Wie können internationale Organisationen und NROs ihre Daten schützen?

Internationale Organisationen und Nichtregierungsorganisationen sind in der internationalen Entwicklung, in humanitären Fragen, in der Menschenrechtsarbeit usw. tätig, wobei es oft um Fragen von Leben und Tod geht. Sie verfügen über eine große Menge sensibler Informationen, darunter Daten von Begünstigten (Kontaktdaten, Standort, Religion, Geschlecht, ethnische Zugehörigkeit, Bankdaten, politische Aspekte oder Gesundheit), aber auch Daten von Spendern (private oder öffentliche Unternehmen, Einzelpersonen und Staaten mit Bankdaten) und schließlich Finanzdaten, Daten von Dritten und Informationen von Mitarbeitern. Diese wertvollen Daten machen sie zu idealen Opfern für Cyberkriminelle; leichte Ziele, die viel zu verlieren haben.

Wie können NRO ihre sensibelsten Daten schützen?

I - Identifizierung und Klassifizierung von Daten

Bevor Massnahmen ergriffen werden, müssen die Daten identifiziert und klassifiziert werden, einschliesslich der sensiblen Datenarten. Die Sensibilitätsstufen werden durch Einstufungen wie öffentlich (Informationen können mit der Öffentlichkeit geteilt werden), intern (Informationen werden unternehmensweit zur Verfügung gestellt, gelten aber immer noch als intern und müssen geschützt werden), vertraulich und eingeschränkt (sensibel, z. B. Daten von Begünstigten und Spendern) bestimmt.

Internationale Organisationen und NRO müssen nicht nur verschiedene Sicherheitsmassnahmen einrichten, sondern auch die Datenschutznormen/-vorschriften einhalten. Die grössten NRO erstellen sogar ihre eigenen Datenschutzrichtlinien. Das UNHCR (Hochkommissariat für Flüchtlinge der Vereinten Nationen) hat beispielsweise eine "Richtlinie zum Schutz personenbezogener Daten von Personen, die dem UNHCR angehören", die mit den Richtlinien der UN-Generalversammlung und anderen internationalen Instrumenten zum Schutz personenbezogener Daten und der Privatsphäre des Einzelnen übereinstimmt. Die meisten Richtlinien stehen ausserdem im Einklang mit der GDPR.

II - Umsetzung von Maßnahmen zum Schutz sensibler Daten

Sobald die sensiblen Daten identifiziert, lokalisiert und bewertet wurden, besteht der nächste Schritt darin, die grundlegenden Massnahmen zu ihrem Schutz zu verstärken. Zusätzlich zu den bekannten infrastrukturellen Sicherheitskomponenten (Server, Firewall, WAF, Proxy usw.) gibt es eine breite Palette von Massnahmen, die mehrere Datenschutzaspekte abdecken:

• Die Multi-Faktor-Authentifizierung (MFA), die zwei oder mehr Authentifikatoren (z.B. Biometrie, OTP, Passwort) verwendet, ist heute der Standard für die Absicherung von Webanwendungen.
• Regelmäßige Erneuerung der Passwörter und strenge Passwortrichtlinien (Mindestlänge, Grösse des Verlaufs, Intervall der Passwortänderung, Komplexität des Passworts, Anzahl der falschen Authentifizierungsversuche vor der automatischen Kontosperrung).
• Regelmäßige Überprüfung des Benutzerzugangs, um sicherzustellen, dass nur autorisierte Personen Zugang zu den richtigen Ressourcen erhalten.
• Für bestimmte Daten und Szenarien kann eine Anonymisierung, eine unumkehrbare Umwandlung, die sicherstellt, dass die Daten nicht mehr mit bestimmten ursprünglichen Informationen in Verbindung gebracht werden können, oder eine Pseudonymisierung dazu beitragen, das erwartete Schutzniveau zu erreichen.
• Um die Lebensfähigkeit von NROs zu erhalten, müssen sensible Daten (z. B. Daten von Begünstigten) vertraulich bleiben. Sowohl gespeicherte als auch übertragene Daten müssen durch geprüfte und sichere Verschlüsselungstechniken und -protokolle geschützt werden, die die Kommunikation absichern (z. B. TLS). Primitive Verfahren wie AES-GCM, AES-CCM oder Chacha20 Poly1305 Stream Cipher stellen sicher, dass die Daten vor unbefugten Parteien und unbefugter Veränderung geschützt sind.
• Darüber hinaus ist es möglich, eine Data Loss Protection (DLP)-Lösung zu verwenden, um den Verlust sensibler Daten in einem Unternehmen zu verringern, indem man sich auf die Lokalisierung, Klassifizierung und Überwachung von ruhenden, verwendeten und bewegten Daten konzentriert.

Es ist wichtig zu bedenken, dass diese Sicherheitsmassnahmen zum Schutz der Daten proportional zu ihrer Sensibilität sein müssen und dass es auch mit diesen Massnahmen kein Nullrisiko gibt.

Wie kann ELCA helfen?
 

Datenschutz ist ein Muss für internationale Organisationen und NROs. Um sie bei den verschiedenen Sicherheitsherausforderungen zu unterstützen, decken ELCASecurity und Senthorus, die beiden neuen, von ELCA gegründeten Unternehmen, die gesamte Cyber-Reise ab und bieten alle erforderlichen Dienstleistungen, Mechanismen und Prozesse zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Darüber hinaus können ELCASecurity und Senthorus als MSSP (Managed Security Service Provider) internationale Organisationen und Nichtregierungsorganisationen von der Definition ihrer Sicherheitsstrategie bis hin zum Incident Response Management unterstützen.