Ob Lösegeld gezahlt wird oder nicht, Datenschutzverletzungen haben immer finanzielle Auswirkungen. Organisationen können mit behördlichen Sanktionen, Betriebsverlusten und Rufschädigung rechnen. Eine sorgfältige Planung kann Ihnen Zeit und Geld sparen.
Die Auswirkungen einer Datenverletzung
Datenschutzverletzungen treten auf, wenn eine Sicherheitslücke vorliegt, die zur Offenlegung privater Daten führt. Manchmal ist es ein Insider-Job. Mitarbeiter können einen Fehler machen oder einen Groll hegen und böswillig Daten veröffentlichen, oder jemand könnte ein Whistleblower sein. Datenschutzverletzungen werden jedoch am häufigsten durch Cyberangriffe verursacht. Ransomware-Angriffe, Hacktivisten-Kampagnen, Doxxing-Angriffe und Industriespionage können alle zu Datenschutzverletzungen führen.
RELATEDVorbereitung und Bekämpfung eines Ransomware-Angriffs
Die finanziellen Auswirkungen einer Datenschutzverletzung können enorm sein. Ransomware-Angriffe führen beispielsweise dazu, dass Unternehmen ab dem Moment, in dem sie getroffen werden, Einnahmen verlieren. Selbst wenn einige Teile eines Unternehmens funktionsfähig sind, kann es dennoch zu Umsatzeinbußen kommen. Bei der Ransomware-Attacke Colonial Pipeline vom Mai 2021 konnten die Depots zur Treibstoffproduktion funktionieren, aber das half nicht. Colonial Pipeline hatte seine Abrechnungssysteme verloren. Sie konnten Treibstoffe herstellen, aber weder liefern noch abrechnen.
Wenn persönlich identifizierbare Informationen (PII) verletzt werden, wird Ihnen wahrscheinlich eine lokale, nationale oder sogar internationale Datenschutzgesetzgebung auferlegt. Die Bußgelder berücksichtigen Faktoren wie die Anzahl der betroffenen Personen und die Umstände des Verstoßes. Auch wenn keine Daten Ihr Netzwerk verlassen, gilt ein Ransomware-Angriff als Sicherheitsverletzung, da Sie die Kontrolle über Ihre Daten verloren haben.
Werbung
Entgangene Einnahmen und Lösegeld sind leicht aufzuzählen. Ebenso die Kosten für die Sanierung und Wiederherstellung. Es ist viel schwieriger zu quantifizieren, wie sich ein Vertrauensverlust von Kunden und Mitarbeitern auf Ihr Unternehmen auswirkt. Reputations- und Markenschäden können dazu führen, dass Aktien abrutschen, Top-Mitarbeiter abspringen und Kunden gehen.
Datenschutzverletzungen nehmen zu und fast täglich werden bemerkenswerte Angriffe gemeldet. Für jeden Headliner gibt es zahlreiche andere kleine Sicherheitsverletzungen bei kleineren Organisationen. Um den finanziellen Schaden zu minimieren, müssen Sie im Falle eines Verstoßes schnell reagieren können. Das bedeutet, dass Sie sich proaktiv auf einen solchen Vorfall vorbereiten müssen.
Verstehen Sie Ihren IT-Bestand
RELATEDMacht für die Menschen ? Warum Hacktivismus zurück ist
Die Zeiten des klassischen On-Premise-IT-Nachlasses sind vorbei. Nur sehr wenige Unternehmen behalten die vollständig lokale Infrastruktur aus den Jahren vor den 2000er Jahren bei. Selbst wenn es sich nur um ein externes Backup, ein entferntes Git-Repository oder Microsoft 365 handelt, ist es fast unmöglich, keine Cloud-Komponente in Ihrem IT-Betrieb zu haben.
Und während Cloud Computing kann Kostenvorteile, Skalierbarkeit und Verfügbarkeit bringen, kann aber auch eigene Komplexitäten mit sich bringen. Wenn Sie Container, Microservices, mobile Geräte, intelligente Geräte und APIs hinzufügen, wird Ihre Angriffsfläche viel größer. Dadurch ist es schwierig, Ihre IT und Netzwerke zu verteidigen, und die Wiederherstellung wird im Falle einer Katastrophe schwieriger.
Aus diesem Grund ist es unerlässlich, dass Sie eine Bestandsaufnahme machen und genau quantifizieren, woraus Ihr IT-Bestand besteht. Dokumentieren Sie alle Betriebssysteme, Anwendungen und Hardware. Erstellen Sie Hardware- und Software-Asset-Register und nehmen Sie die Rollen und Funktionen der Assets auf. Dies hilft Ihnen bei der Erstellung Ihres Incident-Response-Plans. Dies ist das Playbook, dem Sie bei einem Vorfall folgen.
VERWANDTE: Vorbereitung und Bekämpfung eines Ransomware-Angriffs
Was stellen Sie zuerst wieder her?
Wenn alles ausgefallen ist, was stellen Sie zuerst wieder her? Je schneller Sie die Betriebsfähigkeit wiederherstellen, desto schneller können Sie Ihre Einnahmequellen wieder aktivieren. Aus diesem Grund müssen Ihre IT-Asset-Register die Rollen und Funktionen der Anwendungen, Server und Software enthalten. Diese Informationen dienen der Erstellung Ihres Incident Response Plan (IRP).
Das Einstudieren des Vorfallsreaktionsplans—mit allen relevanten Beteiligten, die anwesend und eingebunden sind—wird die kritischen Systeme aufdecken, die wiederhergestellt werden müssen, bevor alles funktioniert. Danach können Sie gemeinsam festlegen, in welcher Reihenfolge wichtige Jobfunktionen oder Abteilungen wiederhergestellt werden müssen.
Werbung
Ein Vorfallreaktionsplan hilft Ihnen, Ihre Gesamtausfallzeit zu minimieren. Dies kann nicht über bestimmte praktische Grenzen hinaus reduziert werden, die durch die Größe und Komplexität Ihrer IT-Infrastruktur und die Schwere des Angriffs bestimmt werden. Das Beste, was Sie tun können, ist die Reihenfolge festzulegen, in der finanzkritische Teams oder Abteilungen wieder online gebracht werden.
Wenn Sie Geld von einem bestimmten Ort abschöpfen, drücken Sie dort die heißes Bügeleisen.
Ein IRP ist ein Geschäftsdokument
Ihr Incident-Response-Plan ist nicht nur ein IT- oder Sicherheitsteamdokument. Es ist eine kritische Geschäftspolitik und ein Verfahren. Es ist von entscheidender Bedeutung, dass bei der Überprüfung, Abnahme und Einstudierung alle Geschäftsbeteiligten einbezogen werden. Sie geben nicht nur Input und Anleitung, sondern lernen auch die Probleme und Herausforderungen eines echten Vorfalls kennen.
RELATEDWas ist Doxxing und wie wird es bewaffnet?
Dieses Verständnis wird zwei große Vorteile haben. Die erste ist, dass sie verstehen, dass bei einem realen Vorfall dem Sicherheitsteam erlaubt werden muss, an den Problemen zu arbeiten und den Vorfall zu bearbeiten. Über ihnen zu stehen hilft nicht. Die zweite ist, dass das Unternehmen den Bedarf an spezialisiertem Know-how erkennt. Und wenn dieses Know-how intern nicht verfügbar ist, sollten sie den Wert darin erkennen, einen kompetenten Anbieter zu finden und sich jetzt mit ihnen zu befassen und nicht mitten in einem Vorfall.
Die Suche nach externem Expertenwissen während einer Krise ist zu spät. Wenn Sie jemanden finden, zahlen Sie Notfalltarife. Aus technischer Sicht sind sie im kalten Zustand weniger effektiv, als wenn sie im Voraus auf Stand-by-Halter gestellt wurden und Zeit haben, sich mit Ihrem Betrieb vertraut zu machen.
Natürlich müssen Sie sich nicht nur auf die Sicherheit oder andere technische Expertise berufen. PR-, Personal-, Callcenter- und Social-Media-Funktionen müssen möglicherweise durch externe Unterstützung verstärkt werden.
Behördliche Dokumentation vorbereiten
Wenn eine Verletzung eintritt, beginnt eine Uhr zu ticken. Abhängig von den geltenden Datenschutzgesetzen, die vom Wohnsitz der betroffenen Personen und nicht vom Standort Ihrer Organisation diktiert werden, haben Sie nur einen kurzen Zeitraum, um mehrere obligatorische Schritte durchzuführen. Wenn Sie diese Schritte nicht ausführen oder die Fristen nicht einhalten, erhöhen sich die Ihnen auferlegten Geldbußen.
Werbung
Beispielsweise kann der Zeitraum, innerhalb dessen Sie die zuständige Datenschutzbehörde—die Aufsichtsbehörde—benachrichtigen müssen, bis zu 72 Stunden betragen. Natürlich müssen Sie alle Datenschutzgesetze verstehen, die für Sie gelten und was jede einzelne von Ihnen verlangt.
Wenn Sie personenbezogene Daten von britischen Staatsbürgern verarbeiten, müssen Sie den Data Protection Act 2018 erfüllen, der die britische Version der DSGVO enthält. Wenn Sie personenbezogene Daten von Bürgern von EU-Staaten verarbeiten, müssen Sie die europäische Version der DSGVO erfüllen. Wenn Sie die Qualifikationskriterien des CCPA erfüllen und in seinen Geltungsbereich fallen, muss Ihre Organisation auch den CCPA erfüllen. Und so geht es für jedes anwendbare Gesetz weiter. Ihr Datenschutzbeauftragter oder CIO sollte einen Beitrag zum Vorfallreaktionsplan geleistet haben, damit die von den einzelnen Rechtsvorschriften geforderten Maßnahmen und Zeitpläne klar sind.
Mitteilungen an Aufsichtsbehörden und betroffene Personen, die sie über den Verstoß informieren, müssen obligatorische Abschnitte enthalten und ausreichende Angaben enthalten, um die Aufsichtsbehörde zu befriedigen. Daher ist es unmöglich, vorausgefüllte Abrechnungen im Voraus vorzubereiten. Sie können jedoch Dokumente mit den obligatorischen Informationen zu Ihren IT-Systemen und der Organisation erstellen. Mit einem Paket von vorfallfertigen Dokumenten für jede Rechtsvorschrift wird die Herausforderung, die behördlichen Anforderungen innerhalb der Fristen zu erfüllen, auf eine Reihe von Datenerfassungs- und Formularübungen reduziert.
Vielleicht haben Sie’ ;wird wegen des Datenschutzverstoßes mit einer Geldstrafe belegt. Stellen Sie sicher, dass die Compliance-Aspekte des Vorfalls beseitigt werden, um unnötige Bußgelder zu vermeiden.
VERBUNDEN: Der CCPA ist nicht nur für kalifornische Unternehmen gedacht. Das müssen Sie tun, um konform zu sein
Vor- und nachgelagerte Verantwortung
Organisationen, die Daten im Auftrag anderer Organisationen verarbeiten, werden als Auftragsverarbeiter bezeichnet. Organisationen, die mit ihnen zusammenarbeiten, sind Datenverantwortliche. Datenverarbeiter und Datenverantwortliche tragen die gemeinsame Verantwortung für die Daten. Wenn ein Datenverarbeiter einen Verstoß hat, sieht das moderne Datenschutzrecht beide Parteien haftbar. Der Datenverantwortliche hat den Datenverarbeiter ausgewählt, und der Datenverarbeiter hatte den Verstoß.
Werbung
Beide Parteien können Geldstrafen erhalten und die betroffenen Personen können Sie beide verklagen. Wenn der Datenverarbeiter angibt, dass der Grund für die Verletzung eine Unterlassung oder ein Versehen des Datenverantwortlichen war, kann er den Datenverantwortlichen verklagen.
Es ist wichtig, einen Datenverarbeiter zu haben Vereinbarungen mit allen Ihren Datenverarbeitern. Und wenn Sie ein Auftragsverarbeiter sind, stellen Sie sicher, dass die Bedingungen der Auftragsverarbeitervereinbarungen, an die Sie gebunden sind, keine unfairen finanziellen Strafen darstellen.
Prävention ist besser Than Cure
Aber Vorbereitung ist besser als Pandämonie, wenn das Schlimmste passieren sollte. Ein ganzheitlicher Spielplan, der die internen technischen Teams, die externe Fachhilfe sowie die Compliance- und Rechtsteams regelt, wird Sie so durch eine Datenschutzverletzung führen, dass die finanziellen Auswirkungen verringert werden.