Die Statistiken über Datenschutzverletzungen sind ernüchternd: Wenn Sie diesen Blog regelmäßig lesen, werden Sie festgestellt haben, dass Datenschutzverletzungen häufig sind und oft mit einem Social-Engineering-Angriff beginnen, der durch Phishing ergänzt wird.
Im Jahr 2021 stellte Cisco fest, dass 90 % der Datenschutzverletzungen mit Phishing beginnen, wobei sich die meisten dieser Verletzungen auf gezieltes Spear-Phishing stützen. Ein Cyberangriff oder sogar ein Unfall, der zu Datenverlusten führt, hat viele Konsequenzen. Doch was geschieht nach einer Datenpanne? Irgendjemand muss in der Regel die Verantwortung dafür übernehmen, dass Cyberkriminellen Tür und Tor geöffnet wurden. Wer trägt also die Verantwortung, wenn es zu einer Datenpanne kommt?
Die von einer Datenpanne betroffenen Personen
Eine Datenpanne hat weitreichende Auswirkungen auf die Menschen in einem Unternehmen. Ein Cyberangriff berührt das Herz eines Unternehmens, von der obersten Führungsebene bis hin zu den Mitarbeitern in der Produktion:
Der Geschäftsführer
Der CEO spielt eine wesentliche Rolle dabei, wie die Cybersicherheit in der Organisation gesehen wird. Eine Sicherheitskultur kommt von oben nach unten, und eine Datenpanne spiegelt eine Lücke in dieser Kultur wider. CEOs stehen auch im Visier von Cyberkriminellen. Betrügereien wie CEO-Fraud und Business Email Compromise (CEO) nutzen die Autorität eines CEOs, um Betrug zu begehen.
Der Analyst Gartner fasst die Situation zusammen, indem er vorhersagt, dass bis 2024 75 % der CEOs persönlich für Datenschutzverletzungen im Bereich der Cyber-Physik haftbar gemacht werden könnten, wenn ihr Unternehmen sich nicht auf die Cybersicherheit konzentriert oder nicht ausreichend in diese investiert. Wenn es zu einer Datenschutzverletzung kommt, muss ein CEO bereit sein, die Situation zu bewältigen und die Auswirkungen auf das Unternehmen zu mildern.
Der Leiter der Sicherheitsabteilung oder CISO (Chief Information Security Officer)
Der Sicherheitschef ist die erste Anlaufstelle, wenn etwas in Sachen Sicherheit schief läuft. In einer Tripwire-Umfrage gaben 21 % der IT-Entscheidungsträger dem CISO die Schuld an einem Sicherheitsverstoß. Dies ist kaum verwunderlich, da die Aufgabe eines CISO darin besteht, Entscheidungen über die besten Sicherheitspraktiken zu treffen und deren Durchsetzung zu überwachen.
Wenn also eine Datenschutzverletzung auftritt, ist der CISO oder der Sicherheitschef derjenige, der zusammen mit seinem Team die Scherben aufsammelt.
Das Sicherheits- oder IT-Team
Die Mitglieder von IT- oder Sicherheitsteams stehen an der Seite ihrer Manager an vorderster Front, wenn eine Datenschutzverletzung auftritt. Es ist ihre Aufgabe, eine Datenschutzverletzung zu erkennen und darauf zu reagieren. Dies geschieht entweder intern oder durch einen externen Anbieter von verwalteten Sicherheitsdiensten. Es kann jedoch lange dauern, bis eine Sicherheitsverletzung erkannt wird.
So ergab eine IBM-Umfrage, dass es im Durchschnitt 212 Tage dauert, eine Sicherheitsverletzung zu entdecken, und 75 Tage, sie einzudämmen. Das bedeutet viel Arbeit für IT- und Sicherheitspersonal, die sie von der Arbeit an Kernprojekten abhält.
Compliance-Beauftragter
Der Compliance-Beauftragte steht nach einer Datenschutzverletzung unter enormem Druck. Es ist seine Aufgabe, dafür zu sorgen, dass die Vorschriften nach einer Datenschutzverletzung eingehalten werden. Dies bedeutet, dass er sich mit der Aufsichtsbehörde in Verbindung setzen muss, um sie über die Datenverletzungen zu informieren. Je nach den Auswirkungen der Verletzung und den gesetzlichen Bestimmungen kann dies innerhalb von 24 Stunden nach der Entdeckung der Verletzung erfolgen.
Die Compliance-Beauftragten müssen sich auch mit den weitreichenden Folgen einer Datenschutzverletzung befassen, einschließlich der Benachrichtigung von Kunden und Presse. Schließlich ist es die Aufgabe des Compliance-Beauftragten, mit dem CISO und anderen Personen zusammenzuarbeiten, um die Situation, die zu der Datenschutzverletzung geführt hat, zu bereinigen und zu verhindern, dass sie sich wiederholt.
Marketing und PR
Marketing mag als völlig außerhalb des Aufgabenbereichs einer Reaktion auf eine Datenschutzverletzung erscheinen, aber Marketing und PR müssen zunehmend eine Rolle spielen. Peinlichkeiten und eine schädliche Exposition der Marke sind oft die Folge einer Datenschutzverletzung.
Ein Bericht über die finanziellen Kosten eines Cyberangriffs ergab, dass 71 % der CMOs davon überzeugt sind, dass die höchsten Kosten eines Sicherheitsvorfalls der Verlust des Markenwerts ist. Außerdem ergab eine Umfrage von Okta und YouGov, dass 39 % der britischen Arbeitnehmer das Vertrauen in ein Unternehmen verloren haben, das ihre Daten missbraucht hat.
Wenn es zu einer Datenpanne kommt, ist das Vertrauen gebrochen. Dies hat erhebliche Auswirkungen auf das Marketing und die PR eines Unternehmens. Die Vermarkter in einem Unternehmen müssen daran arbeiten, die Auswirkungen einer Datenschutzverletzung auf die Marke eines Unternehmens zu beheben.
Mitarbeiter
Die unmittelbare Verantwortung für die Verhinderung und die Folgen einer Datenschutzverletzung mag bei der Geschäftsleitung liegen. Doch auch die Mitarbeiter sind betroffen: Von einem Rückgang der Arbeitsmoral über ein erhöhtes Stressniveau bis hin zu Disziplinarmaßnahmen wegen versehentlicher Datenexposition sind die Mitarbeiter Teil des breiteren Verantwortungsspektrums einer Datenschutzverletzung. Daher müssen die Mitarbeiter in eine allgemeine Sicherheitskultur eingebunden werden, um sie zu befähigen.
Folgen von Datenschutzverletzungen im realen Leben
Zu den Auswirkungen einer Datenschutzverletzung gehören nicht nur finanzielle Folgen; die Mitarbeiter sind materiell betroffen, verlieren oft ihren Arbeitsplatz, und einige können sogar im Gefängnis landen. In einem Bericht von Shred-IT aus dem Jahr 2018 wurde beispielsweise festgestellt, dass 30 % der britischen Unternehmen, die von einer Datenschutzverletzung betroffen waren, den Vertrag eines Mitarbeiters wegen Fahrlässigkeit kündigten.
Einige Beispiele jüngster Datenschutzverletzungen, die zeigen, wie weitreichend die Auswirkungen auf eine Organisation sind und wer am Ende die Schuld trägt, sind:
Uber: Der Autovermieter erlitt 2016 eine Datenpanne, von der 57 Millionen Kunden betroffen waren. Der Sicherheitschef von Uber (Joe Sullivan) versäumte es jedoch, die Sicherheitsverletzung offenzulegen. Stattdessen soll der Sicherheitschef seine Mitarbeiter angewiesen haben, das Wissen über die Sicherheitsverletzung "streng zu kontrollieren" und den Vorfall als Teil eines Bug-Bounty-Programms zu präsentieren. Sullivan ging sogar so weit, den Hackern 100.000 Dollar als Teil des "Bug Bounty"-Programms zu zahlen, wobei die Hacker zustimmten, als Teil des Deals Vertraulichkeitsvereinbarungen zu unterzeichnen.
Das Ergebnis all dieser Täuschungsmanöver hat sowohl Uber als auch den Sicherheitschef in den Ruin getrieben. Sullivan wurde vor kurzem für schuldig befunden, die Sicherheitsverletzung nicht offengelegt zu haben, und muss mit einer Höchststrafe von fünf Jahren Gefängnis wegen Behinderung und drei Jahren wegen falscher Anschuldigungen rechnen. Uber wurde 2018 zu einer Geldstrafe in Höhe von 148 Millionen US-Dollar (130 Millionen Pfund) verurteilt.
DWP (Department for Work and Pensions): 2010 wurden 26 Mitarbeiter entlassen, weil sie in persönlichen Daten geschnüffelt hatten. Die Daten waren im Kundeninformationssystem (CIS) des Ministeriums für Arbeit und Renten (DWP) gespeichert. Die Probleme wurden auf ein "laxes Sicherheitssystem" mit mangelhaften Verfahren zur Weiterverfolgung von Benachrichtigungen und Warnungen zurückgeführt.
Singhealth: Eine Datenpanne bei Singhealth im Jahr 2018 betraf 1,5 Millionen Patienten. Infolgedessen wurden zwei Mitarbeiter, der Leiter des Citrix-Teams und der Manager für die Reaktion auf Sicherheitsvorfälle, für fahrlässig befunden und folglich entlassen. Außerdem wurden gegen fünf leitende Angestellte, darunter den CEO, persönliche Geldstrafen verhängt.
Wie man die persönlichen Folgen einer Datenpanne vermeidet
Daten gehen jeden etwas an, und die Sicherheit der Daten sollte ein fester Bestandteil der Sicherheitsstrategie sein. Dies ist möglich, wenn ein Unternehmen daran arbeitet, eine Sicherheitskultur zu entwickeln, die das gesamte Unternehmen durchdringt. Wie hier gezeigt wird, sind wir alle von den Folgen einer Datenschutzverletzung betroffen.
Diese Folgen lassen sich jedoch durch die Schaffung einer Sicherheitskultur eindämmen, in der alle Mitarbeiter des Unternehmens darüber aufgeklärt werden, wie Cyberkriminelle vorgehen, welche Rolle sie bei der Datensicherheit spielen und wie sie Phishing-Versuche erkennen können.
