Wie man mit einer Datenpanne umgeht

Es vergeht kaum eine Woche, in der nicht eine Datenschutzverletzung Schlagzeilen macht. Cyberkriminelle haben Phishing zur Normalität gemacht, und große Mengen gestohlener Daten sind das Ergebnis.

Ein kürzlich veröffentlichter Bericht der Sicherheitsindustrie ISACA zeigt, dass weniger als ein Viertel der britischen Verbraucher das Gefühl haben, dass Unternehmen ihre persönlichen Daten schützen. Der Bericht weist auch auf die realen Auswirkungen von Datenverlusten hin. Fast die Hälfte der Verbraucher gibt an, dass sie nicht mehr mit einem Unternehmen zusammenarbeiten würden, das eine Datenschutzverletzung erlitten hat.

Verlorene Daten bedeuten verlorene Kunden, hohe Geldstrafen und Rufschädigung. Es ist wichtig zu wissen, wie man mit einer Datenpanne umgeht, wenn sie eintritt.

Hier finden Sie unsere besten Tipps für den Umgang mit einer Datenschutzverletzung.

Persönliche Informationen und Datenschutz

Personenbezogene Daten sind alle Daten, die zur Identifizierung einer Person verwendet werden können. Zum Beispiel Name, Adresse, Alter, E-Mail-Adresse, Telefonnummer und so weiter. Diese Daten sind für Cyberkriminelle wie Goldstaub und können schon durch eine einfache versehentliche Offenlegung gefährdet werden.

Persönliche Daten müssen gemäß verschiedener Datenschutz- und Privatsphäre-Vorschriften geschützt werden. Zum Beispiel, das Vereinigte Königreich  Der Data Protection Act 2018 (DPA2018) beschreibt die Datenschutzregeln, die sicherstellen sollen, dass personenbezogene Daten sicher sind. Die Grundprinzipien des DPA2018 sind, dass Daten sein müssen:

• fair, rechtmäßig und transparent verwendet werden
• für bestimmte, eindeutige Zwecke verwendet werden
• in einer Weise verwendet werden, die angemessen und relevant ist und sich auf das Notwendige beschränkt
• genau und, falls erforderlich, auf dem neuesten Stand sind
• nicht länger als nötig aufbewahrt werden
• in einer Weise gehandhabt werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unrechtmäßiger oder unbefugter Verarbeitung, Zugriff, Verlust, Zerstörung oder Beschädigung

Die DPA 2018 wird manchmal mit der GDPR der EU verglichen. Daher wird DPA2018 auch als UK GDPR bezeichnet. Es gibt einige Unterschiede zwischen der DPA 2018/UK GDPR und der EU GDPR, z. B. ist die Verarbeitung strafrechtlicher Daten im Vereinigten Königreich weniger streng. Auch die legitimen Gründe für die Profilerstellung sind im Vereinigten Königreich weniger streng als in der EU.

Beide verlangen jedoch, dass personenbezogene Daten geschützt werden, und dass bestimmte Bedingungen nach einem Verstoß erfüllt werden müssen. Dazu gehören Regeln für die Meldung von Verstößen und mögliche Geldstrafen bei Nichteinhaltung.

Wie kommt es zu einer Datenpanne?

Wo immer Daten erstellt, gespeichert, weitergegeben oder verwendet werden, besteht die Gefahr, dass sie gestohlen oder versehentlich preisgegeben werden. Eine Vielzahl von Cyber-Bedrohungen führt zu Datenschutzverletzungen, darunter:

• Phishing – Betrüger stehlen Daten direkt über bösartige Websites. Alternativ verwenden Cyberkriminelle Spear-Phishing, um Anmeldedaten zu stehlen. Diese Anmeldedaten werden dann verwendet, um Zugang zu Unternehmensnetzwerken und Anwendungen zu erhalten. Sogar  Mitarbeiteranmeldeinformationen ohne Privilegien können zu Datenbankhacks und massiven Datenverletzungen führen.
• Social Engineering – Cyberkriminelle bringen Mitarbeiter dazu, persönliche Daten preiszugeben, die sie dann für weitere Verbrechen nutzen. Die Betrüger nutzen viele Medien, um Social Engineering durchzuführen, darunter Telefonanrufe und soziale Medien. Diese Angriffe können letztendlich zu größeren Datenverletzungen führen.
• Falsch konfigurierte Webkomponenten – einfache Konfigurationsfehler können Webserver und Datenbanken für Hacker angreifbar machen.
• Software-Schwachstellen – Fehler im Software-Code können Datenbanken, Webserver und andere Software anfällig für Angriffe machen. Oft werden Software-Schwachstellen zusammen mit anderen Angriffsmethoden wie Phishing genutzt, um Malware wie Ransomware zu installieren. Dies führt dann zu größeren Datenverstößen.
• Malware-Infektion – alle oben genannten Techniken und Taktiken können zu einer Malware-Infektion führen. Malware kann zum Beispiel dazu führen, dass Daten an einen Cyberkriminellen weitergegeben werden, der sie auf einem Dark Web-Marktplatz zum Verkauf anbietet. Oder sie kann zu einer Ransomware-Infektion führen. Ransomware stiehlt oft Daten, bevor sie sie verschlüsselt und versucht, sie zu erpressen.
• Unbeabsichtigte Datenschutzverletzungen – persönliche Daten sind nicht nur durch Cyberkriminelle gefährdet. Die versehentliche Offenlegung von Daten ist eine Form der Datenverletzung, die durch einfache Fehler und unbedachte Handlungen entstehen kann.

Der Bericht The Cost of a Data Breach 2022 von IBM hat ergeben, dass:

• Die wichtigsten Angriffsvektoren, die zu einem Datenschutzverstoß führen, sind: gestohlene oder kompromittierte Zugangsdaten (19 % der Verstöße), Phishing (16 % der Verstöße) und eine falsche Konfiguration der Cloud (15 % der Verstöße). Alle diese Vektoren können durch menschliches Versagen verursacht werden. Ein Mitarbeiter merkt beispielsweise nicht, dass er gephisht wird und klickt auf einen bösartigen Link, der zu gestohlenen Zugangsdaten führt.

Ähnliche Zahlen stammen aus dem Verizon Data Breach Investigation Report für das Jahr 2022:

• 82% der Einbrüche gehen auf das Konto eines Menschen, der z.B. zu einem bestimmten Zeitpunkt auf einen Phishing-Link klickt.
• 62% der Datenschutzverletzungen betreffen Anbieter in der Lieferkette. Auch hier setzten die Angreifer Social-Engineering-Taktiken ein, um Drittanbieter ins Visier zu nehmen und Unternehmen weiter oben in der Kette anzugreifen.

Der Schaden, den Hacker anrichten können

Betrüger nutzen persönliche Informationen, um eine Vielzahl von Cyberkriminalität zu begehen. Zum Beispiel Identitätsdiebstahl: Großbritanniens  Die CIFAS National Fraud Database verzeichnete in der ersten Hälfte des Jahres 2021 einen Anstieg des Identitätsdiebstahls um 11%. Darüber hinaus verzeichnete CIFAS im Jahr 2022 ein noch deutlicheres Wachstum: Die Fälle von Identitätsdiebstahl stiegen im Vergleich zu den Zahlen von 2021 um ein Drittel.

Identitätsdiebstahl führt zu finanziellen Verlusten für Einzelpersonen und Unternehmen, die mit dem Betrüger hinter der gestohlenen Identität zu tun haben. So verlieren britische Unternehmen und Einzelpersonen jährlich etwa 4 Milliarden Pfund durch Identitätsbetrug.

Der Bericht Cost of Data Breaches (Kosten von Datenschutzverletzungen) zeigt die Auswirkungen von Datenschutzverletzungen auf:

• Die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 betrugen 4,2 Millionen Dollar (3,8 Millionen Pfund)

Die Kosten einer Datenschutzverletzung umfassen:

• Kosten für die Behebung direkter Schäden an IT-Systemen
• Reputationsschaden
• Geldbußen für die Nichteinhaltung von Vorschriften
• Schadenersatz für Kunden; oft können Datenschutzverletzungen zu Sammelklagen führen
• Entlassung von Mitarbeitern und Probleme mit der Arbeitsmoral
• Mögliches Durchsickern von geistigem Eigentum oder Firmengeheimnissen.

Was Sie im Falle einer Datenpanne tun sollten

Jedes Unternehmen, das von einem Datenschutzverstoß betroffen ist, muss einen soliden Plan haben, um die Auswirkungen abzumildern. Hier finden Sie einige Ideen und Tipps, wie Sie mit einer Datenschutzverletzung umgehen können:

Ruhig bleiben

Eine Verletzung des Schutzes personenbezogener Daten ist geschehen: Die Bewältigung der Situation ist entscheidend, um das Ereignis einzudämmen und die Auswirkungen zu minimieren. Bleiben Sie ruhig und lösen Sie die Probleme.

Bewerten Sie den Schaden

Die Untersuchung des Vorfalls ist eine zeitkritische Aufgabe. Sie müssen die Behörden informieren, wenn der Verstoß die Kriterien erfüllt, die ihn zu einem meldepflichtigen Verstoß machen. In Großbritannien zum Beispiel ist die  Das Information Commissioner’s Office (ICO) muss innerhalb von 72 Stunden nach Entdeckung einer Datenschutzverletzung informiert werden.

Untersuchen Sie den Vorfall

Halten Sie alle Fakten rund um den Vorfall fest, sobald Sie sie entdecken. Es ist wichtig, dass Sie die Ereignisse aufzeichnen und den Schaden festhalten. Dieses Protokoll kann als Beweismittel verwendet werden, wenn der Fall vor Gericht landet.

Eindämmen des Bruchs

Sie können eine Strategie zur Eindämmung von Sicherheitsverletzungen entwickeln, während Sie den Schaden bewerten und die Ereignisse dokumentieren. Die Eindämmungsmaßnahmen hängen davon ab, welche Art von Vorfall stattgefunden hat. So erfordert ein Ransomware-Angriff beispielsweise mehr technische Eindämmungsmaßnahmen als eine fehlerhafte Zustellung einer E-Mail mit Kundendaten. Die Art der Schritte zur Eindämmung der verschiedenen Arten von Vorfällen sollte sorgfältig in einem Dokument beschrieben werden.  Sicherheitspolitik.

Bewerten Sie das Risiko

Beurteilen Sie, wie schädlich die Datenpanne für die Betroffenen war. Besteht zum Beispiel das Risiko eines Identitätsdiebstahls oder könnte jemandem ein körperlicher Schaden entstehen? Wenn Sie den Risikograd kennen, können Sie Ihr Unternehmen bei der angemessenen Reaktion unterstützen.

Reagieren Sie auf den Vorfall

Die Reaktion auf einen Cyberangriff ist vielschichtig. Dazu gehört die Bewältigung der Folgen des Verlusts persönlicher Daten aus der Sicht der Betroffenen. Es bedeutet auch, dass Ihr Unternehmen seine Sicherheitsvorkehrungen neu bewerten muss. Prüfen Sie, wo die bestehenden Maßnahmen versagt haben. Benötigen Sie regelmäßigere Schulungen zum Thema Sicherheit? Setzen Sie die Verschlüsselung angemessen ein? Bei einer angemessenen Reaktion wird die gesamte Ereigniskette des Vorfalls untersucht, so dass Sie die Sicherheit Ihres Unternehmens verbessern können.

Maßnahmen, die bei der Reaktion auf eine Datenpanne helfen

Eine Datenpanne kann einer Organisation unermesslichen Schaden zufügen. Wie bereits erwähnt, kann der menschliche Faktor in der Kette von Ereignissen, die zu einem Datenschutzverstoß führen, jedoch wirklich verändert werden.

Die Ergebnisse des ISACA-Berichts belegen die Wirksamkeit von Sicherheitsschulungen. Der Bericht hält fest, dass 80% der Organisationen angaben, dass  Schulungen zum Sicherheitsbewusstsein wirken sich positiv auf das Bewusstsein der Mitarbeiter aus.

Indem ein Unternehmen die Sicherheitsschulung seiner Mitarbeiter als grundlegende Maßnahme im Kampf gegen Cyberangriffe einsetzt, kann es diese verhindern. Wenn Sie diese Sicherheitsschulung durch Maßnahmen wie Datenverschlüsselung und robuste Authentifizierung ergänzen, wird die Wahrscheinlichkeit einer böswilligen oder versehentlichen Datenverletzung deutlich geringer.