Was würdest du tun, wenn jemand versuchen würde, deine persönlichen Daten auf eine neuartige, aber bösartige Weise zu stehlen, indem er Datenschutzgesetze nutzt, die eigentlich dazu gedacht sind, die persönlichen Informationen der Menschen zu schützen?
Ohne robuste Identitätsüberprüfung bei der Bearbeitung von Anfragen zur Datenzugriff können Unternehmen unwissentlich sensible Informationen an die falschen Personen weitergeben.
Verifizierung von Verbraucheridentitäten zur Bearbeitung von Datenschutzanfragen
Die Identitätsüberprüfung wurde als eine große Schwachstelle im Prozess der Datenanfragen von Betroffenen oder Verbrauchern erkannt, die von einigen Datenschutzgesetzen eingeführt wurden, um den Menschen Zugang zu den personenbezogenen Daten zu geben, die Unternehmen über sie speichern.
Die International Association of Privacy Professionals (IAPP), die weltweit größte Gemeinschaft für Informationsdatenschutz, wies auf Seite 28 ihres kürzlich veröffentlichten Privacy Tech Vendor Report vom 15. April 2020 auf die Probleme im Zusammenhang mit der Identitätsüberprüfung hin.
In Kalifornien hat der Generalstaatsanwalt Änderungen zu Artikel 4 der California Consumer Privacy Act (CCPA) Vorschriften vorgeschlagen, um den Schutz der Identitätsüberprüfung bei der Bearbeitung von Anfragen zur Datenzugriff, -übertragung oder -löschung zu stärken. Die vorgeschlagene Regelung besagt:
„Wann immer möglich, die vom Verbraucher bereitgestellten Identifikationsinformationen mit den bereits vom Unternehmen gespeicherten persönlichen Informationen des Verbrauchers abgleichen oder einen Drittanbieter für Identitätsüberprüfung verwenden, der mit diesem Abschnitt übereinstimmt.“
Eine Lösung: Identitätsüberprüfung auslagern
Letztes Jahr habe ich meine erste IAPP-Konferenz besucht (Privacy. Security. Risk. 2019) und bin über die Ausstellungsfläche der Anbieter gegangen, um die Führungskräfte mehrerer Softwareanbieter für Datenschutzmanagement zu fragen: Wie führen Sie die Identitätsüberprüfung durch, bevor Sie eine Anfrage zur Datenzugriff oder von Verbrauchern bearbeiten?
Die häufigste Antwort war, dies an einen Drittanbieter auszulagern.
| Verwandt: Ein vollständiger Leitfaden zum Datenschutzmanagement → |
So haben wir eine neue Kategorie auf G2.com erstellt: Identitätsüberprüfungssoftware, die Identitäten mit verschiedenen Ansätzen verifizieren kann, einschließlich foto-basierter Identitätsdokumente, biometrischer Daten wie Live-Selfies und Überprüfungen gegen bekannte Identitätsbibliotheken, wie öffentliche Aufzeichnungen.
Aber wollen Unternehmen wirklich eine weitere Softwarelizenz kaufen, um die Identitätsüberprüfung zu erreichen? Sind ihre Nutzer überhaupt bereit, mehr persönliche Daten, wie ein Foto eines Führerscheins oder Reisepasses (Kopien davon können leicht auf dem Schwarzmarkt erworben werden), bereitzustellen, um Zugang zu den sensiblen persönlichen Daten zu erhalten, die das Unternehmen über sie speichert?
Und sind Unternehmen überhaupt bereit, die Risiken zu tragen, die mit der Speicherung zusätzlicher sensibler Daten einer Person verbunden sind?
Eine andere Lösung: Die eigenen Daten des Unternehmens zur Identitätsüberprüfung nutzen
Ein neuer Ansatz zur Lösung dieses Problems besteht darin, die Daten zu verwenden, die das Unternehmen bereits über die Person hat, um ihre Identität zu überprüfen. Es ist eine neuartige Idee, die keine zusätzlichen Lizenzen erfordert. Der Anbieter für Datenschutzmanagement, DataGrail, bietet ein Beispiel für diese neuartige Methode der Identitätsüberprüfung mit ihrer Smart Verification, wie in einer Pressemitteilung vom April 2020 erwähnt.
| Ein typisches, erfolgreiches Szenario der Identitätsüberprüfung mit den eigenen Daten eines Unternehmens könnte so aussehen: |
|
| Verwandt: Wie man Remote-Mitarbeiter in einem Zero Trust Sicherheitsmodell authentifiziert → |
Im Falle eines erfolglosen Szenarios der Identitätsüberprüfung wäre ein Hacker oder eine unbefugte Person nicht in der Lage, an einem der drei oben genannten Schritte weiterzukommen.
Dieses Szenario ist besonders nützlich in Fällen, in denen die Person, die Zugang zu ihren Daten anfordert, kein Benutzerkonto beim Unternehmen hat.
Wenn Sie Benutzerkonten haben, ist CIAM eine Option
Der CCPA erlaubt es Unternehmen, bestehende passwortgeschützte Konten zu verwenden, um Anfragen für Zugriff, Übertragung oder Löschung zu bearbeiten.
„Wenn ein Unternehmen ein passwortgeschütztes Konto mit dem Verbraucher unterhält, kann das Unternehmen die Identität des Verbrauchers durch die bestehenden Authentifizierungspraktiken des Unternehmens für das Konto des Verbrauchers verifizieren, vorausgesetzt, dass das Unternehmen die Anforderungen in Abschnitt 999.323 befolgt. Das Unternehmen muss auch verlangen, dass sich ein Verbraucher erneut authentifiziert, bevor es die Daten des Verbrauchers offenlegt oder löscht.“
Unternehmen, die selbstbedienbare Benutzerkonten für Kunden haben, können Formulare für den Datenzugriff oder Verbraucheranfragen direkt in die Anwendungen des Benutzerkontos einbetten, um eine nahtlose, aber sichere Methode der Benutzeridentitätsauthentifizierung zu bieten. Unternehmen können Software für das Management von Kundenidentitäten und -zugriffen (CIAM) verwenden.
CIAM-Tools helfen Unternehmen, Kundenidentitäten und -präferenzen wie Einwilligungen oder Kontaktpräferenzen in großem Maßstab zu authentifizieren und zu verwalten. Viele CIAM-Lösungen bieten erweiterte Multi-Faktor-Authentifizierungs-Funktionen wie Push-Benachrichtigungen auf mobilen Geräten, Biometrie oder QR-Codes zur Authentifizierung, die als sicherer gelten als Einmalpasswörter, die an E-Mail-Konten oder per SMS gesendet werden. Die neueste Funktion, die bei einigen CIAM-Tools aktiviert ist, ist die passwortlose Authentifizierung, die die Sicherheit für das Unternehmen erheblich verbessert, da es nun keine Passwörter mehr speichern muss. Dies reduziert die Reibung für den Endnutzer, der nun ein verbessertes Kundenerlebnis genießen kann.
| Verwandt: Der ultimative Leitfaden zur passwortlosen Authentifizierung → |
Identität ist das fehlende Glied im Vertrauensökosystem
Das „Vertrauensökosystem“ wird oft als dreibeiniger Hocker bezeichnet, der aus Sicherheit, Datenschutz und Compliance besteht. Um diesen Hocker noch sicherer zu machen, fügen Unternehmen jedoch ein zusätzliches „Bein“ namens Identität hinzu.
Angesichts des monetären Wertes, den Datenschutzbestimmungen auf sensible und personenbezogene Daten gelegt haben, ist es jetzt wichtiger denn je, sicherzustellen, dass diese Daten in den richtigen Händen bleiben, indem Identitäten verifiziert und authentifiziert werden. Wir können erwarten, dass eine zunehmende Anzahl von Identitätsunternehmen in Datenschutzlösungen involviert wird und umgekehrt, insbesondere in Bezug auf das Einwilligungsmanagement der Nutzer.
Möchten Sie mehr über Identitätsüberprüfungssoftware erfahren? Erkunden Sie Identitätsüberprüfung Produkte.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
