Feodora - stock.adobe.com

Wie schützen Unternehmen ihre Kundendaten?

Unternehmen können Kundendaten durch verschiedene technische Hilfsmittel, wie Authentifizierung und Verschlüsselung, schützen. Einige Kundendaten benötigen mehr Schutz als andere.

Datenschutzverletzungen sind für viele Unternehmen zur alltäglichen Realität geworden, deren Kunden die Auswirkungen von Identitätsdiebstahl und anderen betrügerischen Aktivitäten zu spüren bekommen.

Geschäftstätigkeiten erfordern den Austausch von Kundendaten. Unternehmen, die den Schutz von Kundendaten ernst nehmen, können Vertrauen zwischen sich und ihren Kunden aufbauen. Um Kundendaten zu schützen, müssen Unternehmen Vorschriften einhalten und in Technologien investieren, welche die Sicherheit erhöhen, um ihre Abläufe und Kundenbeziehungen zu verbessern.

Welche Art von Kundendaten müssen gesichert werden?

Wenn Unternehmen ihre Datensicherheitsrichtlinien ausarbeiten, sollten sie dem Schutz der folgenden Arten von Kundendaten Priorität einräumen:

Persönlich identifizierende Informationen (PII). PII bezieht sich auf Informationen, die die Identität einer Person allein oder zusammen mit anderen persönlichen oder identifizierenden Informationen, die mit dieser Person in Verbindung stehen, unterscheiden oder zurückverfolgen können.

Persönliche Informationen (PI). PI können direkt oder indirekt eine Person oder einen Haushalt identifizieren, sich auf sie beziehen oder sie beschreiben. Persönliche Informationen sind relativ weit gefasst und können Daten umfassen, die mit der Identität einer Person verbunden sind. Sie können sich mit PII überschneiden.

Sensible persönliche Informationen (SPI). SPI wurden unter anderem im Rahmen des California Privacy Rights Act – einer Änderung des California Consumer Privacy Act (CCPA) – in das Lexikon des Datenschutzes aufgenommen. SPI umfassen personenbezogene Daten, die eine Person nicht direkt identifizieren, die aber Schaden anrichten können, wenn sie veröffentlicht werden. Es schützt auch Minderjährige und ihre persönlichen Informationen.

Nicht-öffentliche persönliche Informationen (NPI). Dies sind sensible Informationen, die unter anderem durch den Gramm-Leach-Bliley Act in den USA definiert wurden. Das US-Gesetz reguliert speziell Finanzdienstleistungsinstitute und umfasst Informationen, die sie direkt von Kunden oder durch Transaktionen erhalten. NPI beinhalten keine öffentlich zugänglichen Informationen.

PII, PI, SPI und NPI im Vergleich
Abbildung 1: Erfahren Sie, welche Arten von Daten als PII, PI, SPI oder NPI gelten.

Richtlinien und Vorschriften zum Datenschutz

Die beiden bekanntesten Richtlinien zum Schutz von Kundendaten sind die EU-Datenschutz-Grundverordnung (EU-DSGVO) und der California Consumer Privacy Act (CCPA). Darüber hinaus gibt es in mindestens 25 Staaten Datenschutzgesetze, die sich auf Unternehmen in privatem und öffentlichem Besitz beziehen.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-DSGVO legt Richtlinien für Unternehmen fest, die personenbezogene Daten von Personen, die in der Europäischen Union leben, sammeln und verarbeiten. Die DSGVO gilt unabhängig davon, wo Websites ihren Sitz haben. Das bedeutet, dass alle Websites, die europäische Besucher anziehen, diese Richtlinien befolgen müssen, auch wenn sie nicht speziell Waren oder Dienstleistungen für EU-Bürger anbieten.

California Consumer Privacy Act (CCPA)

Der CCPA trat am 1. Januar 2020 in Kraft und ist die strengste Datenschutzvorschrift der Vereinigten Staaten für Verbraucherrechte. Sie zielt darauf ab, die Rechte der in Kalifornien ansässigen Verbraucher in Bezug auf die Art und Weise zu schützen, wie Unternehmen persönliche Daten – in erster Linie personenbezogene Daten – sammeln, verwenden, speichern und verkaufen.

Um Kundendaten zu schützen, können Unternehmen folgende Schritte unternehmen:

  • Sammeln Sie nur Daten, die für die Geschäftsabwicklung mit den Kunden unerlässlich sind.
  • Schränken Sie ein, wer auf Kundendaten zugreifen kann.
  • Erhöhen Sie die Cybersicherheit und kontrollieren Sie den Zugriff durch Tools zur Passwortverwaltung.
  • Implementieren Sie eine solide Datenmanagementstrategie und speichern Sie die Daten an einem zentralen Ort.
  • Legen Sie Mindestsicherheitsstandards fest, an die sich das Unternehmen halten muss. Zum Beispiel muss jedes Tool entweder ISO 27001 oder Service Organization Control 2 (SOC 2) entsprechen.

Technologie zum Schutz von Kundendaten

Bevor Unternehmen in Sicherheitstechnologien investieren, sollten sie feststellen, ob sie bereits über interne Sicherheitsvorkehrungen zum Schutz von Daten verfügen. Zu diesen Sicherheitsvorkehrungen gehören zum Beispiel:

  • CRM-Plattformen können Kundendaten an einem zentralen Ort verwalten. Die Systeme können berücksichtigen, wo sich die Daten befinden, und vermeiden die Speicherung von Daten in verschiedenen Bereichen.
  • Zwei-Faktor-Authentifizierung (2FA) verlangt von Kunden die Verwendung von Kurzzeit-Passwörtern oder -Codes – von Minuten bis zu einigen Tagen – in Verbindung mit Langzeit-Passwörtern. 2FA kann die Zahl der Sicherheitsverletzungen im Zusammenhang mit kompromittierten Passwörtern verringern.

Neben CRM-Anwendungen und 2FA sollten Unternehmen auch Verschlüsselung, integrierten Malware-Schutz und Blockchain in Betracht ziehen, um Kundendaten zu schützen.

Verschlüsselung

Verschlüsselung ist eine gängige Methode, um Kundendaten vor bösartigen Akteuren zu schützen, und Unternehmen können zwischen verschiedenen Arten der Verschlüsselung wählen:

  • Die Verschlüsselung auf Dateiebene kann Daten während der Übertragung schützen und Hackern den Zugriff auf Cloud-Software oder Ressourcen erschweren. Zu den Anbietern gehören McAfee und Microsoft. Unternehmen mit lokaler Hardware sollten ein Festplattenverschlüsselungsangebot wie Apple FileVault 2 verwenden.
  • Advanced Encryption Standard (AES) 256 verwendet einen 256-Bit-Schlüssel, um Daten zu ver- und entschlüsseln. Viele Experten betrachten ihn als Standard für Blockchiffren. Zu den Anbietern gehören IBM und Microsoft.
  • Die Verschlüsselung im portablen Modus ist eine Art der Verschlüsselung auf Dateiebene. Einige Mitarbeiter verwenden Geräte wie Schlüsselanhänger und USB-Laufwerke, um Dateien zu speichern, was dazu führen kann, dass Unternehmen Schwierigkeiten haben, Sicherheitsprotokolle für diese Geräte durchzusetzen. Der portable Modus schützt vor Sicherheitsverletzungen, wenn ein USB-Stick oder eine tragbare Festplatte verloren geht oder gestohlen wird. Zu den Anbietern gehören TruPax und Kaspersky.

Malware-Schutz

Cyberkriminelle können Daten ohne das Wissen des Benutzers stehlen. Der Malware-Schutz, auch bekannt als Virenschutz oder Antivirensoftware, fungiert als Firewall, die Unternehmen für zusätzliche Gerätesicherheit in ihre bestehende Software integrieren können. Zu den Anbietern gehören Bitdefender und McAfee.

Blockchain-Technologie

Blockchain ermöglicht es Kunden, das Eigentum an ihren Daten ohne Genehmigungen, Kontrollen und Autorisierungen zu übernehmen. Außerdem ist Blockchain für seine Fähigkeit bekannt, Daten über eine Reihe von Netzwerken hinweg zu speichern, ohne dass ein zentraler Standort erforderlich ist. Zu den Anbietern gehören IBM, Microsoft und Accubits.

Erfahren Sie mehr über Business-Software