot-Tabellen häufig mit anderen Datenbanken und Informationsquellen verknüpft sind.
„Dies birgt Risiken, wenn nicht die richtigen Sicherheitsmaßnahmen ergriffen werden, da private Daten preisgegeben werden könnten“, fügt sie hinzu
Pivot-Tabellen können auch die Sichtbarkeit vertraulicher Informationen erhöhen und möglicherweise zu Datenschutzverletzungen führen. Sie erklärt: „In Pivot-Tabellen werden möglicherweise versehentlich mehr Daten als beabsichtigt angezeigt, insbesondere bei komplexen Datensätzen. Dies kann zur versehentlichen Offenlegung vertraulicher Informationen führen.“
Matt Aldridge, leitender Lösungsberater bei OpenText Cybersecurity, stimmt zu, dass Pivot-Tabellen problematisch sind, und argumentiert, dass sie von Natur aus komplex seien und die Daten für Benutzer nicht immer klar darlegen. Folglich können sie möglicherweise nur eine kleine Teilmenge der Daten sehen, obwohl in der Tabelle tatsächlich mehr Daten gespeichert sind.
„Microsoft Office-Dateien werden tatsächlich im ZIP-komprimierten Format gespeichert, enthalten viele Dateien und enthalten häufig Informationen zum Rückgängigmachen, die den Verlauf aller Änderungen am Dokument während seines Lebenszyklus anzeigen – dies kann auch zu schwerwiegenden Datenverlusten führen“, sagt er gegenüber ISMS.online.
Jake Moore, globaler Cybersicherheitsberater bei ESET, erklärt gegenüber ISMS.online, dass FoI-Anfragen „in ihren Anforderungen oft mühsam sind und daher Fehler passieren“.
Der Rat des ICO
Nach den oben hervorgehobenen Vorfällen hat das ICO veröffentlichte Anleitung darüber, wie öffentliche Behörden (PAs) im Vereinigten Königreich ähnliche Vorfälle in Zukunft vermeiden können. Darin wird gewarnt, dass Tabellenkalkulationen „praktische Herausforderungen und Risiken der unbeabsichtigten Offenlegung personenbezogener Daten mit sich bringen, die bei einem flüchtigen Blick auf die Tabellenkalkulation möglicherweise nicht erkennbar sind.“
Angesichts dieser Herausforderungen hat das ICO acht wichtige Empfehlungen formuliert, die öffentliche Behörden bei der Verwendung von Tabellenkalkulationen befolgen sollten. Die erste umfasst die Einführung eines Moratoriums für Benutzer, die bei der Beantwortung von FoI-Anfragen Original-Quelltabellen auf Online-Plattformen hochladen möchten.
Das ICO empfiehlt außerdem die Verwendung offener, wiederverwendbarer Textformate wie Comma-Separated Value (CSV)-Dateien. Behörden sollten davon Abstand nehmen, Tabellenkalkulationen mit einer großen Anzahl von Zeilen zu verwenden – insbesondere, wenn es sich um Hunderte oder Tausende handelt – und Datenverwaltungssysteme verwenden, um vertrauliche Informationen zu schützen, heißt es weiter.
Für Mitarbeiter, die Datensoftware verwenden und vertrauliche Informationen offenlegen, müssen die Behörden eine ausreichende Schulung anbieten – möglicherweise informiert durch entsprechende Anleitung herausgegeben von ICO.
Die öffentlichen Behörden müssen jedoch weiterhin den FOIA-Verpflichtungen nachkommen, wobei das ICO warnt, dass sein Rat „keinen zusätzlichen Grund darstellt, keine Informationen als PA zu veröffentlichen“. Das ICO empfiehlt außerdem, sicherzustellen, dass Tabellenkalkulationen nicht unerwartet Daten offenlegen, wenn die Originalversion beibehalten werden muss, um Makros und Gleichungen beizubehalten.
Schließlich fordert das ICO öffentliche Stellen dringend auf, sensible Daten im „am besten geeigneten und sichersten Format“ weiterzugeben, was die Übertragung von Informationen von einem Dateiformat in ein anderes beinhalten kann. Die britische Regierung stellt ebenfalls bereit Beratung zur Erstellung und Offenlegung von Tabellenkalkulationen.
Befolgen Sie die Best Practices der Branche
Cybersicherheitsexperten empfehlen zusätzlich zur Befolgung der Leitlinien des ICO eine Reihe von Best Practices.
Aldridge von OpenText empfiehlt den Einsatz einer Datensicherheitsplattform – neben Richtlinien, Mitarbeiterschulungen und einer Cyber-Resilienzstrategie –, um Datenlecks einzudämmen. Er sagt, dass diese Schritte es PAs ermöglichen werden, in einer sich schnell entwickelnden Cybersicherheitsbedrohungslandschaft „sicher zu agieren“.
Ilia Sotnikov, Sicherheitsstratege und Vizepräsident für Benutzererfahrung bei Netwrix, sagt, dass Unternehmen menschliche Fehler bei der Offenlegung vertraulicher Informationen reduzieren können, indem sie einen strengen Überprüfungsprozess durchsetzen.
„Die Person, die den angeforderten Inhalt erstellt, sollte nicht in der Lage sein, ihn ohne Genehmigung an den Antragsteller zu senden“, sagt er gegenüber ISMS.online. „So wie sich ein Flugzeugpilot nicht für einen Start entscheiden kann, sollte ein Arbeitsablauf aus Kontrollen und Gegenkontrollen vorhanden sein, um sicherzustellen, dass diese Daten ‚sicher zum Fliegen‘ sind.“
Moore von ESET fügt hinzu, dass PAs die versehentliche Offenlegung von Informationen verhindern können, indem sie sensible Daten verschlüsseln und sicherstellen, dass nur autorisierte Mitarbeiter sie anzeigen können.
„Diese Maßnahmen tragen insgesamt zum Schutz sensibler Informationen bei“, argumentiert er.
Durch die Befolgung von Industriestandards wie z ISO 27001, Laut Moore können Unternehmen das Risiko von Datenschutzverletzungen durch menschliches Versagen verringern. Er erklärt, dass ISO 27001 eine Reihe von Datenschutzverfahren und -richtlinien als Teil eines umfassenden Informationssicherheitsrahmens festlegt, warnt jedoch, dass es „nicht narrensicher gegen alle Arten von Fehlern oder Verstößen“ sei.
Opre von EarthWeb unterstützt auch Branchenrahmenwerke wie ISO 27001, da sie es Unternehmen ermöglichen, vertrauliche Informationen robust zu verwalten und Datenschutzverletzungen aufgrund schlechter Datenschutzpraktiken zu vermeiden. Sie empfiehlt außerdem, die Datenprozesse regelmäßig zu überprüfen, um versteckte Schwachstellen zu identifizieren und sicherzustellen, dass jeder innerhalb der Organisation die Sicherheitsregeln befolgt.
Tabellenkalkulationen sind eine schnelle und einfache Möglichkeit, wichtige Informationen auszutauschen, aber wie die jüngsten Datenschutzverletzungen im Vereinigten Königreich gezeigt haben, haben sie einige entscheidende Nachteile beim Datenschutz. Klar ist, dass Unternehmen durch die Befolgung der ICO-Richtlinien, Best Practices der Branche und Standards wie ISO 27001 Tabellenkalkulationen und andere Datenaustauschmethoden auf sichere Weise nutzen können.
