Datenpanne: Wer trägt den Schaden?

Die Statistiken über Datenschutzverletzungen sind ernüchternd: Wenn Sie diesen Blog regelmäßig lesen, werden Sie festgestellt haben, dass Datenschutzverletzungen häufig sind und oft mit einem Social-Engineering-Angriff beginnen, der durch Phishing ergänzt wird.

Im Jahr 2021, Cisco hat festgestellt, dass 90 % der Datenschutzverletzungen mit Phishing beginnen, wobei die meisten dieser Verletzungen auf gezieltes Spear-Phishing beruhen. Ein Cyberangriff oder sogar ein Unfall, der zu Datenverlusten führt, hat viele Konsequenzen. Aber was passiert nach einem Datenverlust? Irgendjemand muss in der Regel die Verantwortung dafür übernehmen, dass die Tür für Cyberkriminelle offen steht. Wer trägt also die Verantwortung, wenn Daten verletzt werden?

Die von einer Datenpanne betroffenen Personen

Eine Datenpanne hat weitreichende Auswirkungen auf die Menschen in einem Unternehmen. Ein Cyberangriff berührt das Herz eines Unternehmens, von der obersten Führungsebene bis hin zu den Mitarbeitern in der Produktion:

Der CEO

Ein CEO spielt eine wesentliche Rolle dabei, wie die Cybersicherheit in einem Unternehmen gesehen wird. Eine Sicherheitskultur kommt von oben nach unten, und eine Datenpanne spiegelt eine Lücke in dieser Kultur wider. CEOs sind auch im Visier von Cyberkriminellen, die mit Betrügereien wie  CEO-Betrug und Business Email Compromise (CEO) unter Ausnutzung der Befugnisse eines CEOs, um Betrug zu begehen. 

Der Analyst Gartner fasst die Situation zusammen, indem er vorhersagt, dass bis 2024 75 % der CEOs persönlich für Datenschutzverletzungen haften könnten, wenn sich ihr Unternehmen nicht auf die Cybersicherheit konzentriert oder nicht ausreichend in diese investiert. Wenn es zu einer Datenpanne kommt, muss ein CEO darauf vorbereitet sein, die Situation zu bewältigen und die Auswirkungen auf das Unternehmen zu mildern.

Der Leiter der Sicherheitsabteilung oder CISO (Chief Information Security Officer)

Der Sicherheitschef ist die erste Anlaufstelle, wenn ein sicherheitsrelevantes Problem auftritt. In einer  Tripwire-Umfrage würden 21% der IT-Entscheidungsträger die Schuld für einen Sicherheitsverstoß dem CISO zuschieben. Dies ist kaum überraschend, da die Aufgabe eines CISO darin besteht, Entscheidungen über die besten Sicherheitspraktiken zu treffen und deren Durchsetzung zu überwachen.

Wenn es also zu einer Datenschutzverletzung kommt, ist der CISO oder der Sicherheitschef derjenige, der zusammen mit seinem Team die Scherben aufsammelt.

Das Sicherheits- oder IT-Team

Die Mitglieder des IT- oder Sicherheitsteams stehen an der Seite ihrer Manager an vorderster Front, wenn es um eine Datenverletzung geht. Es ist ihre Aufgabe, eine Datenschutzverletzung zu erkennen und darauf zu reagieren. Dies geschieht entweder intern oder durch einen externen Anbieter von verwalteten Sicherheitsdiensten. Es kann jedoch lange dauern, bis ein Verstoß erkannt wird.

Zum Beispiel, ein Die IBM-Studie ergab, dass es im Durchschnitt 212 Tage dauert, einen Verstoß zu entdecken und 75 Tage, ihn einzudämmen. Das bedeutet viel Arbeit für IT- und Sicherheitspersonal, die sie von der Arbeit an Kernprojekten abhält.

Compliance-Beauftragter

Der Compliance-Beauftragte steht nach einem Datenschutzverstoß unter enormem Druck. Es ist seine Aufgabe, dafür zu sorgen, dass die Vorschriften nach einem Datenschutzverstoß eingehalten werden. Das bedeutet, dass er sich mit der Aufsichtsbehörde in Verbindung setzen muss, um sie über die Datenverletzungen zu informieren. Je nach den Auswirkungen des Verstoßes und den gesetzlichen Bestimmungen kann dies innerhalb von 24 Stunden nach der Entdeckung des Verstoßes erfolgen.

Compliance-Beauftragte müssen sich auch mit den weitreichenden Folgen eines Verstoßes befassen, einschließlich der Benachrichtigung von Kunden und Presse. Schließlich ist es die Aufgabe des Compliance-Beauftragten, mit dem CISO und anderen Personen zusammenzuarbeiten, um die Situation, die zu der Datenschutzverletzung geführt hat, zu bereinigen und zu verhindern, dass sie sich wiederholt.

Marketing und PR

Das Marketing mag völlig außerhalb des Aufgabenbereichs einer Reaktion auf eine Datenschutzverletzung liegen, aber Marketing und PR müssen zunehmend eine Rolle spielen. Peinlichkeiten und eine schädliche Exposition der Marke sind oft die Folge einer Datenschutzverletzung.

Ein Bericht über die finanziellen Kosten eines Cyberangriffs ergab, dass 71% der CMOs davon überzeugt sind, dass die höchsten Kosten eines Sicherheitsvorfalls der Verlust des Markenwerts ist. Außerdem ergab eine Umfrage von Okta und YouGov, dass 39 % der britischen Arbeitnehmer das Vertrauen in ein Unternehmen verloren haben, das ihre Daten missbraucht hat.

Das Vertrauen ist gebrochen, wenn eine Datenpanne auftritt. Dies hat erhebliche Auswirkungen auf das Marketing und die PR eines Unternehmens. Die Marketingexperten in einem Unternehmen müssen daran arbeiten, die Auswirkungen einer Datenschutzverletzung auf die Marke eines Unternehmens zu beheben.

Mitarbeiter

Die unmittelbare Verantwortung für die Verhinderung und die Folgen eines Datenschutzverstoßes mag bei der Geschäftsleitung liegen. Doch auch die Mitarbeiter sind betroffen: Von einem Rückgang der Arbeitsmoral über ein erhöhtes Stressniveau bis hin zu Disziplinarmaßnahmen wegen versehentlicher Datenweitergabe sind die Mitarbeiter Teil des breiteren Verantwortungsspektrums einer Datenverletzung. Daher müssen die Mitarbeiter Teil einer allgemeinen Sicherheitskultur sein, die sie befähigt.

Folgen von Datenschutzverletzungen im wirklichen Leben

Die Auswirkungen eines Datenschutzverstoßes umfassen nicht nur finanzielle Folgen. Die Mitarbeiter sind materiell betroffen, verlieren oft ihren Arbeitsplatz und einige können sogar im Gefängnis landen. Zum Beispiel, ein  Ein Bericht von Shred-IT aus dem Jahr 2018 ergab, dass 30 % der britischen Unternehmen, die von einer Datenschutzverletzung betroffen waren, den Vertrag eines Mitarbeiters wegen Fahrlässigkeit kündigten.

Einige Beispiele aktueller Datenschutzverletzungen, die zeigen, wie weitreichend die Auswirkungen auf ein Unternehmen sind und wer am Ende den Schaden trägt, sind:

Uber: Der Autovermieter erlitt 2016 eine Datenpanne, von der 57 Millionen Kunden betroffen waren. Der Sicherheitschef (Joe Sullivan) von Uber versäumte es jedoch, den Verstoß offenzulegen. Stattdessen hat der Sicherheitschef  Sullivan soll seine Mitarbeiter angewiesen haben, das Wissen über den Einbruch „streng zu kontrollieren“ und den Vorfall als Teil eines Bug Bounty Programms zu präsentieren. Sullivan ging sogar so weit, die Hacker zu bezahlen  $100.000 als Teil des ‚Bug Bounty‘, wobei die Hacker als Teil des Deals Vertraulichkeitsvereinbarungen unterzeichnen.

Das Ergebnis all dieser Täuschungsmanöver hat sowohl Uber als auch den Sicherheitschef am Boden zerstört. Sullivan wurde kürzlich  für schuldig befunden, den Verstoß nicht offengelegt zu haben. Ihm drohen bis zu fünf Jahre Haft wegen Behinderung und drei Jahre wegen falscher Anschuldigung. Was Uber betrifft, so wurde das Unternehmen  im Jahr 2018 eine Geldstrafe von 148 Millionen Dollar (130 Millionen Pfund).

DWP (Department for Work and Pensions): 2010 wurden 26 Mitarbeiter entlassen, weil sie „in persönlichen Daten geschnüffelt“ hatten. Die Daten waren im Kundeninformationssystem (CIS) des Department for Work and Pensions (DWP) gespeichert. Die Probleme wurden auf ein „laxes Sicherheitssystem“ mit mangelhaften Verfahren zur Verfolgung von Benachrichtigungen und Warnungen zurückgeführt.

Singhealth: Eine Datenpanne bei Singhealth im Jahr 2018 betraf 1,5 Millionen Patienten. Infolgedessen wurden zwei Mitarbeiter, der Leiter des Citrix-Teams und der Manager für die Reaktion auf Sicherheitsvorfälle, für fahrlässig befunden und folglich entlassen. Außerdem wurden gegen fünf leitende Angestellte, darunter der CEO, persönliche Geldstrafen verhängt.

Wie Sie die persönlichen Folgen einer Datenpanne vermeiden können

Daten gehen jeden etwas an, und die Sicherheit von Daten sollte ein wesentlicher Bestandteil Ihrer Sicherheitsstrategie sein. Dies ist möglich, wenn ein Unternehmen daran arbeitet, eine Sicherheitskultur zu entwickeln, die das gesamte Unternehmen durchdringt. Wie hier gezeigt wird, tragen wir alle die Folgen einer Datenpanne.

Diese Folgen können jedoch durch die Schaffung einer Sicherheitskultur kontrolliert werden, in der jeder im Unternehmen darüber aufgeklärt wird, wie Cyberkriminelle vorgehen, welche Rolle sie bei der Datensicherheit spielen und wie sie Phishing-Versuche erkennen können.