Sei compliant verschicke niemals Daten per Email!

Es ist sehr interessant, wie heute noch mit Daten gearbeitet wird. Es werden E-Mails mit bis zu 150MB verschickt und dies mit immer sensibleren Daten. Ich möchte mit diesem Beitrag unterstützen, dass dies nicht mehr passiert, denn es ist ein Sicherheitsrisiko.

Problem und Risiken

Wenn Daten per E-Mail verschickt werden, dann sind diese zunächste einmal nicht mehr im Herrschaftsbereich des Versenders. Eine Kopie wird in den E-Mail Server geladen und von dort aus über mehrfache Kopie (zeitweilig) an den Email Server des Empfängers und dann auf den E-Mail Client des Empfängers. In dieser Kette können Personen E-Mails abfangen, wenn diese, wie heute noch leider üblich, nicht verschlüsselt sind. Ein Mitlesen der Email samt Anhang ist ein Kinderspiel und es gibt genug Youtube Videos, die es auch weniger begabten Personen erlauben E-Mails abzufangen. Weitere Risiken zeichnen sich auf  der Empfängerseite ab, ist der Rechner und das Smartphone verschlüsselt oder wer hat Zugang zu den E-Mails? Diese sind nur ein paar erste Fragen, die sich bei meiner Liste alle möglichen Risikoszenarien auf aktuell 468 ansammelten. 

Dannach war mir klar: Eine Email unverschlüsselt zu versenden ist ein No-Go. Einen Anhang einer E-Mail zu verschicken ist ein weiteres No-Go. 

 

Alternativen

Die Alternativen zum Verschicken von E-Mails mit Anhängen ist recht eindeutig. Es werden nur Emails mit Freigabelinks versendet oder überhaupt keine E-Mails mehr. 

 

“Teilen Link”

Mitlerweile kann jeder, der einen OneDrive oder OneDrive for Business Account hat, sowie den OneDrive Client auf dem SmarPhone und dem Rechner installiert hat, einen “Teilen-Link” erstellen. Dieser wird auf eine oder mehrere bestimmte Personen begrenzt, zeitlich begrenzt, man kann den Download blocken und auch das Weiterleiten des Links verhindern. Ein automatischer Zeitablauf des “Teilen-Links” verhindert, dass man das beenden vergisst. Ein Tipp hier ist es so wenige Tage wie möglich einzustellen und lieber nochmal zu teilen, als dies unkontrolliert lange den Link offen zu lassen. Gerade die Verhinderung des Downloads und die reine Bearbeitung online, die in 95% der Fälle genügt, verhindert den Abfluss des ganzen Dokumentes. Verhindern kann man diesen natürlich nicht zu 100%, aber erheblich erschweren. 

Beispiel: 

Nach dem Teilen kann ich den Link nachverfolgen und bekomme auch eine Information, ob der Link geklickt wurde oder nicht. In der Datei sehe ich in Echttzeit, ob mein Partner die Datei bearbeitet und wer wann und wo Zugriff hatte. Genau dies bedeutet natürlich auch eine Verarbeitung personenbezogender Daten der anderen Person, aber dies gehört in einen anderen Blogpost.

 

Teams, Yammer oder Slack – Umgebung

Es gibt aktuell abgeschottete Umgebungen, die es ermöglichen ohne größere Probleme Externe einzuladen und so gemeinsam an Dokumenten zu arbeiten. Die Hoheit über das Dokument und auch dessen Wiederherstellung liegt bei dem Besitzer des Teams. In diesem Umgebungen ist es möglich, dass ihr mit euren Partnern (Externen) zusammenarbeiten könnt ohne, dass Daten verloren gehen können. Es ist möglich mittels Werkzeugen wie Data Loss Prevention (DLP) oder auch der Einschränkung der Rechte, dass Dritte Daten “entführen können”. Es kann bei diesen Umgebungen auf die ganze Palette von Werkzeugen zurück gegriffen werden, die den Datenabfluss zwar nicht zu 100% verhindern können (kein Foto des Bildschirms mit dem eigenen Smartphone), aber jedenfalls mehr Schutz möglich ist, als eine E-Mail zu verschicken.

 

“Seit compliant verschicke niemals (wichtige und sensible) Daten per Email!”