Proton
CJIS Compliance and how Proton secures your data

Wenn du ein Unternehmen gründest oder betreibst, das mit kriminalpolizeilichen Informationen (CJI) als Auftragnehmer von Behörden oder Strafverfolgungsbehörden arbeitet, bist du dir möglicherweise der CJIS-Konformität bewusst.

Wenn nicht, wird dir dieser Artikel helfen zu verstehen, was CJIS-Konformität ist, wer sich konform verhalten muss, und wie du auf datenschutzorientierte Tools und Dienste zugreifen kannst, damit dein Unternehmen diese Standards erfüllt.

Was ist CJIS?

Die CJIS-Sicherheitsrichtlinie(neues Fenster) ist ein Satz von Sicherheitsstandards, die von der FBI (neues Fenster)Kriminaljustiz-Informationsdienste(neues Fenster) (CJIS) Abteilung zusammengestellt wurden. Sie wurden entwickelt, um CJI in jeder Phase seines Lebenszyklus zu schützen — von der Erhebung über die Speicherung bis hin zur Weitergabe und Entsorgung.

CJIS-Konformität ist nicht nur für US-Organisationen unerlässlich, sondern auch für internationale Unternehmen, die mit der US-Strafverfolgung oder den Behörden arbeiten. Es ist zu einem Branchenstandard geworden, dass Unternehmen, die CJI handhaben, speichern oder verarbeiten, der CJIS-Sicherheitsrichtlinie entsprechen.

Welche Daten umfasst CJIS?

Es gibt viele Arten von Informationen, die unter die CJIS-Richtlinie fallen:

  • Biometrische Daten: Daten, die aus physischen oder Verhaltensmerkmalen (z.B. Fingerabdrücke, Gesichtserkennung) extrahiert werden, die Individuen identifizieren.
  • Identitätsverlaufsdaten: Textdaten, die mit biometrischen Daten verknüpft sind. Diese Daten werden oft verwendet, um eine Geschichte der kriminellen Aktivitäten zusammenzustellen.
  • Biografische Daten: Informationen, die mit einem bestimmten Fall verbunden sind, jedoch nicht unbedingt mit der Identität einer Person verknüpft sind.
  • Eigentumsdaten: Informationen über Fahrzeuge und Eigentum, die mit einem Vorfall verbunden sind.
  • Fall-/Vorfallverlauf: Die kriminelle Geschichte einer Person.
  • Personenbezogene Daten (PII): Alle Informationen, die verwendet werden können, um eine Person zu identifizieren, einschließlich Namen, Sozialversicherungsnummern und biometrische Daten

Wenn staatliche, lokale oder bundesstaatliche Strafverfolgungsbehörden kriminalpolizeiliche Informationen über das FBI abrufen, müssen geeignete Kontrollen während des gesamten Lebenszyklus angewendet werden.

Wer muss konform mit CJIS sein?

Jede Organisation, die CJI handhabt, einschließlich Strafverfolgungsbehörden, privater Auftragnehmer und Cloud-Service-Anbieter, muss die CJIS-Standards einhalten.

Obwohl es in erster Linie eine Anforderung des FBI ist, ist die CJIS-Konformität aufgrund der sensiblen Natur aller betroffenen Daten effektiv zu einem Branchenstandard geworden. Auch wenn eine Organisation nicht direkt mit dem FBI arbeitet, aber CJI handhabt, muss sie die CJIS-Standards einhalten, um den Betrieb ohne Konsequenzen fortzusetzen.

Dies erstreckt sich auf Datenbanken, Backups, Netzwerke und Geräte — wie Drucker — die mit CJI interagieren und die alle unter den CJIS-Richtlinien geschützt werden müssen.

Ein Unternehmen kann bundesstaatliche und staatliche zivil- und strafrechtliche Strafen für den unsachgemäßen Zugriff auf oder die Verbreitung von CJIS-Daten erhalten. Diese Strafen könnten Bußgelder sowie die Suspendierung, den Widerruf oder die Überwachung des Zugriffs auf CJIS(neues Fenster) umfassen.

Es ist wichtig zu beachten, dass Informationen, die von einer Regierungsbehörde gesammelt werden, die kriminalpolizeiliche Informationen (CJI) erhebt, verarbeitet oder verwendet, nicht den CJIS-Kontrollen unterliegen, es sei denn, sie wurden dem National Data Exchange (N-DEx)(neues Fenster)-System übermittelt.

Sobald sie eingereicht sind, müssen die Informationen jedoch den CJIS-Standards entsprechen. N-DEx ist ein Schlüssel-System zum Austausch von kriminalpolizeilichen Informationen zwischen Behörden, die es ermöglichen, dass diese Daten sicher und konsistent verwaltet werden.

Die Kriminaljustiz-Informationsdienste (CJIS) Audit Unit (CAU) schützt die Integrität kriminalpolizeilicher Informationen, indem sie Agenturen auditieren, die CJIS-Systeme und -Programme nutzen. Diese Agenturen umfassen(neues Fenster):

  • Staatliche CSA und Repository
  • Staatliches UCR Programmbüro
  • Bundesweite CSA
  • Bundesaufsichtsbehörde
  • Behörde in einem US-Territorium mit einer Wide Area Network-Verbindung
  • FBI-zugelassener Channeler (ein vom FBI ausgewählter Auftragnehmer, der die elektronische Einreichung von Fingerabdrücken für nichtkriminalpolizeiliche Hintergrundüberprüfungen im Auftrag eines autorisierten Empfängers erleichtert)
  • Autorisierter Empfänger von Informationen über kriminelle Verhaltensaufzeichnungen
  • Sextäterregister
  • Identitätsanbieter des Law Enforcement Enterprise Portal
  • Jede FBI-Komponente

Für die CJIS-Konformität ist Verschlüsselung entscheidend

Um auf CJIS-Datenbanken zuzugreifen, müssen Organisationen eine Reihe von Sicherheitsstandards einhalten, einschließlich der Implementierung von Zwei-Faktor-Authentifizierung (2FA), um die Identität der Benutzer zu überprüfen, strenge Zugriffskontrollen aufrechtzuerhalten, um zu beschränken, wer sensitive Daten einsehen oder ändern kann, und physische Sicherheitsmaßnahmen durchzusetzen, um Systeme und Geräte, die CJI verarbeiten, zu schützen.

Verschlüsselung ist jedoch der Schlüssel zur CJIS-Konformität.

Was ist Verschlüsselung?

Verschlüsselung ist eine Methode, um Informationen zu verschleiern, sodass niemand außer denjenigen, für die sie bestimmt sind, darauf zugreifen kann. Dies erfolgt mit Computerprogrammen, die mathematische Algorithmen verwenden, um die Informationen zu sperren und zu entsperren.

Es gibt zwei Abschnitte der CJIS-Sicherheitsrichtlinie, die ausdrücklich Verschlüsselung erwähnen:

  • Abschnitt 5.10.1.2.1: Wenn CJI außerhalb der Grenzen des physisch gesicherten Standorts übertragen wird, sind die Daten sofort durch Verschlüsselung zu schützen. Wenn Verschlüsselung eingesetzt wird, muss das verwendete kryptografische Modul FIPS 140-2-zertifiziert sein und einen symmetrischen Verschlüsselungsschlüssel mit einer Stärke von mindestens 128 Bit verwenden, um CJI zu schützen.
  • Abschnitt 5.10.1.2.2: Wenn CJI im Ruhezustand (d.h. digital gespeichert) außerhalb der Grenzen des physisch gesicherten Standorts ist, sind die Daten durch Verschlüsselung zu schützen. Wenn Verschlüsselung eingesetzt wird, sind die Agenturen verpflichtet, CJI gemäß dem Standard in Abschnitt 5.10.1.2.1 oben zu verschlüsseln oder einen Symmetrischen Chiffrierungsalgorithmus zu verwenden, der FIPS 197-zertifiziert (AES) und eine Stärke von mindestens 256 Bit aufweist.

Verschlüsselung sorgt dafür, dass CJI sowohl im Ruhezustand als auch während der Übertragung geschützt ist. Leider nutzen viele Online-Dienste, wie für Cloud-Speicher und E-Mail, keine Ende-zu-Ende-Verschlüsselung von Anfang an, was Daten während der Übertragung gefährdet.

Wir haben Proton 2014 gegründet, um diesen Bedarf zu decken. Entwickelt von Wissenschaftlern, die sich am CERN (Europäische Organisation für Kernforschung) in der Schweiz getroffen haben, sichert Proton sensible E-Mails, Dateien, Passwörter und andere Daten mit robuster Ende-zu-Ende-Verschlüsselung auf eine Weise, die auch für jedermann einfach zu verwenden ist. Heute vertrauen über 100 Millionen Benutzer, darunter Regierungen, Militäreinheiten und Fortune-500-Unternehmen, Proton, um ihre Informationen zu sichern und die Datenschutzstandards einzuhalten.

Schütze deine Daten mit Proton

Egal, ob du Informationen über Proton Mail sendest, Dateien in Proton Drive speicherst oder Anmeldedaten mit Proton Pass verwaltest, Proton hält deine Daten sicher und schützt sie vor unbefugtem Zugriff.

Privat per Standard

Wenn du Proton Mail verwendest, sind E-Mails, die innerhalb deiner Organisation gesendet werden, standardmäßig Ende-zu-Ende-verschlüsselt, was bedeutet, dass die Nachrichten und Anhänge auf deinem Gerät gesperrt werden, bevor sie an unsere Server übertragen werden, und nur vom Empfänger entsperrt und gelesen werden können. Für E-Mails an Nicht-Proton-Mail-Konten kannst du passwortgeschützte E-Mails senden und Zero-Access-Verschlüsselung schützt automatisch eingehende E-Mails. 

In jedem Fall sind Nachrichten auf unseren Servern immer verschlüsselt. Das bedeutet, dass im Fall eines Serververstoßes die E-Mails deines Unternehmens sicher und unleserlich für jeden außer dir bleiben und deine vertraulichen Informationen vor Cyberangriffen schützen.

Es ist mathematisch unmöglich für Proton, deine Nachrichten, Dateien und viele Arten von Metadaten zu entschlüsseln. (Siehe, was verschlüsselt ist.) Und da Proton in der Schweiz ansässig ist, sind die wenigen Daten über dich, die erfasst werden, durch die Schweizer Datenschutzgesetze geschützt und unterliegen nicht den Anfragen ausländischer Strafverfolgungsbehörden.

Verteidige dich gegen Hacker

Proton hat außerdem mehrere Verteidigungsebenen gegen potenzielle Cyberangriffe:

  • PhishGuard: Der PhishGuard-Filter von Proton ist darauf ausgelegt, Phishing-Versuche zu erkennen und zu kennzeichnen. Wenn ein Phishing-Angriff erkannt wird, siehst du eine Warnung.
  • Zwei-Faktor-Authentifizierung (2FA): Proton Mail bietet über ein Passwort hinaus Sicherheit mit Zwei-Faktor-Authentifizierung (2FA). Proton unterstützt mehrere 2FA-Methoden, darunter Authentifikator-Apps und physische Sicherheitsschlüssel, sodass du die bequemste und sicherste Option wählen kannst. Mit einem Proton for Business-Plan können Administratoren 2FA außerdem als Pflicht für ihre Organisationen durchsetzen, um die Sicherheit der Mitarbeiter zu stärken.
  • Proton Sentinel: Dies ist das fortschrittliche Kontoschutzprogramm von Proton, das mit einem Proton Mail Professional oder Proton Business Suite Plan erhältlich ist. Es wurde entwickelt, um maximale Sicherheit für diejenigen zu bieten, die sie benötigen, indem KI mit menschlicher Analyse kombiniert wird. Dies ist besonders nützlich, wenn du eine Führungskraft bist — oder jemand, der mit sensiblen Daten und Kommunikationen umgeht. Proton Sentinel bietet rund um die Uhr Unterstützung, um verdächtige Anmeldeversuche an Sicherheitsanalysten weiterzuleiten.

Bleibe konform mit Proton

Unser Ziel ist es, das Internet so umzugestalten, dass Menschen und Organisationen die Kontrolle über ihre Daten haben.

Der Wechsel zu Proton Mail ist einfach mit unserem Easy Switch Feature, das dir einen nahtlosen Übergang aller E-Mails, Kontakte und Kalender deiner Organisation von anderen Diensten ohne Schulung für dein Team ermöglicht.

Unser Support-Team steht ebenfalls rund um die Uhr bereit, um live Unterstützung anzubieten, falls du zusätzliche Hilfe benötigst.  Proton Mail, unsere Ende-zu-Ende-verschlüsselten E-Mails, und Proton Drive, unser Ende-zu-Ende-verschlüsselter Cloud-Speicher Dienst, machen es einfach, Datenschutz- und Datenschutzanforderungen zu erfüllen.

Die Nutzung von Proton für Business bietet zusätzliche Vorteile, darunter:

  • Proton Mail: Schütze deine Geschäftskommunikation mit Ende-zu-Ende-verschlüsselten E-Mails, die sicherstellen, dass nur du und deine vorgesehenen Empfänger deine Nachrichten lesen können.
  • Proton VPN(neues Fenster): Schütze deine Internetverbindung und schütze deine Online-Aktivitäten mit Hochgeschwindigkeits-VPN-Zugang.
  • Proton Calendar: Verwalte deinen Zeitplan mit einem verschlüsselten Kalender, der deine Geschäftstermine privat hält.
  • Proton Pass: Speichere und verwalte deine Passwörter sicher mit unserem verschlüsselten Passwort-Manager.
  • Proton Drive: Speichere und teile Dateien sicher mit Ende-zu-Ende-Verschlüsselung, um sicherzustellen, dass deine Daten privat und geschützt bleiben.

Entdecke, wie Proton die Einhaltung für deine Organisation einfach machen kann, indem du dich für Proton für Business anmeldest oder unsere Vertriebsabteilung kontaktierst für maßgeschneiderte Lösungen.

Wenn du dein Geschäft in das Proton-Ökosystem verlegst, schützst du gleichzeitig dich und die dir anvertrauten Daten, bleibst konform und hilfst, eine Zukunft aufzubauen, in der Datenschutz die Norm ist.

Verwandte Artikel

What is NIS2?
en
We look at how NIS2 will affect your organization, and at how Proton’s services can help it meet its compliance requirements. 
en
  • Privatsphäre-Richtlinien
Find out how a password manager works, what it does, and how Proton Pass keeps your private information secure.
An image of a mortarboard cap, logos for Proton Drive, Mail, VPN, Pass, and Calendar, and a password field on a blog offering student discounts for all Proton products
en
  • Produkt-Updates
  • Neuigkeiten von Proton
As students build their lives online, Proton makes it safe for them to access educational resources, communicate with each other, and share knowledge online safely.
The cover image for a blog introducing the new Pass Family plan. Text saying 'Introducing Pass Family' next to an image of a family sitting together on their laptops
en
  • Produkt-Updates
  • Proton Pass
Pass Family helps you manage the passwords and logins of up to six family members and gives you more time to spend with your family.
Salt Typhoon
en
Chinese hackers have compromised US national security by exploiting government-mandated “backdoors”. The EU should learn from this.
An illustration of a laptop with chains and a padlock on the screen to represent a ransomware attack
en
  • Privatsphäre-Richtlinien
A ransomware attack is a serious threat for an organization. Here's what they are, how to avoid them, and 11 of the most well-known incidents.