Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-Mail-Sicherheit

    Südafrikas POPIA-Datenschutzbestimmungen gegen Ransomware

    Wenn das südafrikanische Datenschutzgesetz am 1. Juli in Kraft tritt, wird der Schutz persönlicher Daten vor Ransomware eine der größten Herausforderungen für Unternehmen sein.

    by Karen Lynch
    gettyimages-1279843229.png

    Wichtige Punkte

    • Einige südafrikanische Unternehmen sind besser vorbereitet als andere, um die POPIA-Frist vom 1. Juli zum Schutz der Privatsphäre der Bürger einzuhalten.
    • Die Bestimmungen des Gesetzes über Datenschutzverletzungen erweisen sich inmitten einer Welle von Ransomware-Kriminalität als besonders schwierig.
    • Unternehmen sehen sich sowohl mit zunehmenden Ransomware-Angriffen als auch mit behördlichen Strafen konfrontiert, wenn sie es versäumen, sich gegen diese Verstöße zu schützen.

    Die Zeit, in der südafrikanische Unternehmen das Gesetz zum Schutz personenbezogener Daten (Protection of Personal Information Act - POPIA) einhalten müssen, ist fast abgelaufen. Doch je näher der 1. Juli als Stichtag für die Einhaltung des Gesetzes rückt, desto größer wird eine Herausforderung: Wie schützt man die Daten der Bürgerinnen und Bürger vor einer Sicherheitsverletzung inmitten einer Ransomware-Kriminalitätswelle?

    POPIA ist besonders streng bei einem Aspekt des Datenschutzes - der Datensicherung - und führt gleichzeitig eine Reihe von Anforderungen ein, um dem Einzelnen mehr Kontrolle darüber zu geben, wie seine personenbezogenen Daten erfasst und verwendet werden. Wenn ein Unternehmen nicht die notwendigen Schritte zum Schutz vor Datenschutzverletzungen unternommen hat, kann es in zwei verschiedenen Szenarien mit POPIA-Strafen rechnen: Datendiebstahl und Datenverschlüsselung.

    POPIAs weit gefasste Definition von 'Datenschutzverletzung'

    Wenn Menschen an Datenschutzverletzungen denken, denken sie in der Regel an Datendiebstahl - im Sprachgebrauch der Sicherheitsbranche als "Datenexfiltration" bekannt. Viele Angreifer stehlen jedoch keine Daten, sondern verschlüsseln sie auf der Website ihres Opfers und verlangen ein Lösegeld, um sie zu entschlüsseln.

    POPIA würde in beiden Fällen Anwendung finden, da es Schutzmaßnahmen gegen unbefugten Zugriff, Verarbeitung, Beschädigung, Zerstörung oder Verlust von personenbezogenen Daten vorschreibt. Jede erhebliche Datenverletzung muss den Behörden gemeldet werden und kann eine Strafe von bis zu 10 Millionen ZAR (700.000 US$) nach sich ziehen, wenn der Datenschutz als nachlässig erachtet wird.

    Dieses Mandat kommt zu einer Zeit, in der Kriminelle mehr Ransomware-Angriffe als je zuvor weltweit starten. [i] Südafrikanische Unternehmen sind also einerseits durch Kriminelle und andererseits durch die Regulierungsbehörden gefährdet.

    Tieferer Einblick in die Datensicherheit

    In früheren Blogs haben wir einen POPIA-Crashkurs gegeben und auch POPIA-Mythen entlarvt für südafrikanische Unternehmen, die die kommende Frist einhalten müssen. Hier gehen wir mit Brian Pinnock, Mimecasts Director of Sales Engineering MEA, tiefer in die Materie von POPIA, Ransomware und Datensicherheit ein.

    Im Rahmen von POPIA müssen Unternehmen organisatorische und technische Maßnahmen zur Verhinderung von Datenschutzverletzungen ergreifen, die ständig im Einklang mit den sich entwickelnden bewährten Verfahren und der fortlaufenden Neubewertung der Risiken in einer sich verändernden Bedrohungslandschaft aktualisiert werden. [ii] "Man kann es nicht einfach einstellen und vergessen", so Pinnock, wenn es darum geht, eine Cybersicherheitsstrategie zu formulieren, Daten zu sichern, Schwachstellen in IT-Systemen zu beheben, Mitarbeiterschulungen zu aktualisieren und andere Maßnahmen zu ergreifen, um eine angemessene Cyberhygiene zu gewährleisten.

    Wichtig ist, dass Unternehmen nicht in die Falle tappen und denken, sie seien nur dann haftbar, wenn ein Verstoß zum Diebstahl personenbezogener Daten führt. Das neue Gesetz deckt auch klassische Fälle von Ransomware ab, bei denen Angreifer Daten auf der Website eines Opfers verschlüsseln, um sie als Lösegeld zu fordern. Selbst wenn die Daten also niemals das Gelände eines Unternehmens verlassen - mit anderen Worten, selbst wenn sie nicht gestohlen werden - könnten die Aufsichtsbehörden das Unternehmen für rechtswidrig erklären.

    Und nun, da sich Ransomware weiterentwickelt hat, können Kriminelle Daten sowohl verschlüsseln als auch exfiltrieren. Das heißt, sie können auch zumindest einen Teil der Informationen stehlen, da Unternehmen immer besser in der Lage sind, Backups zu verwenden, um Lösegeldforderungen zur Freigabe verschlüsselter Daten zu vermeiden. Dann drohen die Kriminellen damit, die Informationen zu verkaufen oder sie im Dark Web zu veröffentlichen.

    E-Mail: Ein Schlüsselelement im Kampf gegen Ransomware

    E-Mail-Sicherheit sollte in jeder Anti-Ransomware-Strategie eine Priorität sein. Während Unternehmen Plattformen zur Verwaltung von Kundenbeziehungen, Personalsysteme und andere "strukturierte Daten" vor Angriffen schützen, so Pinnock, übersehen einige die große Menge an "unstrukturierten" persönlichen Daten in ihren E-Mail-Konten und Archiven.

    Aber auch archivierte E-Mails sind ein Ziel von Ransomware. Unternehmen, die auf den gängigen E-Mail-Plattformen archivieren, verfügen laut Pinnock über eine grundlegende Sicherheit. Aber sie müssten sich an einen E-Mail-Sicherheitsanbieter wie Mimecast wenden, fügt er hinzu, um Ransomware-Angriffe mit militärischer Sicherheit, wie dem AES256-Algorithmus, zu bewältigen.

    Da die meisten Kriminellen per E-Mail in Datensysteme eindringen, kann die Sicherung von E-Mails die meisten Ransomware-Angriffe abwehren, bevor sie ihr Ziel erreichen. Auch hier können die Unternehmen ihre Waffen wählen: Sie können sich auf die grundlegende Sicherheit der gängigen E-Mail-Plattformen verlassen oder sich an einen E-Mail-Sicherheitsanbieter wenden, der die besten Erkennungs- und Kontrollmethoden anbietet.

    Anstieg von Ransomware in Südafrika

    Siebenundvierzig Prozent der südafrikanischen Unternehmen, die für den State of Email Security 2021 Bericht von Mimecast befragt wurden, gaben an, dass sie in den letzten 12 Monaten von Ransomware betroffen waren. Im Folgenden beschreiben die Opfer die Auswirkungen:

    • Datenverlust: 66%
    • Unterbrechung der Geschäftstätigkeit: 53%
    • Reputationsschaden: 45%
    • Auswirkungen auf die Produktivität der Mitarbeiter: 38 %.
    • Finanzieller Verlust: 38%
    • Auswirkungen auf die Einhaltung von Vorschriften: 30%

    Der Cost of Data Breach Report 2020 des Ponemon-Instituts, in dem Datenschutzverletzungen jeglicher Art analysiert werden, weist für Südafrika folgende Zahlen aus: [iii]

    • 177 Tage, um eine Datenschutzverletzung zu erkennen, im Durchschnitt
    • 51 Tage für die Eindämmung einer Sicherheitsverletzung
    • 2,14 Millionen US$ an durchschnittlichen Kosten
    • 48 % der Verstöße werden durch einen böswilligen Angriff verursacht
    • 26% durch eine Systemstörung verursacht
    • 26% durch menschliches Versagen verursacht

    Es wird davon ausgegangen, dass einige der größten südafrikanischen Unternehmen auf die Einhaltung der Frist zum 1. Juli vorbereitet sind, während dies bei mittleren und kleineren Unternehmen weniger der Fall ist. Ebenso wird erwartet, dass sich die Durchsetzung der Vorschriften zunächst auf große Unternehmen konzentrieren wird - wobei die Aufsichtsbehörden sogar ein Exempel an denjenigen statuieren werden, die sich ihren Verpflichtungen entziehen -, während sie kleineren Unternehmen vorerst einen gewissen Spielraum einräumen. Das Ponemon Institute hat auch die Bereitschaft der südafrikanischen Unternehmen untersucht:

    • 16 % der Unternehmen haben die Cybersicherheit vollständig automatisiert
    • 40% haben die Sicherheit teilweise automatisiert
    • 44% haben nicht automatisiert

    Die Quintessenz

    Ab dem 1. Juli müssen Unternehmen in Südafrika das POPIA-Datenschutzgesetz einhalten. Mitten in einer Welle von Ransomware-Kriminalität zwingt die Frist die Unternehmen dazu, sich intensiv mit Datenschutzverletzungen zu befassen, die eines ihrer größten regulatorischen Risiken darstellen

    [i] " Ransomware-Angriffe nehmen zu. Ist Ihr Unternehmen darauf vorbereitet? ", Harvard Business Review

    [ii] " Gesetz zum Schutz personenbezogener Daten ," Staatsanzeiger

    [iii] " Cost of a Data Breach Report 2020 ," Ponemon Institute for IBM

    1225504334.jpg
    Nächster Punkt
    E-Mail-Sicherheit |
    Verbesserung der Sicherheit Ihrer Lieferkette durch Integration

    Verwandte Artikel

    E-Mail-Sicherheit
    Wie Sie Ihre Sicherheitsintegrationen gestalten
    E-Mail-Sicherheit
    Cybersicherheit wird zum Wachstumsmotor für Unternehmen
    E-Mail-Sicherheit
    Was ist VSOC und GSOC Sicherheit?

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang