Kommt Ihnen das bekannt vor?
Sie erhalten eine E-Mail von einem Dienstleister mit vertraulichen Informationen wie z.B. einem Vertrag, Patientendaten, Röntgenbildern oder sonstigen Inhalten, die nach der DS-GVO als besonders schützenswert eingestuft sind. Zur „Verbesserung“ der IT-Sicherheit wird der Anhang mit einem Passwort verschlüsselt und das Passwort direkt in derselben E-Mail im Klartext angegeben. Super!
Dann ist doch die andere, sehr verbreitete Methode viel besser, oder? In der ersten E-Mail mit dem verschlüsselten Anhang wird angekündigt, dass gleich eine zweite E-Mail folgt, die das Passwort für den verschlüsselten Anhang in E-Mail Nr. 1 enthält.
Toll! Das ist an Dummheit nur noch durch Variante 1 zu überbieten.
Wenn ein Angreifer Zugriff auf den E-Mail-Verkehr hat, dann hat er ihn i.d.R. auf die kompletten Inhalte. Liest er E-Mail 1 mit, dann liest er auch E-Mail 2 mit. Dank KI und üblicher Hacker-Tools wird dann automatisiert nach Schlüsselwörtern wie „Passwort“, „Password“, „Kennwort“ usw. gesucht und alle potenziell interessanten Fundstellen werden herausgefiltert.
Wer also vertrauliche und besonders schützenswerte Daten auf diese Weise verschickt, begeht einen eklatanten Datenschutzverstoß, der empfindliche Konsequenzen nach sich ziehen kann. Neben Bußgeldern durch die Aufsichtsbehörden kann ein Betroffener auch Schadenersatz verlangen. Man denke nur an sehr vertrauliche Patientendaten wie Befunde, Röntgenbilder usw. die dadurch in falsche Hände geraten oder veröffentlicht werden.
Das passiert schon nicht? Weit gefehlt. Jeden Tag werden hunderte kleinere und größere Unternehmen, Behörden und Institutionen erfolgreich angegriffen und dabei Daten entwendet und verschlüsselt. Das trifft dann die Zahnarztpraxis genauso wie die kleine Rechtsanwaltskanzlei.
Die Angreifer erpressen dann oft sehr hohe Lösegelder zur Vermeidung der Veröffentlichung der Daten im Darknet (Weiterverkauf) und zur Herausgabe des Schlüssels zum Entschlüsseln der eigenen Daten.
Die Lösung: Versenden Sie vertrauliche Daten ausschließlich verschlüsselt und auf einem sicheren Weg. Wenn es schon eine E-Mail sein muss, dann schicken Sie das (ausreichend komplexe Passwort) für den verschlüsselten Anhang nicht auf demselben Weg ebenfalls per E-Mail – weder in derselben noch in einer anderen E-Mail-Nachricht. Besser ist ein vollständig getrennter Weg wie z.B. die mündliche Übermittlung, zum Beispiel per Telefon oder zur Not per SMS. Die professionelle Lösung ist die Nutzung von entsprechenden Portalen und Services, bei denen sowohl die Übertragung der Nachricht als auch deren Abruf durch Verschlüsselung und Authentifizierung nach dem Stand der Technik realisiert sind (u.a. Multi-Faktor-Authentifizierung). Ein Beispiel im Gesundheitswesen ist das System KIM.
Übrigens: Das FAX ist heutzutage keine sichere Übertragungsmöglichkeit mehr, da es kaum noch echte, dedizierte Fax-Geräte gibt, sondern die Fax-Funktion meist über E-Mail-Gateways erfolgt (beim Sender und/oder Empfänger). Damit und wegen der heutigen Übertragung per VoIP in Datennetzen ist die vermeintlich leitungsgebundene Abhörsicherheit von früher auch nur Makulatur.
Fazit: Kennwörter und Zugangsdaten gehören NIEMALS im Klartext in eine E-Mail.
Wie wäre es denn nun mit einer IT-Sicherheitsberatung und -Schulung? Better safe than sorry!
Sprechen Sie uns an.
SHARE