Ich hoffe, dass dieser Text in Ruhe gelesen werden kann. Dann, wenn man sich nicht gerade in der Lage befindet, eine Datenpannen kommunizieren zu müssen. Dieser Text soll im besten Fall zur Weiterbildung dienen – bevorzugt zu einer ruhigen und friedlichen Stunde.

Wenn von einer Datenpanne betroffene Personen im Internet nach „Maßnahmen nach einer Datenpanne“ suchen, stellt vermutlich das Computersicherheitsproblem nur eine Ursache dar. Unabhängig davon, ob man bereits gehackt wurde oder nicht: Der beste Zeitpunkt für die Entwicklung eines Sicherheitsmaßnahmenplans und das Üben von Gegenmaßnahmen liegt lange vor einem Cyberangriff. Es gibt keinen besseren Zeitraum als die Gegenwart, um sich auf einen Notfall vorzubereiten.

Nachdem ich die Umfrage zur globalen Informationssicherheit von Ernst & Young eingehend untersuchte, war es für mich offensichtlich, dass Unternehmen quer durch alle Branchen immer öfter auf Datenpannen gänzlich unvorbereitet sind. Etwa 56 Prozent der Umfrageteilnehmer geben an, dass sie ihre Geschäftsstrategien geändert haben, um den Risiken von Cyberbedrohungen Rechnung zu tragen, oder dass sie die Strategie in diesem Zusammenhang zumindest überprüfen werden.

Allerdings sind nur vier Prozent der Unternehmen davon überzeugt, dass sie die Ableitungen für die Informationssicherheit aus der Unternehmensstrategie vollständig berücksichtigt haben und dass ihr Risikohorizont alle relevanten Risikos und Bedrohungen einbezieht. Teilweise mag dieser Umstand zwar auf die komplexe Bedrohungslandschaft zurückzuführen sein. Dennoch zeigt es auch, inwieweit sich Unternehmen von der enormen Aufgabe überfordert fühlen.

Tatsächlich geben 35 Prozent der Umfrageteilnehmer an, dass ihre Datenschutzrichtlinien eher Ad-hoc-Maßnahmen gleichen oder gar nicht existent sind. Abgesehen von zwölf Prozent der Unternehmen, verfügen alle anderen über Programme zur Erkennung von Datenpannen. Allerdings sind sich viele Unternehmen nicht ihrer rechtlichen Verantwortung bewusst. Rund 17 Prozent der Befragten geben an, dass sie bei einer Datenpanne nicht alle Kunden benachrichtigen würden.

Gar zehn Prozent würden betroffene Kunden überhaupt nicht informieren. Es gibt nur wenige Länder, in denen solches Verhalten nicht zu erheblichen Bußgeldern führt – geschweige denn zum Vertrauensverlust der Kunden. Der moralischste, ethischste und logischste Weg, mit Risiken umzugehen, ist nicht der des Stillschweigens und Hoffens, dass niemand die Misere bemerkt.

Verantwortliche sollten sich Zeit nehmen, um logisch und bewusst darüber nachzudenken, wie welche digitalen Ressourcen abgesichert werden können. Wer sich auf das Schlimmste vorbereitet, hat in Zukunft im Notfall wahrscheinlich bessere Chancen.

In Deutschland gibt es ein Zivilverteidigungskonzept, in dem die Bundesregierung die Bevölkerung dazu aufruft, Vorräte für den Notfall anzulegen. Obwohl es bei Datenpannen weniger um „Leben und Tod“ geht wie bei Erdbeben, verheerenden Feuern oder Schneestürmen, bedeutet das nicht, dass Unternehmen die Vorbereitungen auf Datenpannen bis zum Eintreten hinausschieben können.

Das Jahr 2017 haben wir gerade erst verabschiedet. Im Rückblick stellen wir fest, welche schmerzhaften Erfahrungen viele Unternehmen im vergangenen Jahr machen mussten; wie sie Datenpannen sup-optimal kommunizierten und welche Reputationseinbußen sie erfuhren.

Bei vielen Krisen ist es so, dass man aus ihr leichter wieder herauskommt, mit je mehr Informationen und Bewusstsein man in sie hereingeriet – Ganz gleich ob es sich dabei um ein Unternehmen als primäres Angriffsziel handelt oder um einen Kunden, dessen sensible Informationen gestohlen worden sind.

Im Nachfolgenden sind einige Punkte erläutert, die in die Datenpanne-Vorsorgestrategie aufgenommen werden sollten.

Die stets aktualisierte Maßnahmenliste bei Datenpannen

In etwa gleichen die Informationen in diesem Maßnahmenkatalog denen, die man seinem Babysitter überreichen würde. Zum Beispiel: Wer sollte im Fall eines Notfalls verständigt werden und in welcher Reihenfolge? Welche Maßnahmen sollten bei welchem Umstand ergriffen werden? Der Beitrag von Denise Giusto Bilić5 Schritte zum Umgang mit einer Infektion im Firmennetz“ hilft zu verstehen, welche Sicherheitsmaßnahmen – angepasst an die Bedürfnisse des eigenen Unternehmens – zu ergreifen sind.

Da Sicherheit vielmehr ein Prozess als ein Ziel ist, muss die Maßnahmenliste ständig aktualisiert werden. Keiner benötigt Notfallanweisungen für einen Prozess, der nicht mehr existiert. Die Aktualität betrifft auch die Ansprechpartner für Notfallsituationen. Ansprechpartner können Positionen oder das Unternehmen wechseln oder sich im Urlaub befinden. Die Maßnahmenliste sollte an einem sicheren und verschlüsselten (Diebstahlschutz) Ort aufbewahrt werden, gleichzeitig aber einfach zu finden und zu verstehen sein, damit Verantwortliche im Datenpannen-Notfall schnell agieren können.

breach

Informative Benachrichtigungen

Es überrascht nicht sehr, dass die Überbringung von schlechten Neuigkeiten eine delikate Angelegenheit ist und Fingerspitzengefühl erfordert. Im Fall einer Datenpanne überträgt man diese Aufgabe nicht einfach an jemand anderen. Die Kommunikation einer Datenpanne ist vorher unbedingt mit der Rechtsabteilung oder einem Anwalt zu klären, welche/der sich auf die Informationspflichten nach dem Bundesdatenschutzgesetz (§ 42a BDSG) und IT-Sicherheitsgesetz spezialisiert hat. Eine Kommunikationsvorlage wird Notfallhelfern erlauben, wichtige Informationen rechtzeitig an Betroffene zu kommunizieren.

Viele Unternehmen irren und zögern die Benachrichtigung der Betroffenen weit bis nach der internen Untersuchung hinaus. Zurück bleiben verärgerte Kunden. Selbst bevor alle Einzelheiten über eine Datenpanne aufgeklärt sind, sollten die Kunden über den Vorfall informiert werden. Das gibt ihnen die Möglichkeit, auch selbstbestimmt Sicherheitsmaßnahmen einzuleiten.

Niemals sollte das gute Gefühl unterschätz werden, was sich einstellt, wenn betroffene Kunden mit regelmäßigen Updates versorgt werden – selbst, wenn diese gar nicht so informativ sind. Natürlich ist es keine schlechte Idee, noch einmal einen Editor über den Text lesen zu lassen, damit kein Schreiben mit Platzhaltern versendet wird.

Zu bedenken ist, dass eine Datenschutzverletzung vom Kunden oft als Vertrauensbruch aufgenommen wird. Deswegen ist es sinnvoll, sie im Fall einer Datenpanne nicht alleine zu lassen und sie mit regelmäßigen Updates / Benachrichtigungen zu versorgen. Nur auf diese Weise kann sich wieder ein Vertrauensverhältnis aufbauen.

Datenpannen-Landingpage aufsetzen

Vorlagen sind auch eine willkommene Möglichkeit, informative Websites bei Datenpannen bereitzustellen. Im Ernstfall müssen nur die relevanten Informationen eingepflegt werden und die Website kann sofort live genommen werden. Damit ersparen sich Unternehmen viel Arbeit im Notfall – bei dem das Stresslevel ohnehin sehr hoch liegt. Ganz gleich ob für die Benachrichtigung eine neue Domain gekauft oder eine neue Site der Webseite erstellt wird, wichtig ist, dass man die Entscheidung vor dem Eintreten einer Datenpanne trifft.

Die URL der Datenpannen-Landingpage sollte möglichst kurz und einprägsam sein. Damit ist gewährleistet, dass sie über viele Kanäle hinweg (Nachrichtenportale, Radio & TV) leicht zu streuen ist. Wir empfehlen außerdem, ähnlich klingende oder geschriebene Domains zu registrieren, da so das Risiko der Bildung von Scam- und Phishing-Webseiten vermindert wird.

Verbraucherschutz bei Datenpannen

Nach Datenpannen bieten Unternehmen ihren Kunden häufig verbesserte Sicherheitsmaßnahmen an, um mögliche Schäden zu reduzieren. Im Falle der Kreditüberwachung ist es sinnvoll, dies erst nach einem Angriff anzubieten.

Mit Hilfe von verbesserten Authentifizierungsmethoden, die bereits vor einer Datenpanne angeboten werden, lassen sich die Kosten des Reputationsverlusts erheblich senken. Die Bewerbung der Authentifizierungsmethode sowie die allgemeine Erhöhung der Sicherheitsstandards und der Privatsphäre kann ein entscheidender Wettbewerbsvorteil gegenüber anderen Unternehmen sein und zur Markentreue beitragen. Viele Menschen verstehen nichts von gehashten Passwörtern, Salt & Pepper oder Netzwerksegmentierung. Dennoch werden sie zu schätzen wissen, dass niemand sonst auf ihre Passwörter und andere sensible Informationen zugreifen kann.

Richtlinien und Verfahren von Datenpannen-Gegenmaßnahmen testen

Ein- bis zweimal im Jahr sollte der Ernstfall simuliert und die einzuleitenden Gegenmaßnahmen getestet werden, ohne Kunden und externe Unternehmen wirklich zu kontaktieren. Einige Branchen arbeiten schon mit Krisenmanagement-Berater zusammen. Wer Szenarien aus Fallstudien anderer Datenpannen heranzieht und berücksichtigt, kann seine eigene Simulation realistischer gestalten und die eigenen Datenpannen-Gegenmaßnahmen auch besser vorbereiten.

Höchstwahrscheinlich werden diese Tests dazu führen, dass Unternehmen ihre Richtlinien und Verfahren für Datenpannen-Gegenmaßnahmen überdenken. In der Tat erscheint es äußert sinnvoll, Änderungen nach Simulationen vorzunehmen; immer unter der Prämisse, welche Arbeitsumgebung vorherrscht. Wer solche Ideen in die Praxis umsetzt, wird vielleicht auch Wege finden, die Notfallmaßnahmen effektiver und effizienter zu gestalten.

Kein Unternehmen ist zu groß oder zu klein, um nicht Angriffsziel zu sein. Wer im Besitz von Informationen ist, die für irgendjemand (z.B. Cyberkriminelle) von Interesse sein könnten – egal, ob man versteht, wie die Daten monetarisiert oder als „Waffe“ genutzt werden - ist automatisch ein Ziel.