Als britische Truppen im vergangenen Jahr gefährdete Afghanen aus Kabul evakuierten, befand sich das Verteidigungsministerium inmitten von drei erheblichen Datenschutzverletzungen. Das Problem waren nicht Hacker von einer fremden Macht oder Infiltration mit Malware oder sogar ein Denial-of-Service-Angriff, der die Server des Verteidigungsministeriums bombardierte. Es war etwas viel Einfacheres: menschliches Versagen.
Es stellte sich heraus, dass bei drei Gelegenheiten die Namen und E-Mail-Adressen von 268 Afghanen versehentlich in E-Mails preisgegeben wurden, die mit dem Feld „Kopie“ (cc) anstelle des Felds „Blindkopie“ (bcc) gesendet wurden. Gerieten die Namen in die falschen Hände, waren die Folgen potenziell lebensbedrohlich.
Obwohl die Einsätze bei diesem speziellen Leck ungewöhnlich hoch waren, sind ausgehende E-Mail-Lecks wie dieses weit verbreitet, und laut Steven Furnell, Professor für Cybersicherheit an der University of Nottingham, treten sie hauptsächlich aus zwei Gründen auf.
„Das eine ist Nachlässigkeit, Eile, etwas zu tun – das Falsche anhängen, an die falschen Leute schicken“, sagt er und beschreibt, wie er oft Empfänger von E-Mails ist, die irrtümlicherweise verschickt wurden, weil Leute „Steve“ in das Adressfeld getippt haben , und die E-Mail-Software hat automatisch seine E-Mail-Adresse anstelle der richtigen hinzugefügt.
Das andere Problem ist, dass es schwierig sein kann, eine Computerdatei von einer anderen zu unterscheiden. Eine Textdatei kann streng geheime Geschäftsinformationen oder den Speiseplan von morgen enthalten. Und eine Tabelle könnte Ihre Fantasy-Football-Ergebnisse oder die vierteljährlichen Finanzergebnisse sein. So ist es nicht verwunderlich, wie sorglos wir sein können, wenn wir eine Datei anhängen und auf „Senden“ klicken. Es kann für Menschen schwierig sein, „den Wert und die Bedeutung des Materials zu schätzen, das sie anhängen, und die potenzielle Diskrepanz zwischen diesem und dem, an den sie es senden“, sagt Furnell.
Andere aktuelle Probleme umfassen ein Leck Anfang dieses Jahres auf der Isle of Wight, als der Gemeinderat versehentlich Details von Familien, die zu Hause unterrichteten, per E-Mail verschickte, und der Regierungsdienstleister Serco, als er während der Pandemie Stellen für die Kontaktverfolgung einstellte und den Bewerbern versehentlich die Namen und Details von preisgab andere Personen, die sich beworben hatten.
„Der Löwenanteil der Datenlecks wird nicht von ausgeklügelten Hackern verursacht, sondern von ausgehenden Fehlern oder sicherlich Fehlern in der Kommunikation durch Mitarbeiter in Unternehmen“, sagt Robert Fleming, Chief Marketing Officer bei der E-Mail-Sicherheitsfirma Zivver.
Tatsächlich laut aktuellster Bericht zu Sicherheitstrends Laut Information Commissioner’s Office waren 75 % der gemeldeten Sicherheitsvorfälle auf so genannte „Nicht-Cyber“-Gründe zurückzuführen, wie etwa Fehler beim Versenden von E-Mails, einschließlich des Versendens personenbezogener Daten an die falschen Empfänger.
Es ist daher nicht verwunderlich, dass ausgehende Lecks etwas sind, über das sich IT-Experten Sorgen machen. Für seine Freedom-to-Focus-Berichtbefragte Zivver 6.000 IT-Führungskräfte weltweit und stellte fest, dass 43 % Datenverlust durch E-Mail-Fehler von Mitarbeitern als Hauptanliegen nannten, knapp hinter Malware (48 %) und Phishing (46 %).
„Unternehmen geben Millionen für sichere Gateways, Malware-Erkennung und sogar für die Abwehr von Ransomware-Bedrohungen aus. Warum also schützen nicht genug Unternehmen ihre Mitarbeiter auch vor Fehlern bei der ausgehenden Kommunikation?“ fragt Fleming.
Einige Unternehmen haben die Nachricht bereits erhalten, darunter die Arbeitsplatzverwaltungsfirma Best Companies, die sich hilfesuchend an Zivver gewandt hat.
„Wir arbeiten mit Regierungen zusammen, wir arbeiten mit Rüstungsunternehmen, wir arbeiten mit Strafverfolgungsbehörden zusammen, und in einigen Fällen kann es um Leben und Tod gehen, wenn die von uns gespeicherten Daten an die Öffentlichkeit gelangen“, sagt CEO Jonathan Austin. „Wir wollten herausfinden, wie wir unsere Kollegen entlasten und uns schützen können.“
Was können Unternehmen und Organisationen also tun, um sich vor Datenlecks zu schützen? Eine offensichtliche Abhilfemaßnahme besteht darin, den Mitarbeitern eine bessere Schulung anzubieten, aber da die Umfrage von Zivver ergab, dass 64 % der Mitarbeiter ihre Sicherheitsschulung vollständig missachten, ist dies nicht absolut narrensicher.
„Drei Viertel der IT-Führungskräfte gaben in dieser Umfrage an, dass sie glauben, dass Datensicherheitsschulungen allein E-Mail-Sicherheitsfehler reduzieren würden“, sagt Fleming von Zivver. „Aber dann gab ein Drittel der befragten Mitarbeiter an, keine Sicherheitsschulung erhalten zu haben. Und ein weiteres Drittel, das die Schulung tatsächlich erhalten hatte, gab an, das Erlernte nicht wirklich angewendet zu haben.“
Eine technologischere Lösung ist nicht zuletzt deshalb erforderlich, weil die Mitarbeiter selbst Risiken eingehen können, wenn ein Unternehmen keine genehmigte Lösung für ein Dateiübertragungsproblem hat.
„Sie haben Plattformen, auf denen Menschen persönliche Konten einrichten und Unternehmensinformationen eingeben können, ohne die Datenschutzgesetze oder -regeln zu berücksichtigen, die neben dem Dienst gelten, je nachdem, wo sich die Daten befinden könnten“, sagt Furnell . „Sie haben also möglicherweise ein zunehmend undichtes Sieb, je nachdem, welche Dienste die Organisation offiziell nutzt und welche Schattendienste Mitarbeiter möglicherweise identifiziert haben, um die Arbeit für sich selbst zu erledigen.“
Was benötigt wird, ist eine Plattform, die es den Mitarbeitern ermöglicht, sicher zu arbeiten.
„Menschen machen Fehler“, sagt Fleming, „daher ist es wichtig, dass Arbeitgeber geeignete Maßnahmen ergreifen, um die Mitarbeiter in die Lage zu versetzen, sicher zu arbeiten, damit die ganze Verantwortung nicht beim Arbeitnehmer liegt. Es reicht nicht aus, zu sagen: „Nehmen Sie an diesem extrem langweiligen Sicherheitsbewusstseinstraining teil.“
Und hier kommt eine Lösung wie Zivver ins Spiel. Seine Plattform interagiert mit jedem Schritt des E-Mail- und Dateiübertragungsprozesses, um die Datensicherheit zu gewährleisten.
„Wenn ich versuche, jemandem, den ich noch nie zuvor getroffen habe, eine E-Mail zu senden und die Gewinn- und Verlustrechnung unseres Unternehmens anzuhängen, greift intelligente Technologie auf der Grundlage von Geschäftsregeln und maschinellem Lernen ein und fragt mich, ob ich das darf Ja wirklich solche vertraulichen Informationen an einen neuen Kontakt senden möchten“, erklärt Fleming.
Sobald eine E-Mail gesendet wurde, liefert die sichere Transportschicht von Zivver sie unter Verwendung von asymmetrischer Verschlüsselung und Zero-Access-Technologie sicher an den Empfänger, was bedeutet, dass nicht einmal Zivver den Inhalt einer E-Mail oder ihrer Anhänge lesen kann. Und wenn sie ankommt, bestätigt Zivver, dass der Empfänger die E-Mail erhalten und darauf zugegriffen hat.
Es ist diese Art von nahtloser intelligenter Technologie, von der Fleming glaubt, dass sie ausgehenden Datenlecks einen Bissen entziehen kann. „Es muss mühelos sein, es muss einfach zu bedienen sein“, sagt Fleming. „Denn wenn es super kompliziert ist, sicher zu sein, verlangt man zu viel von seinen Mitarbeitern. Im Grunde werden sie es einfach nicht tun.“
Und das ist letztendlich der Grund, warum sich Austin von Best Companies an Zivver wandte – um die ausgehende Sicherheit auf eine Weise zu schützen, die seinem Team das Leben nicht schwerer macht. „Aus Sicht der Datenkommunikation und beim Teilen sensibler Informationen erfüllt Zivver alle Kriterien“, sagt er. „Die Menschen lieben den Seelenfrieden, den es ihnen gibt.“
Fleming fügt hinzu: „Ihre Mitarbeiter sind Ihr größtes Kapital, also müssen Sie sie befähigen, ihre tägliche Arbeit so effektiv und produktiv wie möglich zu erledigen. Und dazu muss man ihnen helfen, bei ihrer täglichen Arbeit sicher zu sein.“
Sichern Sie jetzt Ihre digitale Kommunikation. Um herauszufinden, wie Zivver helfen kann, klicken Sie hier hier