Wie können internationale Organisationen und NROs ihre Daten schützen?

04.04.2022

Nach Angaben des CyberPeace Institute sind Nichtregierungsorganisationen (NRO) häufig Opfer von Cyberangriffen. Mehr als 50 % der NRO geben an, Ziel von Angriffen zu sein, und 86 % verfügen über keine Cybersicherheitspläne.

expert
Christophe Gerber
General Manager

Internationale Organisationen und Nichtregierungsorganisationen sind in der internationalen Entwicklung, in humanitären Fragen, in der Menschenrechtsarbeit usw. tätig, wobei es oft um Fragen von Leben und Tod geht. Sie verfügen über eine große Menge sensibler Informationen, darunter Daten von Begünstigten (Kontaktdaten, Standort, Religion, Geschlecht, ethnische Zugehörigkeit, Bankdaten, politische Aspekte oder Gesundheit), aber auch Daten von Spendern (private oder öffentliche Unternehmen, Einzelpersonen und Staaten mit Bankdaten) und schließlich Finanzdaten, Daten von Dritten und Informationen von Mitarbeitern. Diese wertvollen Daten machen sie zu idealen Opfern für Cyberkriminelle; leichte Ziele, die viel zu verlieren haben.

Wie können NRO ihre sensibelsten Daten schützen?

 

I - Identifizierung und Klassifizierung von Daten

Bevor Massnahmen ergriffen werden, müssen die Daten identifiziert und klassifiziert werden, einschliesslich der sensiblen Datenarten. Die Sensibilitätsstufen werden durch Einstufungen wie öffentlich (Informationen können mit der Öffentlichkeit geteilt werden), intern (Informationen werden unternehmensweit zur Verfügung gestellt, gelten aber immer noch als intern und müssen geschützt werden), vertraulich und eingeschränkt (sensibel, z. B. Daten von Begünstigten und Spendern) bestimmt.

 

Internationale Organisationen und NRO müssen nicht nur verschiedene Sicherheitsmassnahmen einrichten, sondern auch die Datenschutznormen/-vorschriften einhalten. Die grössten NRO erstellen sogar ihre eigenen Datenschutzrichtlinien. Das UNHCR (Hochkommissariat für Flüchtlinge der Vereinten Nationen) hat beispielsweise eine "Richtlinie zum Schutz personenbezogener Daten von Personen, die dem UNHCR angehören", die mit den Richtlinien der UN-Generalversammlung und anderen internationalen Instrumenten zum Schutz personenbezogener Daten und der Privatsphäre des Einzelnen übereinstimmt. Die meisten Richtlinien stehen ausserdem im Einklang mit der GDPR.

 

II - Umsetzung von Maßnahmen zum Schutz sensibler Daten

Sobald die sensiblen Daten identifiziert, lokalisiert und bewertet wurden, besteht der nächste Schritt darin, die grundlegenden Massnahmen zu ihrem Schutz zu verstärken. Zusätzlich zu den bekannten infrastrukturellen Sicherheitskomponenten (Server, Firewall, WAF, Proxy usw.) gibt es eine breite Palette von Massnahmen, die mehrere Datenschutzaspekte abdecken:

  • Die Multi-Faktor-Authentifizierung (MFA), die zwei oder mehr Authentifikatoren (z.B. Biometrie, OTP, Passwort) verwendet, ist heute der Standard für die Absicherung von Webanwendungen.
  • Regelmäßige Erneuerung der Passwörter und strenge Passwortrichtlinien (Mindestlänge, Grösse des Verlaufs, Intervall der Passwortänderung, Komplexität des Passworts, Anzahl der falschen Authentifizierungsversuche vor der automatischen Kontosperrung).
  • Regelmäßige Überprüfung des Benutzerzugangs, um sicherzustellen, dass nur autorisierte Personen Zugang zu den richtigen Ressourcen erhalten.
  • Für bestimmte Daten und Szenarien kann eine Anonymisierung, eine unumkehrbare Umwandlung, die sicherstellt, dass die Daten nicht mehr mit bestimmten ursprünglichen Informationen in Verbindung gebracht werden können, oder eine Pseudonymisierung dazu beitragen, das erwartete Schutzniveau zu erreichen.
  • Um die Lebensfähigkeit von NROs zu erhalten, müssen sensible Daten (z. B. Daten von Begünstigten) vertraulich bleiben. Sowohl gespeicherte als auch übertragene Daten müssen durch geprüfte und sichere Verschlüsselungstechniken und -protokolle geschützt werden, die die Kommunikation absichern (z. B. TLS). Primitive Verfahren wie AES-GCM, AES-CCM oder Chacha20 Poly1305 Stream Cipher stellen sicher, dass die Daten vor unbefugten Parteien und unbefugter Veränderung geschützt sind.
  • Darüber hinaus ist es möglich, eine Data Loss Protection (DLP)-Lösung zu verwenden, um den Verlust sensibler Daten in einem Unternehmen zu verringern, indem man sich auf die Lokalisierung, Klassifizierung und Überwachung von ruhenden, verwendeten und bewegten Daten konzentriert.

Es ist wichtig zu bedenken, dass diese Sicherheitsmassnahmen zum Schutz der Daten proportional zu ihrer Sensibilität sein müssen und dass es auch mit diesen Massnahmen kein Nullrisiko gibt.

Wie kann ELCA helfen?
Datenschutz ist ein Muss für internationale Organisationen und NROs. Um sie bei den verschiedenen Sicherheitsherausforderungen zu unterstützen, decken ELCASecurity und Senthorus, die beiden neuen, von ELCA gegründeten Unternehmen, die gesamte Cyber-Reise ab und bieten alle erforderlichen Dienstleistungen, Mechanismen und Prozesse zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Darüber hinaus können ELCASecurity und Senthorus als MSSP (Managed Security Service Provider) internationale Organisationen und Nichtregierungsorganisationen von der Definition ihrer Sicherheitsstrategie bis hin zum Incident Response Management unterstützen.

Kontakt: Christophe Gerber
ELCAs Datenschutzerklärung.

Wenn Sie auf dieser Website weitersurfen, akzeptieren Sie die Nutzung von Cookies oder ähnlichen Technologien, welche die Erstellung von Zugriffstatistiken für unsere Website bezwecken (Tests und Messungen von Zielgruppen, Besuchen, Surfverhalten und Performance), die Ihnen aber auch gezielt auf Ihre Interessen abgestimmte Inhalte und Inserate anbieten.

Wir haben unsere Cookies aktualisiert. Bitte zögern Sie nicht, Ihre Präferenzen ebenfalls zu aktualisieren.

OK, alles annehmen Alles deaktivieren Konfigurieren
schließen
save

Ihre Cookie-Präferenzen setzen

Ihre Cookie-Präferenzen aktualisieren

Sie können sich über die Art der hinterlegten Cookies informieren, sie akzeptieren oder ablehnen, sei es für die gesamte Website und alle Services oder einzeln für jeden Service.

OK, alles annehmen

Alles deaktivieren

Besucherfluss

Diese cookies verschaffen uns Einblick in Traffic-Quellen und ermöglichen uns ein besseres, anonymisiertes Verständnis unserer Besucher.

(Google Analytics und CrazyEgg).

Neu

Freigabetools

Cookies von sozialen Medien erlauben ein Teilen von Inhalten in Ihren bevorzugten Netzen.

(ShareThis)

Neu

Verständnis der Besucher

Diese cookies werden verwendet, um Besucher über verschiedene Websites hinaus zu verfolgen.

Dadurch wollen wir relevantere, zielgerichtete Inhalte für bestehende Kontakte anbieten (ClickDimensions) und Inserate anzeigen können, die für die Benutzer nützlich und ansprechend sind (Facebook Pixels).

 

Neu
Weitere Angaben zu diesen Cookies und unserer Cookie-Richtlinie finden Sie hier.