Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
19.03.2016

Wenn es doch passiert ist

Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen.

Mathias Hein

Zur Vergrößerung anklicken

David Lin

Datenschutzverletzungen und die Folgen: im Gespräch mit dem CmputerPartner stellt sich David Lin, Enterprise Sales Manager at Varonis, den Fragen.

ComputerPartner: Wie erfahren Unternehmen typischerweise von Datenschutzverletzungen?

David Lin: Es ist einigermaßen erwiesen, dass Unternehmen leider meistens von Außenstehenden von einer Datenschutzverletzung erfahren. Etliche Beispiele und Analysen findet man im Datenschutzbericht von Verizon. In den seltensten Fällen sind es die Unternehmen selbst, die etwas bemerken. Eher machen rechtstaatliche Organe eine Firma darauf aufmerksam oder auch Dienste, die sich auf das Aufdecken von Sicherheitslecks spezialisiert haben. Ob eine Datenschutzverletzung oder ein Missbrauch von Daten vorliegt, lässt sich nur feststellen, wenn die Dateien systematisch überwacht werden. Man kann nicht verwalten, was man nicht überwacht. Und man kann schlicht und ergreifend nicht feststellen, ob beispielsweise Vermögenswerte oder intellektuelles Kapital eines Unternehmens gefährdet sind, wenn man nicht weiß wie die zugehörigen Dateien genutzt werden. 

Ein nicht unerheblicher Teil des Problems ist es, dass gerade unstrukturierte Daten der blinde Fleck fast jeden Unternehmens sind. Es gibt immer noch etliche Plattformen, die es nicht erlauben die Zugriffe auf Dateien umfassend zu überwachen. Dann allerdings wird es extrem schwierig, Datenschutzverletzungen frühzeitig als solche zu erkennen.

Gibt es seitens der Unternehmen typische Fehler, wenn Firmen auf eine Datenschutzverletzung aufmerksam werden? 

David Lin: Man kann durchaus eine Menge Zeit und Geld in Katastrophenpläne investieren. Das ist auch richtig. Allerdings übersehen und unterschätzen viele Unternehmen einen wichtigen Aspekt. Dass nämlich Datenschutzverletzungen oftmals auf menschliche Fehler oder auf den Missbrauch von Zugriffsrechten zurückzuführen sind. Im Falle einer Datenschutzverletzung ist es für ein Unternehmen immens wichtig zumindest festzustellen, welche Daten genau gestohlen oder gelöscht worden sind. Und welche Ansprüche daraus gegenüber Kunden, Partnern und Aktionären entstehen. 

Existieren Empfehlungen anerkannter Institutionen, wie Unternehmen den entstandenen Schaden wenigstens begrenzen können?

David Lin: Die Vereinigung der Kreditkarteninstitutionen (PCI) hat beispielsweise einen eigenen, unter dem Namen DSS, bekannten Standard. Dazu kommen Best Practices. Was Datenschutzverletzungen anbelangt, setzt die PCI auf das Überwachen der Dateien und der Sicherheitskontrollsysteme selbst. Zusätzlich empfiehlt die Brancheninstitution Tools, die automatische Benachrichtigungen versenden, wenn bestimmte Vorgaben nicht eingehalten werden oder es zu Abweichungen kommt. Das betrifft Patch-Updates genauso wie Dateien und Ports. Entsprechend hoch ist der Stellenwert eines Risk Assessments für die PCI-Gruppe. Und nicht zuletzt sollten Unternehmen über die aktuelle Bedrohungslandschaft auf dem Laufenden sein, die Akteure kennen und die Art von Daten, auf die sie es abgesehen haben. Dementsprechend sollten die Kontrollen in jedem einzelnen Unternehmen angepasst werden. Ein Patentrezept kann es nicht geben. Im Gegenteil erhöht ein "One size fits all"-Ansatz eher das Risiko Opfer eines schwerwiegenden Datenschutzverstoßes zu werden. Von zusätzlichen Techniker- und Technologiekosten ganz abgesehen. Auch die potenzielle Fehlerrate ist nicht zu unterschätzen. 

Was ändert sich in Bezug auf Richtlinienanforderungen je nach dem ob ein Insider oder ein Outsider für die Datenschutzverletzung verantwortlich ist?

David Lin:Das kommt auf die jeweils zutreffenden Richtlinien und Gesetze an. Möglicherweise ist das Unternehmen verpflichtet die verantwortliche Regierungsbehörde zu informieren, genauso wie Kunden, deren Daten betroffen sind. Da gibt es eine große Bandbreite dessen was erforderlich  ist. Nicht jeder Vorfall, bei dem Daten kompromittiert worden sind, ist automatisch meldepflichtig. An dieser Stelle muss man in die Details der entsprechenden Vorschriften und Gesetze gehen. Insbesondere was die genaue Definition der sogenannten Personally Identifiable Information (PII) anbelangt. Und selbst wenn PII-Daten betroffen sind, ist es nicht immer notwendig, umfassend öffentlich darüber zu informieren, wenn nur ein sehr geringer finanzieller Schaden entstanden ist und der Ruf eines Unternehmens durch die Datenschutzverletzung nicht weitergehend beschädigt worden ist. Sind Insider im Spiel, sieht die Sache in aller Regel anders aus. Sind beispielsweise IPs oder Handelsgeheimnisse gestohlen worden, stellt sich die Gesetzeslage grundlegend verschieden dar. NDAs oder andere vertragliche Vereinbarungen greifen zusätzlich. In Fällen von Wirtschaftsspionage sind beispielsweise die zuständigen Behörden in Kenntnis zu setzen. 

Gibt es so etwas wie einen formalisierten Prozess, den Unternehmen für sich nutzen können, um möglichst viel aus einem Sicherheitsvorfall zu lernen? Um somit für die Zukunft besser gerüstet zu sein?

David Lin: Auf jeden Fall sind die Zeiten vorbei zu denen Unternehmen den Kopf in den Sand stecken konnten. Immer in der Hoffnung es möge sie selbst nicht erwischen. Unternehmen müssen unbedingt einen Plan für den Fall eines Datenschutzverstosses haben. Und vor allem für die Zeit, nachdem der Verstoss entdeckt worden ist. Genausowenig wie man auf Brandschutzmaßnahmen in Gebäuden verzichten würde, kann man auf entsprechende Pläne im Falle eines Datenschutzverstoßes verzichten. Unterschiedliche Arten von Daten und Informationen unterliegen unterschiedlichen Richtlinien und Anforderungen. Deshalb ist es so wichtig, dass Unternehmen genau wissen, welche Arten von Daten sie speichern und was die mit genau diesen Daten verbundenen Anforderungen in punkto Datenschutz sind. Nur so lassen sich passgenaue Maßnahmenpläne entwickeln. Auch wenn nicht alle Datenschutzverletzungen offen gelegt werden müssen, sollten Unternehmen sich mindestens darüber im Klaren sein, wie sie angemessen reagieren, wenn eine Datenschutzverletzung unter die öffentliche Meldepflicht fällt.

Danke für das Gespräch.  +