Blog

Identifizierung und Schutz persönlich identifizierbarer Informationen

Oktober 11, 2023  |  5 Min. Lesezeit

Bedeutung von PII?

PII steht für persönlich identifizierbare Informationen. Dies sind Informationen, die zur Identifizierung einer Person verwendet werden können, wie z. B. ihr Name, ihre Adresse oder ihre Sozialversicherungsnummer. Jede Information, die dazu verwendet werden kann, eine Person von einer anderen zu unterscheiden, kann als PII betrachtet werden.

PII können auf unterschiedliche Weise definiert werden, aber in der Regel handelt es sich um Informationen, die zur Bestimmung einer Person verwendet werden können, entweder allein oder in Kombination mit anderen Informationen.

Das Energieministerium definiert PII als alle Informationen, die von der Abteilung über eine Person gesammelt oder aufbewahrt werden und die zur Unterscheidung oder Rückverfolgung ihrer Identität verwendet werden könnten. Diese Informationen können den Namen einer Person, die Sozialversicherungsnummer, das Geburtsdatum und den Geburtsort, biometrische Daten und andere persönliche Informationen umfassen, die mit einer bestimmten Person verknüpft oder verknüpfbar sind. Die U.S. General Services Administration weist darauf hin, dass PII sensibler werden können, wenn sie mit anderen öffentlich verfügbaren Informationen kombiniert werden.

PII können alles umfassen, vom Namen und der Adresse einer Person bis hin zu ihren biometrischen Daten, ihrer Krankengeschichte oder ihren finanziellen Transaktionen. Um als PII zu gelten, müssen die Daten zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden können. Die Definition von PII kann von Land zu Land variieren, umfasst aber in der Regel alle Informationen, die zur Identifizierung einer Person verwendet werden können.

Nicht sensible und sensible PII-Informationen

PII können sensibel oder nicht sensibel sein.

Sensible PII

Bei sensiblen PII handelt es sich um Informationen, die zur Identifizierung einer Person verwendet werden können und die ihr möglicherweise schaden könnten, wenn sie in die falschen Hände geraten. Dazu gehören Informationen wie Sozialversicherungsnummern, Finanzinformationen und medizinische Daten.

Nicht-sensible PII

Nicht sensible personenbezogene Daten sind Informationen, die zur Identifizierung einer Person verwendet werden können, die aber wahrscheinlich nicht dazu verwendet werden, dieser Person zu schaden, wenn sie in die falschen Hände geraten. Dazu gehören Informationen wie Namen und Adressen.

Personenbezogene Daten können durch eine Kombination von Methoden erhoben werden, z. B. durch Online-Formulare, Umfragen und soziale Medien. Es ist wichtig, PII zu schützen und nur die wesentlichen Informationen zu erfassen. Bei der Erhebung von PII sollten Organisationen einen Plan haben, wie die Informationen verwendet, gespeichert und geschützt werden.

Persönlich identifizierbare Informationen Beispiele

Im Folgenden sind einige Beispiele für Informationen aufgeführt, die als personenbezogene Daten betrachtet werden können:

  • Name
  • Adresse
  • Sozialversicherungsnummer
  • Datum der Geburt
  • Nummer des Führerscheins
  • Finanzielle Informationen
  • Medizinische Unterlagen
  • E-Mail Adresse
  • I.P.-Adresse

PII-DATENVERLETZUNGEN

Bei mehreren Händlern, Finanzinstituten, Gesundheitsorganisationen und Bundesbehörden wie dem Heimatschutzministerium (Department of Homeland Security, DHS) kam es zu Datenschutzverletzungen, durch die personenbezogene Daten in Gefahr gerieten, so dass sie potenziell für Identitätsdiebstahl anfällig waren.

PII können auf verschiedene Weise für Identitätsdiebstahl verwendet werden. Diebe können sie verwenden, um neue Konten zu eröffnen, Kredite zu beantragen oder Einkäufe in Ihrem Namen zu tätigen. Sie können sie auch verwenden, um Betrug oder andere Straftaten zu begehen.

Identitätsdiebe suchen immer nach neuen Wegen, um an die persönlichen Daten von Menschen heranzukommen. Die Informationen, auf die sie es abgesehen haben, ändern sich, je nachdem, was sie damit machen wollen. So benötigen sie zum Beispiel für die Eröffnung eines Bankkontos andere Informationen als für die Einreichung eines betrügerischen Versicherungsantrags.

In manchen Fällen brauchen sie nur eine E-Mail-Adresse. In anderen Fällen sind Name, Adresse, Geburtsdatum, Sozialversicherungsnummer oder andere Informationen erforderlich. Einige Konten können sogar telefonisch oder über das Internet eröffnet werden.

Außerdem können physische Daten wie Rechnungen, Quittungen, Geburtsurkunden, Sozialversicherungskarten oder Mietinformationen gestohlen werden, wenn in die Wohnung einer Person eingebrochen wird. Die Diebe können diese Informationen gewinnbringend verkaufen. Oder sie verwenden sie selbst ohne das Wissen des Opfers. Sie verwenden beispielsweise nicht die Kreditkarte des Opfers, sondern eröffnen neue, separate Konten unter Verwendung der Daten des Opfers.

PII-Gesetze und -Verordnungen

PII werden durch eine Reihe von Gesetzen und Vorschriften geregelt, darunter der Gramm-Leach-Bliley Act, der Fair Credit Reporting Act und der Health Insurance Portability and Accountability Act.

Das Datenschutzgesetz von 1974 ist ein Bundesgesetz, das Regeln für die Sammlung, Verwendung und Offenlegung von personenbezogenen Daten durch Bundesbehörden festlegt. Das Gesetz schreibt vor, dass Bundesbehörden Einzelpersonen über ihr Recht auf Zugang zu ihren PII und deren Berichtigung informieren und Strafen für den Missbrauch von PII festlegen.

Das Informationsfreiheitsgesetz (FOIA) ist ein Bundesgesetz, das Einzelpersonen das Recht auf Zugang zu bestimmten Regierungsunterlagen gibt. Das Gesetz schreibt vor, dass Bundesbehörden ihre Unterlagen der Öffentlichkeit zugänglich machen, sofern sie nicht durch eine der Ausnahmeregelungen des Gesetzes vor der Veröffentlichung geschützt sind.

Der Gesetz über Bildungsrechte und Datenschutz (FERPA) ist ein Bundesgesetz, das die Privatsphäre von Schülerdaten schützt. Das Gesetz schreibt vor, dass Schulen Eltern und Schülern die Möglichkeit geben müssen, ihre Schulakten einzusehen und zu korrigieren, und schränkt die Offenlegung von Schulakten ohne Zustimmung ein.

Der Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) ist ein Bundesgesetz, das die Privatsphäre von Gesundheitsdaten schützt. Das Gesetz schreibt vor, dass die betroffenen Einrichtungen angemessene Maßnahmen ergreifen, um die Vertraulichkeit geschützter Gesundheitsinformationen zu wahren, und schränkt die Weitergabe geschützter Gesundheitsinformationen ohne Zustimmung ein.

GDPR PII

Die Datenschutz-Grundverordnung ersetzt die Datenschutzrichtlinie von 1995 (95/46/E.C.), die eingeführt wurde, um die Rechte der Europäer in Bezug auf ihre personenbezogenen Daten zu schützen. Sie regelt die Erfassung und Verarbeitung personenbezogener Daten (PII) durch Einzelpersonen, Unternehmen oder andere Organisationen, die in der Europäischen Union tätig sind.

Die Verordnung gilt für jedes Unternehmen, das personenbezogene Daten von Einzelpersonen in der EU verarbeitet, unabhängig davon, ob das Unternehmen innerhalb oder außerhalb der EU ansässig ist. Dies schließt auch Unternehmen mit Sitz in den USA ein, die Daten von EU-Bürgern verarbeiten, selbst wenn sich diese Bürger nicht physisch in der EU aufhalten. Die DSGVO verlangt von Unternehmen, dass sie die ausdrückliche Erlaubnis von Einzelpersonen einholen, bevor sie deren personenbezogene Daten erheben, verwenden oder weitergeben. Unternehmen sind verpflichtet, Einzelpersonen über ihre Rechte gemäß der DSGVO zu informieren und sicherzustellen, dass Einzelpersonen diese Rechte problemlos ausüben können.

Die DSGVO sieht erhebliche Geldstrafen für Unternehmen vor, die gegen ihre Bestimmungen verstoßen, darunter bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist). Die Verordnung gibt dem Einzelnen auch das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen, wenn er glaubt, dass seine Rechte verletzt wurden.

Die besten Praktiken zum Schutz von PII

  • Verschlüsselung aller PII-Daten bei der Übertragung und im Ruhezustand
  • Speicherung von PII-Daten in einer sicheren Datenbank
  • Beschränkung des Zugriffs auf personenbezogene Daten auf diejenigen, die sie benötigen
  • Sicherstellung, dass alle personenbezogenen Daten korrekt und auf dem neuesten Stand sind
  • Vernichtung von PII-Daten, wenn sie nicht mehr benötigt werden

PII PHI PCI Was ist der Unterschied?

Persönlich identifizierbare Informationen

PII hat letztlich Auswirkungen auf alle Organisationen, unabhängig von ihrer Größe und Art. PII sind alle Informationen, die zur Identifizierung einer Person verwendet werden können, z. B. Ihr Name, Ihre Adresse, Ihr Geburtsdatum, Ihre Sozialversicherungsnummer und so weiter. Sobald Sie über einen Satz von PII verfügen, können Sie diese nicht nur im Dark Web verkaufen, sondern auch für andere Angriffe verwenden. Diese Angriffe zeigen, wie Cyberkriminelle gestohlene personenbezogene Daten nutzen können, um weitere Angriffe auf Unternehmen auszuführen. Die Sicherheitsverletzungen beim Office of Personnel Management und bei Anthem sind Beispiele dafür, wo Millionen von PII entwendet und dann für Angriffe auf andere Organisationen wie die IRS verwendet wurden.

Geschützte Gesundheitsinformationen

PHI ist eine der begehrtesten Daten, die ein Cyberkrimineller im Visier hat. Sie umfassen eine Vielzahl von Informationen. PHI wird durch den Health Insurance Portability and Accountability Act (HIPAA) definiert und besteht aus allen Daten, die dazu verwendet werden können, die Identität einer Person mit ihrer Gesundheitsversorgung in Verbindung zu bringen. Eine vollständige Liste der 18 Identifikatoren, aus denen sich PHI zusammensetzen, finden Sie hier.

PHI ist ein wertvolles Gut und wird im Dark Web für mehr Geld verkauft als jeder andere Datensatz, nach Angaben des Ponemon Instituts. In Bezug auf den Schutz von PHI sind der HIPAA und die damit verbundenen Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH) bieten Leitlinien für den Schutz von PHI. Innerhalb des HIPAA gibt es die ‚Privacy Rule‘ und die Untergruppen ‚Security Rule‘, ‚Enforcement Rule‘ und ‚Breach Notification Rule‘, die sich alle mit verschiedenen Aspekten des Schutzes von PHI befassen.

Payment Card Industry Data Security Standard

PCI-DSS ist eine Reihe von Sicherheitsstandards, die zum Schutz von Karteninhaberdaten geschaffen wurden. Jede Organisation, die Karteninhaberdaten verarbeitet, speichert oder überträgt, muss diese Standards einhalten. Die Einhaltung des PCI-Standards bedeutet, dass die Verantwortung dafür übernommen wird, dass Finanzdaten in allen Phasen geschützt werden, also auch bei der Annahme, Übertragung, Speicherung und Verarbeitung von Daten.

Fazit

Skysnags automatisierte Software schützt den Ruf Ihrer Domain und hält Ihr Unternehmen von kompromittierten Geschäftsemails, Passwortdiebstahl und potenziell erheblichen finanziellen Verlusten fern. Entdecken Sie Erkenntnisse, umgehen Sie Konfigurationsprobleme bei der E-Mail-Authentifizierung, einschließlich SPF und DKIM, und schützen Sie Ihre Domain vor Spoofing durch strikte DMARC-Durchsetzung, alles autonom mit Skysnag. Beginnen Sie mit Skysnag und melden Sie sich noch heute über diesen Link für eine kostenlose Testversion an.

You might be interested in reading:

"Learn about phishing, a cyber scam where attackers impersonate trusted entities to steal personal information. Discover how phishing works and ways to protect against online security threats."
Was ist Phishing? Oktober 11, 2023
"Learn about email spoofing, a cyber attack where attackers forge sender addresses to deceive recipients. Discover how email spoofing works and how to protect against it."
Was ist E-Mail-Spoofing? Oktober 11, 2023

Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain

DMARC, SPF und DKIM in Tagen umsetzen - nicht in Monaten

Skysnag unterstützt vielbeschäftigte Ingenieure bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die E-Mail-Zustellbarkeit erhöht und E-Mail-Spoofing sowie Identitätsbetrug eliminiert.

Kostenlose Testversion starten