Angesichts der stark wachsenden Menge kompromittierten Daten, gerade in den letzten Jahren, sind Art und Umfang der Meldepflicht für Unternehmen zu einem viel diskutierten Thema in der Cyber-Sicherheitsbranche geworden.
Von einem Datensicherheitsverstoß spricht man, wenn die Daten, für die ein Unternehmen verantwortlich ist, von einem Sicherheitsvorfall betroffen sind und es in der Folge zu einer der Verletzung der Vertraulichkeit dieser Daten gekommen ist. Während sich ein Verstoß gegen die Datensicherheit, wie beispielsweise ein Ransomware-Angriff, vergleichsweise einfach feststellen lässt, besteht nach wie vor große Unsicherheit darüber, was einen Datensicherheitsverstoß tatsächlich ausmacht. Insbesondere für eine Datenschutzverletzung gilt die Frage, wann der Fall der zuständigen Aufsichtsbehörde zur weiteren Untersuchung gemeldet werden sollte.
Compliance und Bestimmungen
Bei einer Datenschutzverletzung sind Unternehmen an bestimmte Compliance-Standards gebunden und verpflichtet gesetzliche Bestimmungen einzuhalten. Seit dem Inkrafttreten der Europäischen General Data Protection Regulation (GDPR) beziehungsweise der in Deutschland in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind alle Organisationen gesetzlich verpflichtet, bestimmte Arten von Verstößen gegen den Schutz personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes bei der zuständigen Aufsichtsbehörde zu melden. Welche das ist, richtet sich nach der Art der Datenpanne und wo sie aufgetreten ist.
Im Vereinigten Königreich ist das Information Commissioners Office (ICO) zuständig. Dort wird von Unternehmen und Organisationen, die „Betreiber wesentlicher Dienste“ (Operators of Essential Services, OES) und „relevante Anbieter digitaler Dienste“ (Relevant Digital Service Providers, RDSP) sind, erwartet, dass sie gemäß der „Network & Information Systems (NIS2)“ Richtlinie Bericht erstatten, wie das Beispiel auf der ICO-Website zeigt:
„Wird ein OES zum Opfer eines Cyber-Angriffs, der erhebliche Auswirkungen auf die Erbringung seiner Dienste hat, ist dieser Vorfall innerhalb von 72 Stunden nach Kenntniserlangung an die zuständige Behörde zu melden. Stellt darüber hinaus der OES fest, dass der Vorfall auch dazu geführt hat, dass der Angreifer unrechtmäßig auf die Kundendatenbank zugreifen konnten, liegt ein Verstoß gegen den Schutz personenbezogener Daten vor, und das OES ist verpflichtet dies dem ICO gemäß den Anforderungen der britischen Datenschutzverordnung für die Meldung von Verstößen anzuzeigen.“
Dies bedeutet: Eine Meldung an die zuständige Aufsichtsbehörde muss immer dann erfolgen, wenn ein Risiko für die persönlichen Rechte und Freiheiten von Personen besteht. Ob und in welchem Umfang ein Risiko besteht, muss im Rahmen einer Risikoabwägung untersucht werden. Dabei müssen verschiedene Gesichtspunkte berücksichtigt werden, wie etwa die Art der betroffenen Daten, der Grad ihrer Vertraulichkeit, die Art des Angriffs auf diese Daten, dass Missbrauchspotenzial und die Möglichkeiten, den Schaden zu begrenzen. In jedem Fall sollten Unternehmen jedoch zunächst prüfen, wie es zu dem Verstoß gekommen ist, welches Risiko für Betroffene besteht und wie sensibel der Vorfall ist. Erst dann kann ermittelt werden, ob eine Meldung angebracht ist. In diesem Stadium sind Firmen oft unsicher, ob ein Verstoß sowohl intern als auch extern oder vielleicht gar nicht gemeldet werden sollte.
Stillschweigen bewahren?
Obwohl immer mehr Regularien die Meldung von Datenschutzverstößen vorschreiben, ziehen es einige Sicherheitsfachleute in Führungspositionen durchaus vor, lieber Stillschweigen zu bewahren. Eine aktuelle Studie hat ergeben, dass von 400 IT-Fachleuten, von Junior-IT-Managern bis hin zu CISOs, mehr als zwei Fünftelangewiesen wurden, einen Sicherheitsverstoß geheim zu halten.
Damit erhöht sich das Risiko von Compliance-Verstößen signifikant. Trotzdem ist es nicht überraschend, dass sich etliche Führungskräfte bei einem potenziellen Sicherheitsverstoß für Stillschweigen entscheiden. Die Konsequenzen einer Offenlegung können schließlich den Ruf des gesamten Unternehmens gefährden und zu irreparablen Schäden führen, z. B. zum Scheitern von Fusionen und Übernahmen oder zu Störungen des Geschäftsbetriebs. Wichtig ist in diesem Zusammenhang auch die Frage nach der Versicherung vor Cyberrisiken. Angesichts steigender Prämien entscheiden sich Unternehmen möglicherweise dafür, Sicherheitsverstöße lieber nicht zu melden.
Wird ein Verstoß gegen geltende Vorschriften allerdings nicht gemeldet, drohen hohe Geldstrafen und Bußgelder, gefolgt von einer behördlichen Untersuchung, mit weit höheren Schäden an der Reputation des Unternehmens sowie seines Geschäftsbetriebs. Unabhängig von den behördlichen Auflagen sollten Unternehmen aller Art sich klar machen, dass sich Datenschutzverstöße nicht mehr stillschweigend vertuschen lassen.
Gemäß den vorgeschlagenen neuen SEC-Vorschriften müssten die Aktivitäten im Bereich der Cyber-Sicherheit gegenüber den Anlegern offengelegt werden, um nach den Worten des SEC-Vorsitzenden Gary Gensler „die Fähigkeit der Anleger zu stärken, die Cyber-Sicherheitspraktiken und die Berichterstattung über Vorfälle in öffentlichen Unternehmen zu bewerten“. Ein Sicherheitsvorfall muss also offengelegt werden, um das Vertrauen der Anleger nicht zu untergraben.
Neben der moralischen Verpflichtung einen Verstoß zu melden, gibt es immer weniger die Möglichkeit, sich vor der Meldepflicht zu drücken. Je länger man zögert, desto mehr wird die Integrität des Unternehmens in Frage gestellt, was sich auf Investoren und Kunden gleichermaßen auswirkt.
Melden oder nicht melden?
Viele Cyber-Sicherheitsspezialisten sind einhellig der Meinung, dass eine bestätigte Kompromittierung eines Datensystems in jedem Fall intern gemeldet werden muss, da diese oftmals eine notwendige Sicherheitsschulung für betroffene Mitarbeiter nach sich ziehen sollte. Eine Meldung von Sicherheitsverstößen an externe Stellen jedoch, hat eine ganze Reihe unterschiedlicher Konsequenzen für ein Unternehmen.
Eine öffentliche Bekanntmachung lässt immer auch die Medien aufmerksam werden. Dies wiederum erfordert einen erfahrenen Kommunikationsverantwortlichen, der die offizielle Stellungnahme des Unternehmens angemessen vermitteln kann, um den Schaden zu begrenzen. Parallel dazu gilt es, einen wirkungsvollen Wiederherstellungsplan zu entwickeln. Dies unterstreicht die Notwendigkeit von kontrollierten Meldekanälen, in denen alle Informationen zu einem potenziellen Verstoß im Rahmen eines formellen Verfahrens weitergeleitet werden können.
In jedem Fall unterstützt die Meldung eines Sicherheitsverstoßes, ob intern oder extern, Unternehmen dabei, aus einem Vorfall zu lernen und für die Zukunft bessere Cyber-Sicherheitsmaßnahmen zu ergreifen. In vielen Branchen existieren zudem Peer-Sharing-Netzwerke, in denen man sich zu Cyber-Sicherheitsinitiativen austauschen kann. Das trägt dazu bei, das Bewusstsein für laufende Angriffsvektoren zu schärfen und erfolgreiche Initiativen auch anderen unbürokratisch zugänglich zu machen. Letztlich dient diese Transparenz unter Peers dazu, dass sich künftige Sicherheitsvorfälle nicht zu weit größeren ausweiten.
Nichtsdestotrotz: Die beste Strategie bleibt, einen potenziellen Datensicherheitsverstoß zu verhindern oder zu erschweren, noch bevor er stattfindet. Demzufolge sollten Unternehmen über die Implementierung eines einheitlichen Ansatzes bei der Identitätssicherheit nachdenken und grundsätzlich einen identitätszentrierten Sicherheitsansatz verfolgen.
Dabei hilft die Zusammenführung von Lösungen wie Identity Governance and Administration (IGA), Privileged Access Management (PAM) und Access Management (AM). Eine solche Zusammenführung senkt den technischen und administrativen Aufwand, erleichtert es, Sicherheitslücken und Schwachstellen aufzudecken, und sorgt dafür, dass sich die Anzeichen für eine Kompromittierung besser erkennen lassen. Auf dieser Basis können Sicherheitsfachleute flexibler und vorausschauender agieren und somit das Risiko von Sicherheitsverstößen insgesamt verringern.
Alan Radford ist Global IAM Strategist bei One Identity.
