Die wichtigsten Schritte für ein effektives Data Breach Management

Ein Plan für das Data Breach Management stellt sicher, dass das richtige Personal und die richtigen Verfahren vorhanden sind, um einer Bedrohung wirksam zu begegnen.

Stellen Sie sich die Panik vor, wenn eine massive Datenpanne entdeckt wird, die vielleicht schon seit Monaten andauert. Im Jahr 2017 alarmierte Equifax die Welt über den Diebstahl von mehreren Millionen Datensätzen, die unter seiner Aufsicht standen.

Der Diebstahl wurde durch eine Sicherheitslücke in Apache Struts, einem weit verbreiteten Entwicklungs-Framework, ermöglicht. Equifax wusste von der Schwachstelle, aber der Mitarbeiter, der sie schließen sollte, tat dies nicht. In der Folge kam es zu einer Reihe unglücklicher Ereignisse, darunter das Versagen von Patch-Scannern bei der Suche nach weiteren Sicherheitslücken, die durch mehrere menschliche Versäumnisse noch verschlimmert wurden.

Equifax hat seitdem rund 1,4 Milliarden Dollar für die Verbesserung seiner Sicherheit ausgegeben. Das Unternehmen wurde außerdem vom britischen Information Commissioner’s Office (ICO) zu einer Geldstrafe von einer halben Million GBP verurteilt, und der ehemalige CIO von Equifax wurde zu einer viermonatigen Haftstrafe verurteilt, weil er die Datenschutzverletzung zur persönlichen Bereicherung genutzt hatte. Die Datenpanne bei Equifax war der Stoff, aus dem Unternehmens-Albträume gemacht sind.

Indem wir „eine Meile in den Schuhen eines anderen laufen“, können wir verstehen, wie jeder Teil einer Organisation effektiv mit dem Management von Datenschutzverletzungen umgeht. Durch die Überlegung, wie jede Abteilung dazu beitragen kann, die Kette von Ereignissen, die zu einer Datenschutzverletzung führen, zu deeskalieren, kann die Datenexposition effektiver gehandhabt werden.

Das Wie und Warum von Data Breach Management

Datenschutzverletzungen betreffen jeden in einer Organisation. Umgekehrt kann jeder dazu beitragen, die Auswirkungen einer Datenschutzverletzung zu verhindern oder zu minimieren. Im Folgenden werden die verschiedenen Verantwortlichkeiten von funf Schlüsselbereichen in einer Organisation und die Art der Verantwortlichkeiten bei der Bewältigung einer Datenschutzverletzung erläutert.

1. Das Team für Sicherheitsvorfälle

Das Management und die Prävention von Datenschutzverletzungen sind die Hauptaufgaben des Teams für Sicherheitsvorfälle. Mit der zunehmenden Zahl und Intensität von Datenschutzverletzungen wird dieses Team immer häufiger in Anspruch genommen. Seine Rolle ist von zentraler Bedeutung für die Bewältigung einer Datenschutzverletzung, und das Team ist auf ein solides Verfahren angewiesen, das ihm bei dieser Aufgabe hilft. Das Sicherheitsteam sollte in der Lage sein, auf einen Notfallplan und einen Notfallwiederherstellungsplan zurückzugreifen, um die Verletzung einzudämmen. Diese Pläne helfen bei der Festlegung von Maßnahmen, wenn es zu einer Sicherheitsverletzung kommt.

Typische Schritte zur Eindämmung und Bewältigung von Sicherheitsverletzungen sind:

Bestätigen Sie den Verstoß

Es ist wichtig, zu bestätigen, dass die Sicherheitsverletzung tatsächlich stattgefunden hat und ob sie vertrauliche oder sensible Daten betrifft. Die bei der Analyse der Sicherheitsverletzung gesammelten Daten werden herangezogen, wenn die Sicherheitsverletzung schlimm genug ist, um eine Aufsichtsbehörde zu benachrichtigen. Zu den Informationen, die gesammelt und dokumentiert werden sollten, gehören:

• Wie die Sicherheitsverletzung entdeckt wurde
• Wo sie geschah
• Wer betroffen ist (einschließlich aller Ökosystem-Anbieter)
• Wer den Verstoß gemeldet hat
• Das Datum/die Daten der Verstöße
• Welches Risiko die Verletzung für die Organisation/Kunden usw. darstellt
• Ob die Sicherheitslücke nun vollständig geschlossen ist

Analyse des Verstoßes

Eine Analyse der Sicherheitsverletzung ist nicht nur aus Gründen der Einhaltung von Vorschriften erforderlich, sondern kann auch dazu beitragen, zukünftige Verstöße zu verhindern. Durch das Verständnis der Ursachen können Maßnahmen ergriffen werden, um ähnliche Sicherheitslücken in der Zukunft zu vermeiden.

Identifizierung des Risikoniveaus der betroffenen Daten: Ein Unternehmen sollte bereits ein Klassifizierungssystem auf der Grundlage einer Norm wie ISO 27001 entwickelt haben. Diese Norm legt vier Datenkategorien fest:

• Vertraulich (nur leitende Angestellte haben Zugang)
• Eingeschränkt (die meisten Mitarbeiter haben Zugang)
• Intern (alle Mitarbeiter haben Zugang)
• Öffentliche Informationen (jeder hat Zugang)

Eingrenzung und Wiederherstellung

Sobald eine Sicherheitsverletzung entdeckt wurde, ist es wichtig, diese so schnell wie möglich einzudämmen. Die Maßnahmen, die während der Analyse der Sicherheitsverletzung ergriffen werden, ermöglichen die Ausarbeitung einer Strategie zur Eindämmung. Verstöße, die Mitarbeiter betreffen, erfordern möglicherweise eine Überprüfung der Sicherheitsschulung. Bei Verstößen, an denen externe böswillige Hacker beteiligt sind, müssen die Systeme und Abhilfemaßnahmen weiter untersucht werden. Es müssen Wiederherstellungspläne aufgestellt werden, um die Auswirkungen der Sicherheitsverletzung zu minimieren.

2. Recht und Compliance

Die Rechts- und Compliance-Abteilungen verwenden alle gesammelten Belege für die Datenschutzverletzung, um die Folgen der Verletzung zu bewältigen. Die Rechts- und Compliance-Teams entscheiden, ob die Sicherheitsverletzung unter die Meldepflicht fällt; so muss beispielsweise gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) innerhalb von 72 Stunden, nachdem das Unternehmen von der Sicherheitsverletzung Kenntnis erlangt hat, eine Meldung über die Sicherheitsverletzung an die zuständige Datenschutzaufsichtsbehörde erfolgen. Alle vom Sicherheitsteam gesammelten dokumentierten Beweise über die Verletzung, das Wo und Warum und die Art und Weise, wie sie abgemildert wurde, werden in dieser Offenlegung verwendet. Es kann auch erforderlich sein, die Verletzung gegenüber allen Betroffenen offenzulegen. Dies kann ein vollständiges Offenlegungsschreiben erfordern, das auf der Website des Unternehmens veröffentlicht wird. Weitere Informationen zur Meldung von Datenschutzverletzungen in Deutschland finden Sie auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Regeln für die Notifizierung

Entscheidend für den rechtlichen Umgang mit einer Datenschutzverletzung ist eine fundierte Entscheidung darüber, ob und wann die Aufsichtsbehörde über die Verletzung informiert werden soll. Fragen wie die, ob eine Meldepflicht besteht, können nur von qualifizierten, sachkundigen Mitarbeitern entschieden werden. Diese Entscheidung kann es erforderlich machen, dass die Sicherheitsverletzung öffentlich gemacht wird: Dies hat offensichtlich lang anhaltende Auswirkungen auf den Ruf und wird wahrscheinlich die Marketingabteilung einbeziehen, um die Auswirkungen auf die Marke zu minimieren. Hier sind einige Beispiele für öffentliche Mitteilungen über Datenschutzverletzungen:

• Equifax-Verletzung
• CapitalOne-Verletzung
• Twitter-Verletzung

Die Regeln für die Meldung von Datenschutzverletzungen variieren von Verordnung zu Verordnung. Nach der Allgemeinen Datenschutzverordnung der EU (GDPR) beispielsweise muss die Benachrichtigung über eine Datenschutzverletzung innerhalb von 72 Stunden nach Feststellung der Verletzung erfolgen. Nach der Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation (Privacy and Electronic Communications Regulations, PECR, eine Verordnung, die für Internet- und Telekommunikationsdienstleister gilt) muss eine Verletzung des Schutzes personenbezogener Daten jedoch spätestens 24 Stunden nach der Entdeckung an die ICO gemeldet werden.

3. Das Personal

Indem man die Mitarbeiter in den Prozess des Verstoßmanagements einbezieht, werden sie zu einer wichtigen Ressource bei der Bekämpfung von Cyberangriffen. Personal und Sicherheit decken ein breites Spektrum potenzieller Schwachstellen ab, von der versehentlichen Datenpreisgabe über Phishing bis hin zu geheimen Absprachen mit externen Hackern.

Laut dem Data Breach Investigation Report 2020 (DBIR) von Verizon lassen sich rund 17 % der Datenschutzverletzungen auf einfache Fehler zurückführen. Beispielsweise ist die gemeinsame Nutzung von Passwörtern durch Mitarbeiter oder die Wiederverwendung von Passwörtern für mehrere Anwendungen eine schlechte Sicherheitspraxis.

Phishing ist nach wie vor die bevorzugte Waffe der Cyberkriminellen; Phisher imitieren gerne Marken wie Microsoft, um Benutzer zur Herausgabe von Unternehmensdaten zu verleiten. In Schulungen zum Sicherheitsbewusstsein lernen die Mitarbeiter die vielen positiven Möglichkeiten kennen, mit denen sie zur Aufrechterhaltung einer guten Sicherheitslage des Unternehmens beitragen können.

In Bezug auf das Management von Datenschutzverletzungen muss das Bewusstsein der Mitarbeiter so weit reichen, dass sie ihre Verantwortlichkeiten im Rahmen der verschiedenen Vorschriften verstehen, z. B. dass sie sicherstellen müssen, dass Kundendaten innerhalb der Grenzen von Rechtsvorschriften wie DPA 2018 und GDPR respektiert und verwendet werden. Wenn eine Organisation versteht, wo eine Datenschutzverletzung auftreten könnte, und die Verantwortlichkeiten im Rahmen verschiedener einschlägiger Vorschriften kennt, kann sie ihre Mitarbeiter in den Prozess des Verstoßmanagements einbinden.

Es ist jedoch wichtig, das Personal auf dem entsprechenden Niveau zu schulen. Einige Mitarbeiter, wie z. B. technische Angestellte, benötigen möglicherweise eine spezielle Sicherheitsschulung und/oder müssen sich zertifizieren lassen.

Neu eingestellte Mitarbeiter müssen vom ersten Tag an in die Schulungsprogramme für das Cyber Security Awareness des Unternehmens eingebunden werden. Regelmäßige Überprüfung der Sicherheitsschulung des Personals in Bereichen wie:

• Phishing
• Sicherheitshygiene
• Bewusstsein für die Verantwortung im Bereich der Datensicherheit

…sollten kontinuierlich durchgeführt werden, um wirksam zu bleiben.

Die Schulung des Sicherheitsbewusstseins sollte in die Sicherheitsrichtlinien des Unternehmens als Teil eines Verfahrens zum Umgang mit Datenschutzverletzungen aufgenommen werden.

4. Anbieter von Drittanbietern

Lieferanten-Ökosysteme können komplex sein und vierte und fünfte Parteien einbeziehen. Ein aktueller Bericht von Accenture mit dem Titel „State of Cyber Resilience 2020“ zeigt, dass 40 % der Sicherheitsverletzungen mit indirekten Angriffen auf der Ebene der Lieferkette beginnen. Das Risikomanagement von Lieferanten ist Teil des effektiven Managements von Datenschutzverletzungen. Datenschutzverletzungen durch Lieferanten sind eine zweiseitige Angelegenheit. Neben der Durchführung einer Schwachstellenanalyse der Lieferantenverbindungen zur Eindämmung von Cyberangriffen muss im Falle eines Verstoßes auch das Lieferanten-Ökosystem analysiert werden, um festzustellen, ob sich der Verstoß auf den Lieferanten auswirkt.

5. Der Vorstand

Ein Bericht der britischen Regierung mit dem Titel Cyber Security Breaches Survey 2021 ergab, dass 77 % der Unternehmen der Meinung sind, dass die Cybersicherheit für ihre Direktoren oder leitenden Angestellten eine hohe Priorität hat. Infolge der Bekanntheit von Datenschutzverletzungen sind in immer mehr Aufsichtsräten Sicherheitsexperten vertreten. Wenn es zu einem Datenschutzverstoß kommt, kann ein geschulter Vorstand das restliche Unternehmen bei der Bewältigung des Verstoßes unterstützen, sicherstellen, dass die gesetzlichen Anforderungen erfüllt werden und ein Budget zur Bewältigung des Verstoßes und zur Abwehr weiterer Angriffe zur Verfügung steht.

Wissen die Mitarbeiter, was bei einer Datenpanne zu tun ist?

Die Einführung von Maßnahmen zum Schutz vor Datenschutzverletzungen ist eine Aufgabe für das gesamte Unternehmen. Einer der wichtigsten Aspekte für ein wirksames Management von Datenschutzverletzungen ist die Art und Weise, wie Sie Ihre Mitarbeiter schulen. Relevanz ist der Schlüssel, um sicherzustellen, dass das Management von Datenschutzverletzungen in Ihrem Unternehmen funktioniert. Jede Organisation muss ihren eigenen relevanten und einzigartigen Ansatz für die Meldung und das Management einer Sicherheitsverletzung entwickeln.

Die Optimierung des Bewusstseins beginnt auf der Ebene der Mitarbeiter und Prozesse. Jeder Aspekt, vom kleinsten Detail bis hin zum großen Ganzen, muss gründlich genug sein, um sicherzustellen, dass Ihre Strategie zur Reaktion auf Vorfälle robust und für alle Mitarbeiter verständlich ist. Dies muss Folgendes umfassen:

• Kommunikation: Von den verwendeten Telefonnummern bis zur E-Mail-Adresse oder jedem anderen System, das zur Meldung eines Verstoßes verwendet wird
• Rollen und Verantwortlichkeiten: Hervorhebung der zuständigen Vorfallmanager und ihrer Verantwortlichkeiten
• Maßnahmen: Wer macht was und wann und wie sie ihre Rolle bei der Bewältigung einer Datenschutzverletzung wahrnehmen
• Wiedergutmachung: Wie die Sicherheitsverletzung behoben wird und welche Lehren daraus gezogen werden, einschließlich einer Aktualisierung der Sicherheitsschulung

In größeren multinationalen Unternehmen müssen diese Kommunikationslinien die gesamte Organisation widerspiegeln und die Abteilungen und Büros des Unternehmens zusammenführen.

Alle müssen sich an diesem Plan beteiligen, von den Mitarbeitern über die Führungskräfte bis hin zu den Vorstandsmitgliedern.