Ein Plan zum Umgang mit Datenschutzverletzungen stellt sicher, dass das richtige Personal und die richtigen Verfahren vorhanden sind, um einer Bedrohung wirksam zu begegnen.

Stellen Sie sich die Panik vor, wenn eine massive Datenpanne entdeckt wird, die vielleicht schon seit Monaten andauert. Im Jahr 2017 alarmierte Equifax die Welt über den Diebstahl von mehreren Millionen Datensätzen, die sich unter seiner Aufsicht befanden.

Der Diebstahl wurde durch eine Sicherheitslücke in Apache Struts, einem weit verbreiteten Entwicklungs-Framework, ausgelöst. Equifax wusste von der Sicherheitslücke, aber der Mitarbeiter, der sie schließen sollte, hat dies nicht getan. Es folgte eine Reihe unglücklicher Ereignisse, einschließlich des Versagens von Patch-Scannern, weitere mehrfache Sicherheitslücken zu finden, die durch mehrere menschliche Fehler des Bedienpersonals noch verschlimmert wurden.

Equifax hat seitdem rund 1,4 Milliarden Dollar (1 Milliarde Pfund) für die Verbesserung seiner Sicherheit ausgegeben. Das Unternehmen wurde außerdem vom britischen Information Commissioner’s Office (ICO) zu einer Geldstrafe von einer halben Million GBP verurteilt und der Ex-CIO von Equifax wurde zu einer viermonatigen Haftstrafe verurteilt, weil er die Datenpanne zur persönlichen Bereicherung genutzt hatte. Die Datenpanne bei Equifax war der Stoff, aus dem die Albträume von Unternehmen sind.

Indem wir „eine Meile in den Schuhen eines anderen laufen“, können wir verstehen, wie jeder Teil einer Organisation effektiv mit dem Management von Datenschutzverletzungen umgeht. Indem wir darüber nachdenken, wie jede Abteilung dazu beitragen kann, die Kette von Ereignissen, die zu einem Datenschutzverstoß führen, zu deeskalieren, können wir die Datengefährdung effektiver verwalten.

Das Wie und Warum des Data Breach Management

Datenschutzverletzungen betreffen jeden in einer Organisation. Umgekehrt kann jeder dazu beitragen, die Auswirkungen eines Datenschutzverstoßes zu verhindern oder zu minimieren. Nachfolgend finden Sie einen Überblick über die verschiedenen Verantwortlichkeiten von fünf Schlüsselbereichen in einem Unternehmen und die Art der Verantwortlichkeiten, die jeder von ihnen beim Umgang mit einer Datenschutzverletzung hat.

Das Team für Sicherheitsvorfälle

Das Management und die Prävention von Datenschutzverletzungen sind die Hauptaufgaben des Sicherheitsteams. Dieses Team wird immer häufiger hinzugezogen, da die Zahl und Intensität der Datenschutzverletzungen zunimmt. Ihre Rolle ist von zentraler Bedeutung für die Bewältigung einer Datenschutzverletzung, und das Team ist auf einen robusten Prozess angewiesen, der ihm bei dieser Aufgabe hilft. Das Sicherheitsteam sollte in der Lage sein, auf einen Notfallplan und einen Notfallwiederherstellungsplan zurückzugreifen, um den Verstoß einzudämmen. Diese Pläne helfen bei der Festlegung von Maßnahmen, wenn es zu einem Verstoß kommt.

Typische Schritte bei der Eindämmung und Verwaltung von Sicherheitsverletzungen sind:

Bestätigen Sie den Verstoß

Es mag offensichtlich erscheinen, aber bestätigen Sie, dass die Sicherheitsverletzung stattgefunden hat und ob sie vertrauliche oder sensible Daten betrifft. Die bei der Analyse des Verstoßes gesammelten Daten werden herangezogen, wenn der Verstoß schlimm genug ist, um eine Aufsichtsbehörde zu benachrichtigen. Zu den Informationen, die gesammelt und dokumentiert werden sollten, gehören:

  • Wie der Verstoß entdeckt wurde

  • Wo es geschah

  • Wer ist betroffen (einschließlich aller Ökosystem-Anbieter)

  • Wer hat den Verstoß gemeldet?

  • Das Datum/die Daten der Verstöße

  • Welches Risiko der Verstoß für das Unternehmen/die Kunden etc. darstellt.

  • Ist die Sicherheitslücke nun vollständig geschlossen?

Wie kam es zu dem Verstoß?

Eine Analyse des Einbruchs ist nicht nur aus Gründen der Compliance erforderlich, sondern kann auch dazu beitragen, künftige Datenrisiken zu minimieren. Die Dynamik von Sicherheitsverletzungen ist vielfältig. Daten können durch eine Vielzahl von zufälligen und böswilligen Mechanismen offengelegt werden. Identifizieren Sie diese Mechanismen: Wurden die Daten versehentlich von einem Mitarbeiter preisgegeben oder wurden sie böswillig gehackt? Das Verständnis der verwendeten Vektoren und Taktiken kann dazu beitragen, die Gefährdung zu mindern und den Angriff zu entschärfen.

Die Art der betroffenen Daten

Es ist wichtig, den Risikograd der betroffenen Daten zu ermitteln, sowohl für die Benachrichtigung über eine Sicherheitsverletzung und die Einhaltung von Vorschriften als auch für das Verständnis der Gesamtauswirkungen auf das Unternehmen. Dokumentieren Sie die Art und den Risikograd der verletzten Daten. Ein Unternehmen sollte bereits ein Klassifizierungssystem entwickelt haben, das auf einem Standard wie ISO 27001 basiert. Dieser Standard legt vier Kategorien von Daten fest:

  1. Vertraulich (nur leitende Angestellte haben Zugang)

  2. Eingeschränkt (die meisten Mitarbeiter haben Zugang)

  3. Intern (alle Mitarbeiter haben Zugang)

  4. Öffentliche Informationen (jeder hat Zugang)

Eingrenzung und Wiederherstellung

Sobald eine Sicherheitsverletzung entdeckt wurde, ist es wichtig, diese so schnell wie möglich einzudämmen. Die Maßnahmen, die während der Analyse der Sicherheitsverletzung ergriffen werden, ermöglichen die Entwicklung einer Strategie zur Eindämmung. Verstöße, die Mitarbeiter betreffen, erfordern möglicherweise eine Überprüfung der Sicherheitsschulung. Bei Verstößen, an denen externe böswillige Hacker beteiligt sind, müssen die Systeme und Abhilfemaßnahmen weiter untersucht werden. Es müssen Wiederherstellungspläne erstellt werden, um die Auswirkungen der Sicherheitsverletzung zu minimieren.

Recht und Compliance

Die Rechtsabteilung und die Compliance-Abteilung verwenden alle gesammelten Belege für den Verstoß, um die Folgen des Verstoßes zu bewältigen. Die Rechts- und Compliance-Teams entscheiden, ob der Verstoß unter die Meldepflicht für Datenschutzverletzungen fällt. So muss beispielsweise gemäß Abschnitt 67 des britischen Datenschutzgesetzes von 2018 (DPA 2108) innerhalb von 72 Stunden, nachdem das Unternehmen von der Verletzung Kenntnis erlangt hat, eine Meldung über die Datenschutzverletzung an die ICO erfolgen. Alle vom Sicherheitsteam gesammelten dokumentierten Beweise über die Verletzung, das Wo und Warum und die Art und Weise, wie sie abgemildert wurde, werden in dieser Meldung verwendet. Es kann auch die Verpflichtung bestehen, alle Betroffenen über die Sicherheitsverletzung zu informieren. Dies kann eine vollständige Veröffentlichung auf der Website des Unternehmens erfordern.

Regeln für die Benachrichtigung

Der Schlüssel zum rechtlichen Umgang mit einer Datenschutzverletzung ist eine fundierte Entscheidung darüber, ob und wann die Aufsichtsbehörde über die Datenschutzverletzung informiert werden soll. Fragen wie die, ob es eine gesetzliche Verpflichtung gibt, den Verstoß zu melden, können nur von qualifizierten, sachkundigen Mitarbeitern entschieden werden. Diese Entscheidung kann es erforderlich machen, dass der Verstoß öffentlich gemacht wird: Dies hat offensichtlich lang anhaltende Auswirkungen auf den Ruf und wird wahrscheinlich die Marketingabteilung einbeziehen, um die Auswirkungen auf die Marke zu minimieren. Hier finden Sie einige Beispiele für öffentliche Mitteilungen über Datenschutzverletzungen:

Equifax-Verletzung

CapitalOne Verstoß

Twitter-Verletzung

Die Regeln für die Meldung von Datenschutzverletzungen variieren je nach Verordnung. Gemäß der Allgemeinen Datenschutzverordnung der EU (GDPR) muss die Benachrichtigung über eine Datenschutzverletzung beispielsweise innerhalb von 72 Stunden nach Feststellung der Verletzung erfolgen. Nach den Privacy and Electronic Communications Regulations (PECR), einer Verordnung, die für Internet- und Telekommunikationsdienstleister gilt, muss eine Verletzung des Schutzes personenbezogener Daten jedoch spätestens 24 Stunden nach der Entdeckung an die ICO gemeldet werden.

Das Personal

Indem Sie Ihre Mitarbeiter in den Prozess des Verstoßmanagements einbeziehen, werden sie zu einer wichtigen Ressource im Kampf gegen Cyberangriffe. Personal und Sicherheit decken ein breites Spektrum potenzieller Schwachstellen ab, von der versehentlichen Offenlegung von Daten über Phishing bis hin zu geheimen Absprachen mit externen Hackern.

Laut dem Data Breach Investigation Report 2020 (DBIR) von Verizon lassen sich etwa 17 % der Datenschutzverletzungen auf einfache Fehler zurückführen. So ist es beispielsweise eine schlechte Sicherheitspraxis, wenn Mitarbeiter Passwörter weitergeben oder Passwörter für mehrere Anwendungen wiederverwenden.

Phishing ist immer noch die bevorzugte Waffe der Cyberkriminellen. Phisher imitieren gerne Marken wie Microsoft, um Benutzer zur Herausgabe von Unternehmensdaten zu verleiten. In Schulungen zum Sicherheitsbewusstsein lernen Ihre Mitarbeiter, wie sie dazu beitragen können, die Sicherheit Ihres Unternehmens aufrechtzuerhalten.

In Bezug auf das Management von Datenschutzverletzungen muss das Bewusstsein der Mitarbeiter so weit reichen, dass sie ihre Verantwortlichkeiten im Rahmen der verschiedenen Vorschriften verstehen. So müssen sie beispielsweise sicherstellen, dass die Kundendaten im Rahmen von Gesetzen wie DPA 2018 und GDPR respektiert und verwendet werden. Wenn ein Unternehmen versteht, wo eine Datenschutzverletzung auftreten könnte, und die Verantwortlichkeiten im Rahmen der verschiedenen relevanten Vorschriften kennt, kann es seine Mitarbeiter in den Prozess des Verstoßmanagements einbinden.

Es ist jedoch wichtig, dass Sie Ihre Mitarbeiter auf dem entsprechenden Niveau schulen. Einige Mitarbeiter, wie z.B. technische Angestellte, benötigen möglicherweise eine spezielle Sicherheitsschulung und/oder müssen sich zertifizieren lassen.

Neu eingestellte Mitarbeiter müssen vom ersten Tag an in die Schulungsprogramme des Unternehmens zum Thema Sicherheit eingebunden werden. Regelmäßige Überprüfungen der Sicherheitsschulung der Mitarbeiter in Bereichen wie:

  • Phishing

  • Sicherheitshygiene

  • Bewusstsein für die Verantwortung der Datensicherheit

…sollte fortlaufend sein, um effektiv zu bleiben.

Schulungen zum Sicherheitsbewusstsein sollten in die Sicherheitsrichtlinien des Unternehmens als Teil eines Verfahrens zum Umgang mit Datenschutzverletzungen aufgenommen werden.

Anbieter von Drittanbietern

Lieferanten-Ökosysteme können komplex sein und vierte und fünfte Parteien einbeziehen. Ein aktueller Bericht von Accenture, „State of Cyber Resilience 2020„, zeigt, dass 40 % der Sicherheitsverletzungen mit indirekten Angriffen auf der Ebene der Lieferkette beginnen. Das Risikomanagement von Lieferanten ist Teil des effektiven Managements von Datenschutzverletzungen. Datenschutzverletzungen durch Zulieferer sind eine zweiseitige Angelegenheit. Neben der Durchführung einer Schwachstellenanalyse der Lieferantenverbindungen zur Abschwächung von Cyberangriffen muss im Falle eines Verstoßes auch das Lieferanten-Ökosystem analysiert werden, um festzustellen, ob sich der Verstoß auf den Lieferanten auswirkt.

Der Vorstand

Ein Bericht der britischen Regierung mit dem Titel „Cyber Security Breaches Survey 2021“ zeigt, dass 77% der Unternehmen der Meinung sind, dass Cybersicherheit für ihre Direktoren oder leitenden Angestellten eine hohe Priorität hat. Infolge der großen Aufmerksamkeit, die Datenschutzverletzungen auf sich ziehen, sind in immer mehr Aufsichtsräten Experten für Sicherheitsfragen vertreten. Wenn es zu einem Datenschutzverstoß kommt, kann ein gut ausgebildeter Vorstand den Rest des Unternehmens bei der Bewältigung des Verstoßes unterstützen, sicherstellen, dass die gesetzlichen Anforderungen erfüllt werden und ein Budget zur Bewältigung des Verstoßes und zur Abwehr weiterer Angriffe zur Verfügung steht.

Wissen die Mitarbeiter, was sie im Falle einer Datenpanne tun müssen?

Die Umsetzung von Maßnahmen zum Schutz vor Datenschutzverletzungen ist eine Aufgabe für das gesamte Unternehmen. Einer der wichtigsten Punkte für ein effektives Management von Datenschutzverletzungen ist die Art und Weise, wie Sie Ihre Mitarbeiter schulen. Relevanz ist der Schlüssel, um sicherzustellen, dass das Incident Management für Ihr Unternehmen funktioniert. Jedes Unternehmen muss seinen eigenen relevanten und einzigartigen Ansatz für die Meldung und Verwaltung einer Sicherheitsverletzung entwickeln.

Die Optimierung des Bewusstseins beginnt auf der Ebene der Mitarbeiter und Prozesse. Jeder Aspekt, vom kleinsten Detail bis zum großen Ganzen, muss gründlich genug sein, um sicherzustellen, dass Ihre Richtlinie zur Reaktion auf Vorfälle robust und für alle Mitarbeiter verständlich ist. Dies muss umfassen:

Kommunikation: Von den verwendeten Telefonnummern bis zur E-Mail-Adresse oder jedem anderen System, das zur Meldung eines Verstoßes verwendet wird

Rollen und Verantwortlichkeiten: Hervorhebung der zuständigen Vorfallmanager und ihrer Verantwortlichkeiten

Handlungen: Wer tut was und wann und wie er seine Rolle bei der Bewältigung einer Datenschutzverletzung wahrnimmt

Abhilfemaßnahmen: Wie die Sicherheitsverletzung behoben wird und welche Lehren daraus gezogen werden, einschließlich einer Aktualisierung der Schulungen zum Sicherheitsbewusstsein

In größeren multinationalen Unternehmen müssen diese Kommunikationslinien die gesamte Organisation widerspiegeln und die Abteilungen und Büros des Unternehmens zusammenbringen.

Jeder muss sich an diesem Plan beteiligen, von den Mitarbeitern über die Manager bis hin zu den Vorstandsmitgliedern.

Cyber Security Awareness für Dummies