Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Schulungen zum Sicherheitsbewusstsein

    Identifizierung und Meldung von Datenschutzverletzungen

    Die meisten Unternehmen werden irgendwann mit einer Datenschutzverletzung konfrontiert. Da so viel auf dem Spiel steht, ist es wichtig zu wissen, wie man eine solche Verletzung erkennt und meldet.

    by Allan Halcrow
    gettyimages-1300319507.png

    Wichtige Punkte

    • Datenschutzverletzungen sind mittlerweile so häufig, dass viele Experten der Meinung sind, dass fast jedes Unternehmen irgendwann einmal davon betroffen sein wird.
    • Die Nichtmeldung einer Datenschutzverletzung kann sich auf die Fähigkeit einer Organisation auswirken, den Schaden zu begrenzen, kann ihrem Ruf schaden - und kann sogar illegal sein.
    • Ein Flickenteppich von Gesetzen bestimmt, welche Verstöße gemeldet werden müssen, wann sie gemeldet werden müssen und wer informiert werden muss.

    Keine Nachricht ist oft eine gute Nachricht, aber wenn ein Unternehmen von einer Datenschutzverletzung betroffen ist, ist keine Nachricht - d. h. das Versäumnis, die Verletzung zu melden - eine sehr schlechte Nachricht. Die Nichtmeldung einer Sicherheitsverletzung ist in vielen Fällen nicht nur illegal, sondern beraubt auch die Kunden oder Lieferanten eines Unternehmens der Möglichkeit, die Auswirkungen der offengelegten Daten zu minimieren. Die daraus resultierenden Folgen können auch das Vertrauen der Kunden und den Ruf der Marke schädigen. Da so viel auf dem Spiel steht, sagen Experten, dass das Wissen, wie man Datenschutzverletzungen erkennt und meldet, zu den wichtigsten Bestandteilen starker Datensicherheitsprotokolle gehört.

    Datenpanne: Wie kommt es dazu?

    Obwohl kriminelle Hacks großer Datenbanken die größten Schlagzeilen machen, können Datenschutzverletzungen viele Formen annehmen. Dazu gehören:

    • Daten, die von unbefugten Dritten eingesehen oder gelöscht wurden.
    • Vorsätzliche oder versehentliche Änderung von Daten durch einen autorisierten Benutzer.
    • Weitergabe personenbezogener Daten an die falsche Person, z. B. durch Senden einer E-Mail an die falsche Adresse.
    • Verlust eines Geräts, z. B. eines Laptops oder Mobiltelefons, das persönliche Daten enthält.
    • Personenbezogene Daten, die unbeabsichtigt auf der Website eines Unternehmens oder in sozialen Medien veröffentlicht werden.
    • Diebstahl von Anmeldedaten.
    • Vertrauliche Daten, die an eine Mailingliste verteilt werden.
    • Offenlegung von E-Mail-Adressen durch Verwendung der CC- statt der BCC-Funktion.
    • Mitarbeiter, die per E-Mail-Phishing oder während eines Telefongesprächs dazu gebracht werden, vertrauliche Daten preiszugeben oder Malware herunterzuladen.

    Angesichts der vielen Möglichkeiten, wie Daten offengelegt werden können, ist es nicht überraschend, wie häufig Datenschutzverletzungen auftreten. Laut dem RiskBased Security 2020 Year End Data Breach QuickView Report wurden im Jahr 2020 durch kriminelle Handlungen 37 Milliarden Datensätze offengelegt - "bei weitem die meisten Datensätze, die in einem einzigen Jahr offengelegt wurden, seit die RBS-Berichterstattung im Jahr 2005 begann." [1] Diese Verstöße sind auch kostspielig. Im Jahr 2020 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 3,86 Millionen US-Dollar und die durchschnittlichen Kosten pro Datensatz auf 146 US-Dollar, so der Cost of Data Breach Report 2020 des Ponemon Institute. [2]

    Die Bedrohung ist inzwischen so allgegenwärtig, dass Experten davon ausgehen, dass jedes Unternehmen irgendwann von einer Sicherheitsverletzung betroffen sein wird.

    Datenverstöße können schwer zu erkennen sein

    Werden Sie es merken, wenn in Ihrem Unternehmen eine Datenschutzverletzung auftritt? Das ist keine Fangfrage. Studien zeigen, dass es im Durchschnitt fast 280 Tage dauert, bis Unternehmen von einer Datenschutzverletzung erfahren. [3] Da Experten empfehlen, so schnell wie möglich auf eine Datenschutzverletzung zu reagieren, ist eine Verzögerung von mehr als sechs Monaten ein ernstes Problem. Einige Verstöße sind offensichtlich - Kunden, die anrufen, um vertrauliche Informationen zu melden, die auf Ihrer Website zu sehen sind, zum Beispiel - aber viele bleiben unbemerkt, wenn die Mitarbeiter nicht geschult sind, die Anzeichen zu erkennen .

    Auch wenn es keine einfache, narrensichere Methode gibt, um einen Verstoß zu erkennen, sollten einige allgemeine Warnzeichen zu weiteren Untersuchungen führen. Dazu gehören:

    • Unbekannte Software oder Prozesse auf einem oder mehreren Computern.
    • Häufige Abstürze.
    • Ungewöhnliche Benutzeraktivitäten, wie z. B. das Einloggen von neuen Standorten aus, das Einloggen zu unüblichen Zeiten oder das Einloggen von mehreren Standorten aus innerhalb eines kurzen Zeitraums.
    • Plötzliche und/oder unerwartete Systemsperren, Passwortänderungen oder Änderungen von Gruppenmitgliedschaften.
    • Ungewöhnliche Aktivitäten beim Surfen im Internet, wie z. B. die Umleitung auf andere Websites oder zahlreiche Pop-ups.
    • Erheblich erhöhte Netzwerk- oder Systemaktivität.
    • Hinweise von Kunden oder Lieferanten, dass sie fragwürdige E-Mails oder Beiträge in sozialen Medien von Ihnen erhalten.

    Wenn es um eine Datenpanne geht, ist Zeit Geld. Experten empfehlen, mögliche Verstöße so schnell wie möglich zu untersuchen, um die möglichen Kosten zu minimieren.

    Flickenteppich von Meldegesetzen

    Wenn Sie eine Datenschutzverletzung feststellen, was dann? Eine Möglichkeit besteht darin, die Datenschutzverletzung zu melden; rechtlich ist Ihr Unternehmen in keiner Weise daran gehindert. Einige Unternehmen sind der Meinung, dass Transparenz ihnen hilft, das Vertrauen ihrer Kunden zu gewinnen. Andere wiederum sind der Meinung, dass das, was die Kunden nicht wissen, ihnen nicht schadet, vor allem, wenn es sich nur um einen kleinen Verstoß handelt und/oder keine personenbezogenen Daten gefährdet wurden.

    Aber Sie haben nicht immer eine Wahl. Alle 50 Bundesstaaten (sowie der District of Columbia, die Jungferninseln und Puerto Rico) haben Gesetze, die in bestimmten Situationen die Meldung von Datenschutzverletzungen vorschreiben. Der Flickenteppich dieser Gesetze kann es für Unternehmen schwierig machen, die Vorschriften einzuhalten, insbesondere wenn sie in mehreren Bundesstaaten tätig sind; die Gesetze gelten nicht immer universell. Ob eine Datenschutzverletzung gemeldet werden muss, kann davon abhängen:

    • Wie viele Datensätze waren betroffen: Ein Verstoß gegen eine Handvoll Dateien unterscheidet sich von einem Verstoß gegen viele tausend Dateien.
    • Welche Art von Daten war betroffen: Ein Verstoß gegen medizinische Daten oder Sozialversicherungsnummern ist schwerwiegender als E-Mail-Adressen.
    • Wo der Verstoß stattgefunden hat: Das Gesetz kann beispielsweise nur für Personen in einem bestimmten Gebiet gelten.
    • In welcher Branche Sie tätig sind: Der Health Insurance Portability and Accountability Act (HIPAA) schreibt beispielsweise vor, dass Gesundheitsdienstleister Verstöße, die 500 oder mehr Personen betreffen, innerhalb von 60 Tagen melden müssen.[4]
    • Wie es zu dem Verstoß kam: Ein Angestellter, der versehentlich eine falsche Krankenakte verschickt, ist nicht dasselbe wie ein krimineller Verstoß gegen Tausende von Datensätzen.

    Außerdem sollten Sie die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) nicht mit der Begründung abtun, sie gelte nicht für Ihr Unternehmen. Die Verordnung gilt für jedes Unternehmen, das über Daten europäischer Bürger verfügt; wenn Sie also europäische Kunden haben, sind Sie betroffen. Das Versäumnis, eine Datenschutzverletzung zu melden, die diese Kunden betrifft, kann bis zu 10 Millionen Euro (11,78 Millionen US-Dollar) an Geldstrafen kosten.

    Um sicherzustellen, dass alle für Ihr Unternehmen geltenden Gesetze zu Datenschutzverletzungen eingehalten werden, empfehlen Experten:

    • Kartierung der für Ihr Unternehmen geltenden Gesetze.
    • Dokumentation der Meldepflichten für Verstöße gemäß diesen Gesetzen.
    • Befolgung des strengsten Gesetzes, wenn mehr als ein Gesetz gilt.
    • Erstellung einer Richtlinie zur Formalisierung Ihres Meldeverfahrens.

    Meldung einer Datenpanne

    Wenn Sie feststellen, dass Sie eine Datenschutzverletzung melden müssen, lauten die nächsten beiden Fragen: Wie melden Sie die Verletzung und an wen?

    Das kommt darauf an. Verschiedene Gesetze haben unterschiedliche Meldepflichten, aber einige allgemeine Grundsätze gelten für alle:

    • Sobald ein Unternehmen von einer Datenschutzverletzung erfährt, beginnt die Uhr zu ticken. Während das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) beispielsweise eine Meldung in der "schnellstmöglichen Zeit ohne unangemessene Verzögerung" vorschreibt, gibt[5] GDPR Unternehmen 72 Stunden Zeit, und New Mexico gewährt Unternehmen gemäß seinem Data Breach Notification Act 45 Tage, um eine Datenschutzverletzung zu melden, wenn mehr als 1.000 Einwohner betroffen sind.[6] Aber alle Gesetze verlangen eine Meldung innerhalb einer bestimmten Zeit. Das bedeutet, dass Sie möglicherweise mehr Zeit haben, um Ihren Kunden eine Sicherheitsverletzung zu melden, als Sie den Aufsichtsbehörden melden müssen.
    • Die Behörden müssen immer über Verstöße informiert werden, auch wenn die Art der Verstöße variieren kann. Sie können einen Verstoß bei den örtlichen Strafverfolgungsbehörden melden, auch wenn nicht alle über Fachwissen in diesem Bereich verfügen. Wenn dies nicht der Fall ist, sollten Sie sich besser an das FBI oder den Secret Service wenden. Nach der Datenschutz-Grundverordnung (DSGVO) muss die Datenschutzverletzung dem Büro des Informationsbeauftragten (ICO) gemeldet werden. Je nach dem Inhalt der Datenschutzverletzung und der Art Ihres Unternehmens können noch weitere Anforderungen an Sie gestellt werden. Ein börsennotiertes Unternehmen muss zum Beispiel die Securities and Exchange Commission (SEC) benachrichtigen.

    Neben den Behörden sind Sie möglicherweise auch verpflichtet, die Medien und die betroffenen Personen über den Verstoß zu informieren.

    Die Quintessenz

    Datenschutzverletzungen sind störend und kostspielig, und die Komplexität der Berichterstattung kann einschüchternd und frustrierend sein. Der Preis für die nicht Meldung kann jedoch zu hohen Geldstrafen und negativer Publicity führen. Wenn Sie dieses Szenario vermeiden möchten, sollten Sie Ihre Mitarbeiter darin schulen, auf Anzeichen einer Sicherheitsverletzung zu achten, sich mit den geltenden Meldegesetzen vertraut zu machen und bei den ersten Anzeichen von Problemen Maßnahmen zu ergreifen.

     

    [1] " Schnellübersichtsbericht über Datenschutzverletzungen zum Jahresende 2020 ," Risikobasierte Sicherheit

    [2] Cost of Data Breach Report 2020 , Ponemon Institute/IBM Security

    [3] Ebd.

    [4] " Einreichung einer Mitteilung über einen Verstoß an den Minister ," U.S. Department of Health & Human Services

    [5] Kalifornisches Gesetz zum Schutz der Privatsphäre der Verbraucher , Kalifornische Gesetzgebungsinformationen

    [6] New Mexico Data Breach Notification Act , New Mexico Legislature

    1225504334.jpg
    Nächster Punkt
    Schulungen zum Sicherheitsbewusstsein |
    Neue Wege des Arbeitens, neue Wege, angegriffen zu werden

    Verwandte Artikel

    Schulungen zum Sicherheitsbewusstsein
    Mimecast Recognized in Forrester’s First-Ever Human Risk Management Solutions Landscape
    Schulungen zum Sicherheitsbewusstsein
    Der Wert eines Dashboards in der Schulung zum Bewusstsein für Cybersicherheit
    Schulungen zum Sicherheitsbewusstsein
    Phishing-Simulationen stärken das Cyber-Bewusstsein und die Abwehrkräfte

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang