Datenpanne

Eine Datenpanne ist ein Sicherheitsvorfall, bei dem sensible, geschützte oder vertrauliche Daten von unbefugten Personen eingesehen oder offengelegt wurden. Datenpannen treten in Organisationen jeder Größe auf, von Schulen über kleine Unternehmen bis hin zu Großunternehmen. Solche Vorfälle können geschützte oder personenbezogene Gesundheitsinformationen (PHI), personenbezogene Daten (PII), geistiges Eigentum, vertrauliche Informationen oder andere sensible Daten offenlegen.

Zu den Arten von geschützten personenbezogenen Informationen gehören:

• Führerscheinnummern
• Medizinische Unterlagen
• Biometrie
• Finanzunterlagen 
• Sozialversicherungsnummern 
• Strafregister

Für Unternehmen können zu den sensiblen Daten auch Kundenlisten, Quellcode, Kredit- und Debitkartendaten, Nutzerdaten und andere vertrauliche Informationen gehören.

Datenpannen können durch verschiedene Arten von Cyberangriffen verursacht werden, wie z. B. Malware, Viren, Phishing-Angriffe, Ransomware oder Diebstahl physischer Geräte. Datenpannen können auch auf Fehlkonfigurationen, nicht behobene Sicherheitslücken, böswillige Insider oder andere Arten von internen Fehlern zurückzuführen sein. Das Zulassen unbefugter Personen in ein Gebäude oder auf eine Etage, das Anhängen oder Teilen des falschen Dokuments oder sogar das Kopieren der falschen Person in eine E-Mail kann dazu führen, dass Daten offengelegt werden und eine erhebliche Datenpanne entsteht.

Viele Branchen, insbesondere die Finanz- und Gesundheitsbranche, verlangen Kontrollen sensibler Daten. Branchenrichtlinien und staatliche Vorschriften fordern zunehmend strenge Kontrollen, Offenlegungspflichten im Falle einer Sicherheitsverletzung sowie Strafen oder Bußgelder für Organisationen, die es versäumen, die ihnen anvertrauten Daten zu schützen.

Der Payment Card Industry Data Security Standard (PCI DSS) gilt für Finanzinstitute und Unternehmen, die mit Finanzinformationen umgehen. Der Health Insurance Portability and Accountability Act (HIPAA) regelt, wer im Gesundheitswesen Zugriff auf PHI hat und diese verwenden darf.

Die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union stärkt die Kontrolle und Rechte von Einzelpersonen über ihre personenbezogenen Daten und sieht bei Nichteinhaltung erhebliche Geldbußen für Organisationen vor. Auch andere Länder verfügen über bedeutende Vorschriften zum Datenschutz. In den Vereinigten Staaten gibt es auf Bundes- und Bundesstaatenebene mehrere Gesetze, die den Schutz personenbezogener Daten von US-Bürgern zum Ziel haben.

Negative Auswirkungen auf ein Unternehmen aufgrund einer Datenpanne umfassen Bußgelder, Kosten für die Untersuchung, Eindämmung und Behebung des Vorfalls, Reputationsverlust, Rechtsstreitigkeiten und möglicherweise sogar die Unfähigkeit, das Unternehmen weiterzuführen.