Der Skysnag-Blog

Uncategorized

Identifizierung und Schutz persönlich identifizierbarer Informationen

11. Oktober 2023  |  5 min lesen

Bedeutung von PII?

PII steht für persönlich identifizierbare Informationen. Dies sind Informationen, die zur Identifizierung einer Person verwendet werden können, wie z. B. ihr Name, ihre Adresse oder ihre Sozialversicherungsnummer. Jede Information, die dazu verwendet werden kann, eine Person von einer anderen zu unterscheiden, kann als PII betrachtet werden.

PII können auf unterschiedliche Weise definiert werden, aber in der Regel handelt es sich um Informationen, die zur Bestimmung einer Person verwendet werden können, entweder allein oder in Kombination mit anderen Informationen.

Das Energieministerium definiert PII als alle Informationen, die von der Abteilung über eine Person gesammelt oder aufbewahrt werden und die zur Unterscheidung oder Rückverfolgung ihrer Identität verwendet werden könnten. Diese Informationen können den Namen einer Person, die Sozialversicherungsnummer, das Geburtsdatum und den Geburtsort, biometrische Daten und andere persönliche Informationen umfassen, die mit einer bestimmten Person verknüpft oder verknüpfbar sind. Die U.S. General Services Administration weist darauf hin, dass PII noch sensibler werden können, wenn sie mit anderen öffentlich zugänglichen Informationen kombiniert werden.

Zu den PII kann alles gehören, vom Namen und der Adresse einer Person bis hin zu ihren biometrischen Daten, ihrer Krankengeschichte oder ihren finanziellen Transaktionen. Um als PII zu gelten, müssen die Daten zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden können. Die Definition von PII kann von Land zu Land variieren, umfasst aber in der Regel alle Informationen, die zur Identifizierung einer Person verwendet werden können. 

Nicht sensible und sensible PII-Informationen

PII können sensibel oder nicht sensibel sein.

Sensible PII

Bei sensiblen PII handelt es sich um Informationen, die zur Identifizierung einer Person verwendet werden können und die ihr möglicherweise schaden könnten, wenn sie in die falschen Hände geraten. Dazu gehören Informationen wie Sozialversicherungsnummern, Finanzinformationen und medizinische Daten.

Nicht-sensible PII

Nicht sensible personenbezogene Daten sind Informationen, die zur Identifizierung einer Person verwendet werden können, die aber wahrscheinlich nicht dazu verwendet werden, dieser Person zu schaden, wenn sie in die falschen Hände geraten. Dazu gehören Informationen wie Namen und Adressen.

Personenbezogene Daten können durch eine Kombination von Methoden erhoben werden, z. B. durch Online-Formulare, Umfragen und soziale Medien. Es ist wichtig, PII zu schützen und nur die wesentlichen Informationen zu erfassen. Bei der Erhebung von PII sollten Organisationen einen Plan haben, wie die Informationen verwendet, gespeichert und geschützt werden.

Persönlich identifizierbare Informationen Beispiele

Im Folgenden sind einige Beispiele für Informationen aufgeführt, die als personenbezogene Daten betrachtet werden können:

  • Name
  • Adresse
  • Sozialversicherungsnummer
  • Datum der Geburt
  • Nummer des Führerscheins
  • Finanzielle Informationen
  • Medizinische Unterlagen
  • E-Mail Adresse
  • I.P.-Adresse

PII-DATENVERLETZUNGEN

Bei mehreren Händlern, Finanzinstituten, Gesundheitsorganisationen und Bundesbehörden wie dem Heimatschutzministerium (Department of Homeland Security, DHS) kam es zu Datenschutzverletzungen, durch die personenbezogene Daten in Gefahr gerieten, so dass sie potenziell für Identitätsdiebstahl anfällig waren.

PII können auf verschiedene Weise für Identitätsdiebstahl verwendet werden. Diebe können sie verwenden, um neue Konten zu eröffnen, Kredite zu beantragen oder Einkäufe in Ihrem Namen zu tätigen. Sie können sie auch verwenden, um Betrug oder andere Straftaten zu begehen.

Identitätsdiebe suchen immer nach neuen Wegen, um an die persönlichen Daten von Menschen heranzukommen. Die Informationen, auf die sie es abgesehen haben, ändern sich, je nachdem, was sie damit machen wollen. So benötigen sie zum Beispiel für die Eröffnung eines Bankkontos andere Informationen als für die Einreichung eines betrügerischen Versicherungsantrags.

In manchen Fällen brauchen sie nur eine E-Mail-Adresse. In anderen Fällen sind Name, Adresse, Geburtsdatum, Sozialversicherungsnummer oder andere Informationen erforderlich. Einige Konten können sogar telefonisch oder über das Internet eröffnet werden.

Außerdem können physische Daten wie Rechnungen, Quittungen, Geburtsurkunden, Sozialversicherungskarten oder Mietinformationen gestohlen werden, wenn in die Wohnung einer Person eingebrochen wird. Die Diebe können diese Informationen gewinnbringend verkaufen. Oder sie verwenden sie selbst ohne das Wissen des Opfers. Sie verwenden beispielsweise nicht die Kreditkarte des Opfers, sondern eröffnen neue, separate Konten unter Verwendung der Daten des Opfers.

PII-Gesetze und -Verordnungen

PII werden durch eine Reihe von Gesetzen und Vorschriften geregelt, darunter der Gramm-Leach-Bliley Act, der Fair Credit Reporting Act und der Health Insurance Portability and Accountability Act.

Das Datenschutzgesetz von 1974 ist ein Bundesgesetz, das Regeln für die Sammlung, Verwendung und Offenlegung von personenbezogenen Daten durch Bundesbehörden festlegt. Das Gesetz schreibt vor, dass Bundesbehörden Einzelpersonen über ihr Recht auf Zugang und Korrektur ihrer PII informieren und Strafen für den Missbrauch von PII festlegen.

Das Informationsfreiheitsgesetz (Freedom of Information Act, FOIA) ist ein Bundesgesetz, das Einzelpersonen das Recht auf Zugang zu bestimmten staatlichen Unterlagen gibt. Das Gesetz schreibt vor, dass Bundesbehörden ihre Unterlagen der Öffentlichkeit zur Verfügung stellen müssen, es sei denn, die Unterlagen sind durch eine der Ausnahmeregelungen des Gesetzes vor der Offenlegung geschützt.

Der Family Educational Rights and Privacy Act (FERPA) ist ein Bundesgesetz, das die Privatsphäre von Schülerunterlagen schützt. Das Gesetz schreibt vor, dass Schulen Eltern und Schülern die Möglichkeit geben, ihre Bildungsunterlagen einzusehen und zu korrigieren, und schränkt die Offenlegung von Bildungsunterlagen ohne Zustimmung ein.

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz zum Schutz der Privatsphäre von Gesundheitsdaten. Das Gesetz schreibt vor, dass die betroffenen Einrichtungen angemessene Maßnahmen ergreifen müssen, um die Vertraulichkeit geschützter Gesundheitsdaten zu wahren, und schränkt die Weitergabe geschützter Gesundheitsdaten ohne Zustimmung ein.

GDPR PII

Die GDPR ersetzt die Datenschutzrichtlinie von 1995 (95/46/E.C.), die eingeführt wurde, um die Rechte der Europäer in Bezug auf ihre personenbezogenen Daten zu schützen. Sie legt die Regeln für die Erhebung und Verarbeitung personenbezogener Daten (PII) durch Einzelpersonen, Unternehmen oder andere Organisationen fest, die in der EU tätig sind.

Die Verordnung gilt für jedes Unternehmen, das personenbezogene Daten von Einzelpersonen in der EU verarbeitet, unabhängig davon, ob das Unternehmen innerhalb oder außerhalb der EU ansässig ist. Dies schließt auch Unternehmen mit Sitz in den USA ein, die Daten von EU-Bürgern verarbeiten, selbst wenn sich diese Bürger nicht physisch in der EU aufhalten. Die DSGVO verlangt von Unternehmen, dass sie die ausdrückliche Erlaubnis von Einzelpersonen einholen, bevor sie deren personenbezogene Daten erheben, verwenden oder weitergeben. Unternehmen sind verpflichtet, Einzelpersonen über ihre Rechte gemäß der DSGVO zu informieren und sicherzustellen, dass Einzelpersonen diese Rechte problemlos ausüben können.

Die DSGVO sieht erhebliche Geldstrafen für Unternehmen vor, die gegen ihre Bestimmungen verstoßen, darunter bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro. (je nachdem, welcher Wert höher ist)je nachdem, welcher Wert höher ist. Die Verordnung gibt Einzelpersonen auch das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen, wenn sie glauben, dass ihre Rechte verletzt wurden.

Die besten Praktiken zum Schutz von PII

  • Verschlüsselung aller PII-Daten bei der Übertragung und im Ruhezustand
  • Speicherung von PII-Daten in einer sicheren Datenbank
  • Beschränkung des Zugriffs auf personenbezogene Daten auf diejenigen, die sie benötigen
  • Sicherstellung, dass alle personenbezogenen Daten korrekt und auf dem neuesten Stand sind
  • Vernichtung von PII-Daten, wenn sie nicht mehr benötigt werden

PII PHI PCI Was ist der Unterschied?

Persönlich identifizierbare Informationen

PII betrifft letztlich alle Organisationen, unabhängig von ihrer Größe und Art. Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person verwendet werden können, z. B. Ihr Name, Ihre Adresse, Ihr Geburtsdatum, Ihre Sozialversicherungsnummer und so weiter. Sobald man in den Besitz von PII gelangt ist, kann man sie nicht nur im Dark Web verkaufen, sondern auch für andere Angriffe verwenden. Diese Angriffe zeigen, wie Cyberkriminelle gestohlene personenbezogene Daten nutzen können, um weitere Angriffe auf Unternehmen auszuführen. Die Sicherheitsverletzungen beim Office of Personnel Management und bei Anthem sind Beispiele dafür, wo Millionen von PII entwendet und dann für Angriffe auf andere Organisationen wie die IRS verwendet wurden.

Geschützte Gesundheitsinformationen

PHI gehören zu den begehrtesten Daten, die ein Cyberkrimineller im Visier hat. Sie umfassen eine Vielzahl von Informationen. PHI wird durch den Health Insurance Portability and Accountability Act (HIPAA) definiert und besteht aus allen Daten, die dazu verwendet werden können, die Identität einer Person mit ihrer Gesundheitsversorgung in Verbindung zu bringen. Eine vollständige Liste der 18 Identifikatoren, aus denen sich PHI zusammensetzen, finden Sie hier.

PHI sind ein wertvolles Gut und werden im Dark Web für mehr Geld verkauft als jeder andere Datensatz, so das Ponemon Institute. Was den Schutz von PHI angeht, so bieten der HIPAA und der damit verbundene Health Information Technology for Economic and Clinical Health Act (HITECH) Richtlinien für den Schutz von PHI. Innerhalb des HIPAA gibt es die "Privacy Rule" und die Untergruppen "Security Rule", "Enforcement Rule" und "Breach Notification Rule", die sich alle mit verschiedenen Aspekten des Schutzes von PHI befassen.

Payment Card Industry Data Security Standard

PCI-DSS ist eine Reihe von Sicherheitsstandards, die zum Schutz von Karteninhaberdaten geschaffen wurden. Jede Organisation, die Karteninhaberdaten verarbeitet, speichert oder überträgt, muss diese Standards einhalten. PCI-Compliance bedeutet, die Verantwortung dafür zu übernehmen, dass Finanzdaten in allen Phasen geschützt werden, also auch bei der Annahme, Übertragung, Speicherung und Verarbeitung von Daten.

Schlussfolgerung

Die automatisierte Software von Skysnag schützt den Ruf Ihrer Domain und bewahrt Ihr Unternehmen vor kompromittierten Geschäfts-E-Mails, Passwortdiebstahl und potenziell erheblichen finanziellen Verlusten. Schalten Sie Einblicke frei, umgehen Sie E-Mail-Authentifizierungs-Konfigurationsprobleme, einschließlich SPF und DKIM, und schützen Sie Ihre Domain vor Spoofing mit der strengen DMARC enforcement, alles autonom mit Skysnag. Starten Sie mit Skysnag und melden Sie sich noch heute über diesen Link für eine kostenlose Testversion an.

Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain

Durchsetzung von DMARC, SPF und DKIM in Tagen - nicht Monaten

Skysnag hilft vielbeschäftigten Technikern bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die Zustellbarkeit von E-Mails erhöht, und verhindert E-Mail-Spoofing und Identitätsnachahmung.