Newsletter - Datenschutz

Wie Unternehmen aus Datenschutzverletzungen lernen können.

Die Zahl schwerer Datenschutzverletzungen stieg in Unternehmen vor allem in den vergangenen beiden Jahren an.  Bei aller Verschiedenheit der Angriffe tauchen grundsätzliche Muster auf, und dem Management stellen sich einige typische Fragen. Ein Interview mit David Lin von Varonis.

 

Wie erfahren Unternehmen typischerweise von Datenschutzverletzungen?
Lin: Es ist erwiesen, dass Unternehmen leider meistens von Außenstehenden von einer Datenschutzverletzung erfahren. Etliche Beispiele und Analysen findet man im Datenschutzbericht von Verizon. In den seltensten Fällen sind es die Unternehmen selbst, die etwas bemerken. Eher machen rechtstaatliche Organe eine Firma darauf aufmerksam oder auch Dienste, die sich auf das Aufdecken von Sicherheitslecks spezialisiert haben.

Ob eine Datenschutzverletzung oder ein Missbrauch von Daten vorliegt, lässt sich nur feststellen, wenn die Dateien systematisch überwacht werden. Man kann schlicht und ergreifend nicht feststellen, ob beispielsweise Vermögenswerte oder intellektuelles Kapital eines Unternehmens gefährdet sind, wenn man nicht weiß wie die zugehörigen Dateien genutzt werden. 

Ein nicht unerheblicher Teil des Problems ist es, dass gerade unstrukturierte Daten der blinde Fleck fast jeden Unternehmens sind. Es gibt immer noch etliche Plattformen, die es nicht erlauben die Zugriffe auf Dateien umfassend zu überwachen. Dann allerdings wird es extrem schwierig, Datenschutzverletzungen frühzeitig als solche zu erkennen.

 

Gibt es seitens der Unternehmen typische Fehler, wenn Firmen auf eine Datenschutzverletzung aufmerksam werden?
Lin: Man kann durchaus eine Menge Zeit und Geld in Katastrophenpläne investieren. Das ist auch richtig. Allerdings übersehen und unterschätzen viele Unternehmen einen wichtigen Aspekt: Datenschutzverletzungen sind oftmals auf menschliche Fehler oder auf den Missbrauch von Zugriffsrechten zurückzuführen. Im Falle einer Datenschutzverletzung ist es für ein Unternehmen immens wichtig zumindest festzustellen, welche Daten genau gestohlen oder gelöscht worden sind. Und welche Ansprüche daraus gegenüber Kunden, Partnern und Aktionären entstehen. 

 

Existieren Empfehlungen anerkannter Institutionen, wie Unternehmen den entstandenen Schaden wenigstens begrenzen können?
Lin: Die Vereinigung der Kreditkarteninstitutionen (PCI) hat beispielsweise einen eigenen, unter dem Namen DSS, bekannten Standard. Dazu kommen Best Practices. Was Datenschutzverletzungen anbelangt, setzt die PCI auf das Überwachen der Dateien und der Sicherheitskontrollsysteme selbst. Zusätzlich empfiehlt die Brancheninstitution Tools, die automatische Benachrichtigungen versenden, wenn bestimmte Vorgaben nicht eingehalten werden oder es zu Abweichungen kommt. Das betrifft Patch-Updates genauso wie Dateien und Ports.

 

Was ändert sich in Bezug auf Richtlinienanforderungen je nach dem ob ein Insider oder ein Outsider für die Datenschutzverletzung verantwortlich ist?
Lin: Das kommt auf die jeweils zutreffenden Richtlinien und Gesetze an. Möglicherweise ist das Unternehmen verpflichtet, die verantwortliche Regierungsbehörde zu informieren, genauso wie Kunden, deren Daten betroffen sind. Nicht jeder Vorfall, bei dem Daten kompromittiert worden sind, ist automatisch meldepflichtig. Man muss in die Details der entsprechenden Vorschriften und Gesetze gehen. Insbesondere was die genaue Definition der sogenannten Personally Identifiable Information (PII) anbelangt. Und selbst wenn PII-Daten betroffen sind, ist es nicht immer notwendig, umfassend öffentlich darüber zu informieren, wenn nur ein sehr geringer finanzieller Schaden entstanden ist und der Ruf eines Unternehmens durch die Datenschutzverletzung nicht weitergehend beschädigt worden ist.

Sind Insider im Spiel, sieht die Sache in aller Regel anders aus. Sind beispielsweise IPs oder Handelsgeheimnisse gestohlen worden, stellt sich die Gesetzeslage grundlegend verschieden dar. NDAs oder andere vertragliche Vereinbarungen greifen zusätzlich. In Fällen von Wirtschaftsspionage sind beispielsweise die zuständigen Behörden in Kenntnis zu setzen. 

 

Gibt es einen formalisierten Prozess, den Unternehmen für sich nutzen können, um möglichst viel aus einem Vorfall zu lernen und somit für die Zukunft besser gerüstet zu sein?
Lin:  Unternehmen müssen unbedingt einen Plan für den Fall eines Datenschutzverstoßes haben. Vor allem für die Zeit, nachdem der Verstoß entdeckt worden ist. Genausowenig wie man auf Brandschutzmaßnahmen in Gebäuden verzichten würde, kann man auf entsprechende Pläne im Falle eines Datenschutzverstoßes verzichten. Unterschiedliche Arten von Daten und Informationen unterliegen unterschiedlichen Richtlinien und Anforderungen. Deshalb ist es so wichtig, dass Unternehmen genau wissen, welche Arten von Daten sie speichern und was die mit genau diesen Daten verbundenen Anforderungen in punkto Datenschutz sind. Nur so lassen sich passgenaue Maßnahmenpläne entwickeln. 

   


Quelle: BUSINESS INTELLIGENCE MAGAZINE, www.bi-magazine.net
© ProfilePublishing Germany GmbH 2015-2016. Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung der ProfilePublishing Germany GmbH

Business Intelligence Magazine: Springe zum Start der Seite