Selbst mit den strengsten Governance-Plänen und Richtlinien sind Datenschutzverletzungen nicht ganz auszuschließen. Tatsächlich kommt es häufiger zu solchen, als man erwarten würde. Positive Technologies zufolge waren allein im April, Mai und Juni 2018 rund 765 Millionen Menschen von Datenschutzverletzungen betroffen.
Wenn es zu einer Datenschutzverletzung kommt, zählt jede Minute. Es bleibt keine Zeit, über „würde, könnte, sollte“ zu diskutieren und auch keine Zeit für Schuldzuweisungen. Wie bei einem undichten Wasserrohr besteht die oberste Priorität nun darin, das Leck zu finden, zu stopfen, Schwachstellen zu beseitigen und Maßnahmen zu ergreifen, mit denen sichergestellt werden soll, dass es nicht erneut zu einer Preisgabe personenbezogener Daten (Personally Identifying Information, PII) oder einer Datenschutzverletzung kommt. In diesem Artikel befassen wir uns damit, wie man ein PII-Leck schnell eindämmt und erörtern einige der Möglichkeiten zur Kontrolle von Datenschutzverletzungen.
Was sind PII?
„PII“ steht für „Personally Identifying Information“ oder personenbezogene Daten. Der Begriff wurde erstmals 1979 vom NIST verwendet. Das NIST beschreibt PII als „Informationen über eine natürliche Person, verwaltet über eine Instanz, einschließlich
(1) jeglicher Informationen, die genutzt werden können, um die Identität einer Einzelperson zu erkennen oder zu verfolgen, wie Name, Sozialversicherungsnummer, Geburtsdatum und Geburtsort, Geburtsname der Mutter oder biometrische Daten; und
(2) aller anderen Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie Informationen medizinischer Natur, über den Bildungsgrad, der finanziellen Situation und des Beschäftigungsverhältnisses.“
Auch bei der FEMA kam es während der Hurrikans Harvey, Irma und Maria sowie während der Großbrände von 2017 in Kalifornien zu einem PII-Leck und einer Datenschutzverletzung. Die Reaktion der FEMA auf die Datenschutzverletzung wurde vom OIG (Office of Internal General) als schwach und nicht rechtzeitig bewertet. Das OIG fand heraus, dass die FEMA und das Heimatschutzministerium „nicht alle Systemkontingenzpläne überprüft, keine Verfahren für die Verarbeitung vertraulicher Informationen entwickelt und keine alternativen Möglichkeiten zur Wiederherstellung der Verarbeitung im Falle von Betriebsstörungen ermittelt hatte.“
Was kann ein Hacker mit PII anfangen?
Ein Hacker braucht keine Sozialversicherungsnummern oder Geburtsdaten, um Ihren Mitarbeitern und Kunden zu schaden. Der Vor- und Nachname, die E-Mail-Adresse, die Wohnadresse, die Telefonnummer und die letzten vier Ziffern der Kreditkartennummer reichen völlig aus, um Schaden anzurichten. Für den bei den meisten Unternehmen zur Anwendung kommenden Verifizierungsprozess sind für das Ausfüllen eines Service-Änderungsantrags, die Versendung einer Gehaltsabrechnung an eine andere Adresse oder die Einrichtung eines Dienstes wie DoorDash nur einige wenige Informationen über eine Person erforderlich.
Möglichkeiten zum Schutz gegen PII-Lecks und Datenschutzverletzungen
Das Schlimmste, was Sie tun können, nachdem Sie eine Datenschutzverletzung entdeckt haben, ist … gar nichts. Je proaktiver Sie vorgehen, desto schneller bekommen Sie das Leck gestopft. Am 7. September 2017 gab Equifax bekannt, dass bei einem Datenleck 145,5 Millionen Kundeneinträge preisgegeben wurden. Später wurde publik, dass Equifax bereits seit Monaten von der Datenschutzverletzung gewusst hatte. Um ein vergleichbares Szenario zu vermeiden, geben wir Ihnen elf Tipps, wie Sie vorgehen sollten:
Keine Panik. Wenn sich in Ihrem Unternehmen eine Datenschutzverletzung ereignet, sollten Sie strategisch überlegte Entscheidungen treffen, die Sie der Ermittlung der Quelle näher bringen.
Suchen Sie zuerst die Quelle des Datenlecks. Bei der „Quelle“ kann es sich um ein System oder eine Person handeln. In jedem Fall sollten Sie mit Ihrer Sicherheits- und IT-Abteilung zusammenarbeiten, um den Spuren nachzugehen. Ein Enterprise-Risk-Management-System wie Compliance Guardian kann eine große Hilfe bei der Eingrenzung der Ursachen für PII-Lecks und Datenschutzverletzungen sein.
Kontaktieren Sie Ihre Auftragnehmer. DasTarget-Datenleck am 15. November 2013 war eine der schwerwiegendsten Datenschutzverletzungen seit Jahren. Ein Grund, warum sich Target so schwer damit tat, das PII-Leck und die Datenschutzverletzung in den Griff zu bekommen, war die Unsicherheit darüber, wo die Verletzung aufgetreten war. Später erfuhr man, dass der HLK-Dienstleister des Unternehmens die Ursache für die Datenschutzverletzung war. Das Target-Datenleck war mit dem Verlust von 40 Millionen Kreditkartennummern und einem Schaden in Höhe von insgesamt 202 Millionen US-Dollar für das Unternehmen verbunden.
Setzen Sie ein Risikomanagement-System ein.AvePoints Compliance Guardiankann bei der Bekämpfung Ihrer PII-Lecks und Datenschutzverletzungen eine entscheidende Rolle spielen. Die Lösung verrät Ihnen genau, wo sich in Ihrem Unternehmen die Datenschutzverletzung ereignet hat und wie sie sich ausbreitet. Zudem kann Compliance Guardian Risiken für Ihr Unternehmen schnell aufspüren und ermöglicht Ihnen das Anlegen von Berichten, die Zeit und Geld sparen. Arbeitet Ihr Unternehmen mit PCI, FTI, DSGVO und/oder HIPAA, ist es unerlässlich, dass Sie ein Risikomanagement-System besitzen.
Richten Sie einen „War Room“ für Untersuchungen, Compliance- und Regulierungsthemen sowie interne und externe Kommunikation ein. Das Beste, was Sie in solch einem Fall tun können, ist, Ihre Geschäftsleitung und Ihr Sicherheitsteam an einen Tisch zu bringen. Ziel dieses Meetings ist das Erarbeiten eines gemeinsamen Plans zum Aufspüren und Beheben der Ursache der Datenschutzverletzung.
Geben Sie häufige Meldungen heraus! Kein Unternehmen ist von negativer Publicity begeistert. Doch wenn Sie es versäumen, zu kommunizieren, machen Sie Ihre Datenschutzverletzung nicht nur kostspieliger, sondern auch zu einem wahren Publicity-Albtraum.
Ziehen Sie möglichst früh Ihre Rechts- und Versicherungspartner hinzu. Nach einer schwerwiegenden Datenschutzverletzung werden Sie die Hilfe Ihrer Rechtsabteilung benötigen, die Sie bei Ihrer Reaktion und den rechtlichen Folgen unterstützt. Auch Ihr Versicherer sollte über das PII-Leck und die Datenschutzverletzung in Kenntnis gesetzt werden, um die Kosten für die Auswirkungen der Datenschutzverletzung beziffern zu können.
Benennen Sie eine Person als zentrales Sprachrohr. Da wir im Zeitalter der sozialen Medien und der Echtzeitkommunikation leben, ist es nicht ungewöhnlich, dass mehrere Vertreter Ihres Unternehmens die Medien mit Tweets oder Neuigkeiten zur Datenschutzverletzung versorgen. Vermeiden Sie dies! Bestimmen Sie stattdessen eine Person, die als Stimme Ihres Unternehmens fungieren soll.
Überprüfen Sie archivierte Berichte. Die Überprüfung Ihrer Risikomanagement-Berichte der letzten Monate kann Hinweise darauf liefern, wo sich das PII-Leck und die Datenschutzverletzung ereignet haben. Beginnen sollten Sie mit Ihren Berichten zu Korrektur- und Vorbeugemaßnahmen (CAPAs). CAPA-Berichte sowie Lebenszyklus-Workflows stehen Ihnen imAvePoint Compliance Guardian zur Verfügung.
Sorgen Sie dafür, dass Berichte leicht verständlich sind. Was nützt ein Bericht, der kaum lesbar ist? Sorgen Sie dafür, dass Berichte für das C-Level-Management leicht verdaulich sind und genug Daten enthalten, damit Ihr Sicherheitsteam reagieren kann.
Überwachen Sie Firmenkonten und Warnmeldungen. Manchmal ist das Nachbeben schlimmer als das eigentliche Erdbeben. Während Sie sich um die Beseitigung der Folgen des PII-Lecks und der Datenschutzverletzung kümmern, sollten Sie Ihr Risikomanagement-System weiterhin laufend auf Unregelmäßigkeiten überprüfen.
Fazit
Als Unternehmen sollten Sie so viele proaktive Maßnahmen gegen Datenschutzverletzungen treffen wie möglich. Diese elf Schritte sollten Ihnen dabei helfen, sich auf das Schlimmste vorzubereiten. Sie sollten nun wissen, was zu tun ist, wenn der Ernstfall eintritt. Haben Sie andere Tipps, die für unsere Leserinnen und Leser Ihrer Meinung nach interessant sind? Dann teilen Sie uns diese in einem Kommentar mit.