Bei der Sicherheit der Daten gelten Anwaltskanzleien oft als ein weiches Ziel: Jede fünfte Anwaltskanzlei (in Englisch) wurde im vergangenen Jahr gehackt und sechs große Anwaltskanzleien erst in jüngster Vergangenheit.
Anwaltskanzleien sind sehr interessante Ziele, weil sie über eine Fülle von sensiblen Informationen verfügen. Dazu gehören Geschäftsgeheimnisse im Zusammenhang mit zukünftigen Produktplänen, Verkaufs- und Marketingstrategien, geheime und vertrauliche Informationen, regulatorische Zulassungsanträge, NPI, PHI, PII und dergleichen mehr. Einem kürzlich veröffentlichten Forschungsbericht des Ponemon Institute zufolge kommen mehr als 30 Prozent der Datenschutzverletzungen aus dem Unternehmen selbst. Um wettbewerbsfähig zu bleiben und die Datenvorschriften einzuhalten, müssen Anwaltskanzleien mehr tun, um Kundendaten zu schützen und bestehende Lücken der Sicherheit innerhalb und außerhalb des Unternehmens zu schließen.
Dies war das Thema einer Tagung der OpenText™ eDOCS User Group, die von der Anwaltskanzlei Kasowitz Benson Torres LLP ausgerichtet wurde. Die User Group, bestehend aus Großunternehmen und Anwaltskanzleien, konzentrierte sich bei ihrer Diskussion auf die neuesten Sicherheitserweiterungen von eDOCS Defense, die Unternehmen bei der Umsetzung von Datensicherheitsmaßnahmen unterstützen. In Anlehnung an diese Diskussion werfen wir einen Blick auf die Vorgehensweise von Regulierungsbehörden und Gerichten. Sie erfahren, mit welchen bewährten Funktionen für mehr Sicherheit Sie Daten auf Dokumentebene sperren können und einer Regelverletzung vorbeugen.
Weisungen von Regulierungsbehörden und Gerichten
Der Datenschutz wird durch immer strengere Vorschriften immer mehr zur Herausforderung. Unternehmen sind nicht mehr nur verpflichtet, Verstöße gegen ihre Systeme anzuzeigen, sondern müssen dann gemäß der Allgemeinen Datenschutzverordnung (DSGVO) auch Geldbußen bis zu vier Prozent ihres Jahresumsatzes zahlen, wenn es sich um Daten von Bürgern der Europäischen Union handelt.
Zu den strengeren Regularien der US-Aufsichtsbehörden gehören der Health Insurance Portability and Accountability Act von 1996, die HIPAA Privacy Rule und die HIPAA Security Rule. Diese erfordern unter anderem, dass die betroffenen Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit aller elektronischen Protected Health Information (ePHI), die erstellt, empfangen, gewartet oder übertragen werden, gewährleisten. Außerdem müssen sie die Einhaltung der Vorschriften durch ihre Mitarbeiter sicherstellen. Oder betrachten Sie die Cyber-Regulierung des New Yorker Department of Financial Services (NY DFS). Diese Verordnung verpflichtet die von der DFS beaufsichtigten Unternehmen, die Kernanforderungen eines Cybersicherheitsprogramms zu übernehmen. Dazu gehört auch die Erfüllung der Anforderungen an die Systemsicherheit von Applikationen (vermutlich um einen Verstoß zu erkennen und abzuschwächen).
Sogar die Gerichte messen der Datensicherheit große Bedeutung bei. Eine kürzlich getroffene Gerichtsentscheidung macht Unternehmen dafür verantwortlich, dass sie keine „angemessenen“ Maßnahmen ergriffen haben, um den Schutz von Informationen, einschließlich Verschlüsselung, zu gewährleisten. (Siehe Dittman, et al v. UPMC, et al., 2018 PA Sup Ct. W.D. 17.) Dies folgt auf frühere Klagen, an denen Sony, Home Depot, Adobe und andere beteiligt waren. Es stand im Zusammenhang mit der Sony Gaming Networks and Customer Security Breach Litigation, in denen der U. S. District Court for the Southern District of California die rechtliche Verpflichtung zur Gewährleistung der Sicherheit, einschließlich Verschlüsselung, anerkannt hat. Dies sind Präzedenzfälle für zukünftige Rechtsstreitigkeiten.
Bewährte Features für mehr Sicherheit der Daten
Angesichts strengerer Richtlinien zur Datensicherheit setzen Anwaltskanzleien und ihre Mandanten auf juristische Content Management-Plattformen. Diese bieten zusätzliche Sicherheitsebenen, die Daten auf der Dokumentebene selbst (nicht nur auf der Geräteebene) schützen. Dies geht über Funktionen wie Zwei-Faktor-Authentifizierung, Metadatensicherheit und Informationsübertragung über Secure Socket Layer (SSL) hinaus und autorisiert den Benutzerzugriff, Teilen, Bearbeiten und Anzeigen von Dokumenten. Verfügbare Technologien wie OpenText eDOCS und das Dokumenten-Sicherheitsmodul OpenText™ eDOCS Defense bieten zusätzlichen Schutz auf der Dokumentenebene und verhindern so eine interne Verletzung des Datenschutzes. Diese Sicherheitsschichten werden nicht nur zunehmend als Best Practices angesehen, sondern können in einigen regulierten Branchen sogar vorgeschrieben sein.
Hier erfahren Sie, wie Sie die Sicherheitslücke schließen können, die durch die Verschlüsselung auf Geräteebene entstanden ist. Außerdem können Sie Vor- und Zwischenfälle mit Warnhinweisen kontrollieren und vermeiden.
- Verschlüsselung ruhender Daten auf Dokumentebene
Etwa 25 Prozent der internen Datenschutzverletzungen stammen von Systemadministratoren, die Zugriff auf die Backend-Datenbanken haben. Im Gegensatz zur Verschlüsselung auf Geräteebene, bei der sensible Informationen noch über den Serverzugriff eingesehen werden können, bieten Content Management-Systeme wie OpenText eDOCS und das eDOCS Defense-Modul eine Verschlüsselung auf Dokumentebene im Hintergrund. Dadurch wird sichergestellt, dass auch Systemadministratoren die Inhalte nicht ohne Berechtigung über die eDOCS-Benutzeroberfläche sehen können. Die Daten sind auf Dokumentebene geschützt – egal ob in der Cloud oder nicht. Bei der Sicherung von Content werden die Dokumente auf den Sicherungsmedien verschlüsselt. Wenn das Medium gestohlen wird, ist der Content immer noch verschlüsselt.
- Benachrichtigungen bei Aktivitäten
Irreparable Schäden können bereits zum Zeitpunkt der Feststellung einer Datenschutzverletzung aufgetreten sein. Der Branchendurchschnitt liegt bei fast 200 Tagen vom Vorfall bis zur Entdeckung. [1] Mit OpenText eDOCS Defense können Unternehmen ein potenzielles Problem identifizieren, indem sie vor und nach der Sperrung sensibler Informationen vordefinierte Warnungen senden. Dadurch werden das Risiko und die Kosten eines Datenverstoßes weiter reduziert und Informationen sogar vor autorisierten Benutzern geschützt. Warnmeldungen sind flexibel und konfigurierbar und können an bestimmte Personen in verschiedenen Phasen einer möglichen Verletzung gesendet werden. Dazu gehören beispielsweise das Erkennen von Benutzeraktivitäten, die auf einen Datenverlust hinweisen können, wie das Löschen mehrerer Dokumente oder das Nutzen mehrerer Dokumente außerhalb der Geschäftszeiten. Diese Warnungen können einem Verstoß vorbeugen, einen Benutzer ausschließen, wenn er gegen eine Regel verstößt, Schäden begrenzen und mit gespeicherten Systemprotokollen helfen, die erforderlichen Vorschriften besser einzuhalten.
Angesichts der wachsenden Zahl von internen Datenschutzverletzungen ist es erforderlich, ein neues und strengeres Sicherheitsniveau für die vollständige Sicherheit sensibler Daten zu erreichen. Gleichzeitig sind die gesetzlichen Anforderungen zu erfüllen. Dazu gehören zunehmend Maßnahmen zum Schutz vor internen Datenschutzverletzungen für mehr Sicherheit. Kontaktieren Sie uns, um mehr zu erfahren.
In diesem kürzlich aufgezeichneten Webinar erfahren Sie mehr über eDocs. (in Englisch)
[1]Ponemon Institute, 2018 Cost of a Data Breach Study, July 2018 (in Englisch)
Dieser Artikel wurde aus dem Englischen übersetzt.