5 Expertenmeinungen zum Umgang mit Datenschutzverletzungen

Das Risiko einer Datenschutzverletzung ist für Unternehmen, die wichtige Informationen wie Kundendaten, geistiges Eigentum, Geschäftsgeheimnisse und sensible Unternehmensdaten besitzen, heute grösser denn je. Als Datenschutzverletzung gilt jeder unbefugte Zugriff auf personenbezogene Daten sowie deren Erfassung, Verwendung, Weitergabe, Vervielfältigung oder Änderung. Datenschutzverletzungen können aus verschiedenen Gründen auftreten, aber es ist wichtig, dass Unternehmen die notwendigen Massnahmen ergreifen und sich mit präventiven Aktionen auf Datenschutzverletzungen vorbereiten. Wir haben 5 Cybersicherheitsexperten nach ihrer Meinung zum Umgang mit Datenschutzverletzungen gefragt und ob es einen richtigen oder falschen Weg gibt, mit ihnen umzugehen, wenn sie auftreten. Lesen Sie weiter, um ihre Erkenntnisse zu erfahren.

Helen Rabe (CISO bei BBC)

Die Art und Weise, wie Unternehmen mit einer Datenschutzverletzung umgehen müssen, hängt von der Art des Vorfalls ab. Nicht alle sind vermeidbar, einige sind zu ausgeklügelt und trotz der vorhandenen Kontrollen wird der Angreifer immer durchkommen, wenn er entschlossen ist. In einigen Fällen kann es einem Angreifer durch mangelhaftes Vorgehen bei einigen der grundlegendsten Kontrollen gelingen, Ihre Systeme zu kompromittieren und in sie einzudringen. Es gibt kein Patentrezept für die Verhinderung oder Bewältigung von Sicherheitsverletzungen.

Was den richtigen oder falschen Umgang mit ihnen angeht, so bin ich subjektiv der Meinung, dass Ihr Notfallplan für den Erfolg bei der Bewältigung eines jeden Vorfalls entscheidend ist. Sie müssen jährliche Übungen durchführen, um die Wirksamkeit des Plans zu testen und sicherzustellen, dass alle Parteien, einschliesslich der internen Kommunikation und der Rechtsabteilung, einbezogen werden.

Wenn der Vorfall eine Mitteilung an die Öffentlichkeit rechtfertigt, befolgen Sie die Grundprinzipien einer verantwortungsvollen Offenlegung. Es ist am besten, die Kommunikation über einen Vorfall mit Authentizität und Transparenz zu gestalten. Wenn es sich um einen bemerkenswerten Verstoss handelt, der Kunden betrifft, und Sie keine verantwortungsbewusste Offenlegung vornehmen, sollten Sie sich bewusst sein, dass es sich auf Ihren Ruf und Ihre Glaubwürdigkeit auswirken kann, wenn dies den Weg in die Öffentlichkeit findet.

Colin Hardy (Spezialist für Malware)

Man könnte sagen, dass Datenschutzverletzungen unvermeidlich und in der Tat fast unvermeidlich sind – entweder als direktes Ergebnis von etwas, das in Ihrem Unternehmen passiert, oder von einer Aktion in einem anderen Unternehmen, mit dem Sie Geschäfte machen und das Ihre Daten besitzt. SolarWinds ist ein Paradebeispiel dafür, wo viele Tausende von Organisationen rund um den Globus Opfer eines Systems wurden, das von einem nationalen Bedrohungsakteur kompromittiert wurde, nur weil sie ein Software-Update aufgespielt hatten; Massnahmen, die eigentlich als beste Sicherheitspraxis gelten!

Ich denke, es gibt so viele verschiedene Möglichkeiten, mit einer Datenschutzverletzung umzugehen, und natürlich hängt jedes Reaktionsszenario von den Faktoren ab, die in jedem einzelnen Fall zutreffen. Fragen wie die, wann man mit einer Meldung über eine Datenschutzverletzung an die Öffentlichkeit gehen sollte oder ob man ein Lösegeld zahlen sollte, um die Systeme wieder zum Laufen zu bringen, und wie man seine Kunden während des Vorfalls am besten auf dem Laufenden hält, sind in den Teams für die Reaktion auf einen Vorfall und die Unternehmenskommunikation sicherlich sehr häufig.

Meiner Meinung nach gibt es definitiv einen falschen Weg, mit einer Datenschutzverletzung umzugehen. Wenn Sie Ihren Kunden gegenüber nicht offen sind, ein Problem nicht nach bestem Wissen und Gewissen untersuchen und nicht in ein Programm zur Erhöhung der Sicherheit investieren, um eine Wiederholung zu verhindern, ist das sicherlich ein fragwürdiges Verhalten.

Auf der anderen Seite gibt es auch keinen richtigen Weg, mit einer Sicherheitsverletzung umzugehen. Vor allem aber ist die Kommunikation entscheidend. Wenn die von einer Sicherheitsverletzung Betroffenen informiert werden und das Unternehmen zeigt, welche Schritte es unternommen hat, um die Situation zu verbessern, trägt dies wesentlich zur Erholung des Unternehmens bei.

Sjaak Schouteren (Cyber Practice Leader bei Marsh Netherlands)

Natürlich gibt es viel zu tun, um Datenschutzverletzungen zu vermeiden. Sie können technische und organisatorische Massnahmen ergreifen, um das Risiko zu mindern. Aber 100%ige Sicherheit gibt es nicht. Deshalb ist es wichtig, dass Sie wissen, wie Sie sich verhalten sollen, wenn doch etwas passiert. Wir haben ein Online-Tool zur Cyber-Selbsteinschätzung auf der Grundlage des NIST entwickelt, und aus den Daten geht hervor, dass viele Unternehmen sich in den Bereichen „Identity“, „Protect“ und „Detect“ verbessern. Leider hinken viele noch hinterher, wenn es um ‚Reagieren‘ und ‚Wiederherstellen‘ geht.

Wenn Sie die Nachrichten verfolgen, sehen Sie dies oft in dem, was ich zynisch den Lebenszyklus einer Datenschutzverletzung nenne:

„Es gab einen kleinen Einbruch, den wir frühzeitig entdeckt haben, und es wurde nichts Materielles gestohlen oder beschädigt.

„Wir haben festgestellt, dass die Kriminellen etwas länger in unseren Systemen waren, als wir dachten, und dass sie möglicherweise mehr Daten in der Hand hatten als erwartet.“
„Tatsächlich waren die Kriminellen mehr als 100 Tage lang in unseren Systemen, haben eine Menge sensibler Daten unserer Kunden gestohlen und wir hätten das schon vor einigen Monaten bemerken müssen.“

In den meisten Unternehmen gibt es Brandschutzübungen, und sie wissen, an wen sie sich wenden müssen, wenn etwas passiert. Bei Cyber-Vorfällen wie Datenschutzverletzungen ist dies leider immer noch nicht der Fall.

Schneider Bettina (Forschungsprofessorin an der Hochschule für Gestaltung und Kunst Nordwestschweiz FHNW)

Meiner Meinung nach könnten viele Datenschutzverletzungen vermieden werden, wenn die Datenschutzgrundsätze – nämlich „privacy by design“ und Datenminimierung – konsequent und von Anfang an umgesetzt würden. Eine weitere wichtige Säule zur Vermeidung von Datenschutzverletzungen ist die Schulung und Sensibilisierung der Mitarbeiter und der beteiligten Akteure, z. B. der Lieferanten.

Fehler gehören aber einfach zum Leben dazu, daher wird es immer eine gewisse Anzahl von Vorfällen geben. Wenn es zu einer Datenschutzverletzung gekommen ist, sollte eine der ersten Maßnahmen darin bestehen, den Datenschutz zu klären. Dazu gehören beispielsweise die Bewertung der Situation, die Meldung der Verletzung, das Ergreifen von sofortigen Gegenmassnahmen und natürlich eine transparente Kommunikation mit den vom Vorfall betroffenen Personen/Kunden/Lieferanten.

Fred Streefland (CEO bei Secior)

Meine Antwort auf die Frage, ob es einen richtigen oder falschen Weg gibt, mit Datenschutzverletzungen umzugehen, wäre NEIN und JA. Eine seltsame Antwort, aber so sehe ich die Sache. In der heutigen digitalisierten Welt ist jeder und alles angreifbar und kann missbraucht werden. Aber das muss nicht passieren.

Als Unternehmen müssen Sie diese Schwachstelle nicht hinnehmen und können alles tun, um dies zu verhindern, indem Sie den Zero-Trust-Ansatz umsetzen. Ich werde Zero Trust in diesem Interview nicht erklären, aber kurz gesagt: Ein Zero Trust-Ansatz braucht das Engagement des Vorstands und muss von einem vom Vorstand unterstützten CISO mit einem umfassenden Mandat und daher kaum Budgetbeschränkungen umgesetzt werden. Zero Trust ist eine Reise und kann einige Jahre dauern, um die Cybersicherheit einer Organisation zu erhöhen, aber es ist meiner Meinung nach der einzige Weg, um Datenschutzverletzungen zu verhindern.

Leider werden die meisten Organisationen nicht in der Lage sein, Datenschutzverletzungen zu vermeiden. Daher sind ein guter Plan für die Reaktion auf Zwischenfälle und die Prüfung dieses Plans wesentliche Voraussetzungen für einen Sicherheitsfachmann, der für die Sicherheit einer Organisation verantwortlich ist.

Machen Sie Ihre Mitarbeiter fit für den Cyberspace

Die Aus- und Weiterbildung von Mitarbeitern ist ein äusserst effizienter Weg, ihre Fähigkeiten zu erweitern. Darüber hinaus können Mitarbeiter durch Schulungen zur Cybersicherheit erfahren, was sie im Falle eines Cyberangriffs zu tun haben und wie sie Sicherheitsbedenken melden können. Informieren Sie sich über das Programm Cyber Security Specialist mit eidgenössischem Diplom. Dieses Programm wurde entwickelt, um Ihnen ein vertieftes Verständnis dafür zu vermitteln, wie Sie digitale Systeme und Daten vor Cyberangriffen schützen und so Schäden an sensiblen Unternehmenswerten abwenden können. Laden Sie die Programmbroschüre herunter oder kontaktieren Sie uns für weitere Informationen.

Helen Rabe (CISO bei BBC)

Colin Hardy (Spezialist für Malware)

Sjaak Schouteren (Cyber Practice Leader bei Marsh Netherlands)

Schneider Bettina (Forschungsprofessorin an der Hochschule für Gestaltung und Kunst Nordwestschweiz FHNW)

Fred Streefland (CEO bei Secior)

Machen Sie Ihre Mitarbeiter fit für den Cyberspace

Sicherheitsschulung als Grundlage für eine aufmerksame Belegschaft (Experteninterview)

5 Vorteile von Cybersicherheitstrainings für Mitarbeiter im Jahr 2022

3 Wichtige Statistiken aus dem Global Cybersecurity Outlook 2022

5 Cybersecurity-Trends und Vorhersagen von Experten