Im Normalfall haben Unternehmen detailliert ausgearbeitete Prozesse etabliert, die alle Arten von Security Incident abhandeln sollen, die aus allen Ecken ihrer IT-Infrastruktur kommen können. Viele dieser Prozeduren gehen aber nicht gut genug auf die betroffenen Assets ein sondern beschäftigen sich lediglich mit den IT-Komponenten. Das ist der Grund warum ich die folgende Übersicht erstellt habe. Sie beschäftigt sich mit Security Incidents, bei denen persönliche Informationen – auf Papier oder auf Computern gespeichert – betroffen sind.

Voraussetzungen

Um die folgenden Ratschläge und Methoden umzusetzen müssen in einem Unternehme bereits angemessene Massnahmen für den Fall eines Security Incidents etabliert sein. Diese Massnahmen müssen die lokale Rechtslage, die Gesetze und Reglementierungen beachten und auch Rücksicht auf das Geschäft, dessen Betrieb und seine Funktionen nehmen. Ein Risikomanagement-System mit angebrachten Massnahmen ist ebenfalls vorausgesetzt.

Definition von wichtigen Begriffen

• IT-Systeme: Computer, sowohl als Hardware als auch als Software, Netzwerk-Geräte und -Elemente, Datenbanken, Notebooks, Smartphones und andere elektronische Geräte, die dazu verwendet werden Information zu speichern, sie zu verarbeiten oder zu übertragen. Dies beinhaltet Clouds.
• Persönliche Informationen: Jegliche Information (so definiert von der Local Data Protection Legislation) die einen Bezug zu einer identifizierten oder identifizierbaren Person hat. Eine identifizierbare Person ist einer, dessen Identität direkt oder indirekt mittels einer eindeutigen Referenznummer oder mittels eindeutiger Beschreibung seiner physischen, physiologischen, psychologischen, ökonomischen, kulturellen oder sozialen Eigenschaften festgestellt werden kann. Dies beinhaltet Informationen wie: Name, Vorname, Adresse, Geschäftsadresse, E-Mail-Adresse, Alter, Geschlecht, Familienstand, Beruf, Ausbildung, Geschäftsverbindungen, Lohn, Krankenakte und Kreditkartennummer.
• Data Security Incident: Basierend auf der obigen Definition von persönlichen Informationen bedeutet dies der Verlust oder der Missbrauch von persönlichen Informationen, den versehentlichen, unautorisierten und/oder widerrechtmässigen Zugang oder eine ebensolche Behandlung von persönlichen Daten sowie jede andere Handlung oder Vernachlässigung, die Einfluss auf die Sicherheit, Vertraulichkeit und/oder Integrität von persönlichen Daten hat. Data Security Incidents beinhalten, unter anderem, den Verlust von Papier-Akten, den Verlust von elektronischen Geräten wie Laptops oder CDs, die persönliche Daten enthalten.

Folgend werde ich nun einige Beispiele für Data Security Incidents auflisten, die aufzeigen sollen, wo der Unterschied zur klassischen Incident Response – die traditionellerweise IT-Getrieben ist – liegt.

• Verlust oder Diebstahl eines Servers, Desktops, Laptops, mobilen Geräts, Diskette, Tape, Papier-Akten, USB-Sticks oder eines anderen Speichermediums auf dem persönliche Daten abgelegt sind, auch wenn die Information gut gesichert ist (z.B. verschlüsselt oder redigiert).
• Verlust von Speichermedien
• Verlust von Daten in einer Cloud
• Verletzungen der etablierten Privacy- und Information-Security-Policy.
• Verletzung der internen Richtlinien, die darauf abzielen, die Vertraulichkeit und Sicherheit der persönlichen Daten zu sichern. Dazu gehören die unverschlüsselte Übermittlung von vertraulichen persönlichen Daten, die eigentlich hätten gesichert übertragen werden sollen.
• Unautorisierter Zugriff auf die Informationen von ausserhalb
• Eindringen in das IT-System des Unternehmens, das unverschlüsselte und unredigierte persönliche Informationen enthält. Oder unautorisiertes Betreten des Grundstücks, das es dem Eindringling erlaubt, Hardcopies mit persönlichen Daten zu erlangen.
• Unautorisierter interner Zugriff. Zugriffsrechte sollten klar in einer Access Policy geregelt sein.
• Versehentliche Preisgabe: Das bedeutet, dass die Preisgabe der persönlichen Daten an eine unautorisierte Person via E-Mail, Post oder jeglichen anderen Mitteln erfolgt. Das beinhaltet die Situation, in der eine E-Mail oder Papier-Dokumente versehentlich an den falschen Empfänger geschickt wurden.

Zusätzliche Aufgaben und Mitglieder, die für das existierende Incident-Response-Team im Falle eines Breach Incidents mit persönlichen Daten wichtig sind.

Damit Breach Incidents mit persönlichen Daten möglichst gut behandelt werden können, sollte ein Incident-Response-Team zusätzlich mit folgenden Aufgaben betraut werden.

• Analyse, Review und Untersuchung der Umstände, die zum Incident geführt haben.
• Sicherung der betroffenen Systeme (z.B. zur weiteren forensischen Analyse)
• Review und Reporting von legalen Anforderungen betreffend der Notifikation von Polizei und Staatsanwaltschaft oder betroffenen Individuen.
• Etablierung von Notifikations-Anforderungen, die vom Gesetzgeber oder Betroffenen verlangt werden.

Wenn ein Breach Incident persönliche Daten betrifft, dann muss das Response Team zusätzliche Mitglieder abberufen, damit der Vorfall richtig behandelt wird, damit auch die rechtlich relevanten Aspekte des Falles berücksichtigt werden (speziell wenn es darum geht, dass Mitarbeiter sich strafbar gemacht oder falsch verhalten haben). Diese Mitglieder sollten aus den folgenden Departments abberufen werden:

• Rechtsabteilung (Vertraulichkeit der Daten)
• Personalabteilung in Fällen, die Mitarbeiterdaten betreffen
• Information-Security-Abteilung (z.B. der CSO)
• Unternehmenssicherheitsabteilung (z.B. der CSO)

Das Team sollte zudem auch Mitglieder aus der Unternehmensleitung aus den folgenden Abteilungen abberufen, je nachdem, wie schwerwiegend der Vorfall ist und welche Merkmale er aufweist.

• Internes Auditing zwecks Compliance mit IT-Regulierungen
• Medienkommunikation und Public Relations
• Finanz-, Einkauf und Administration, wenn Dritte involviert sind.
• Externe Rechtsberatung
• Forensische Analytiker

Handhabung von Data Security Incidents

Der Action Plan sollte unter anderem folgende Schritte beachten. Die folgende Tabelle ist vereinfacht und erhebt keinen Anspruch auf Vollständigkeit, sondern soll als Guideline dienen.

1. Vorbereitendes Assessment: Im Vorfeld eines Data Security Incidents sollte das Incident Response Team folgende Vorbereitungen treffen:
   1. Ernennen Sie eine Person, die die Umstände des Incidents untersucht. Diese Person sollte genug Erfahrung und Autorität besitzen, damit sie die initiale Untersuchung gut und gründlich durchführen kann, die Erkenntnisse in einem schriftlichen Report zusammenfassen und Empfehlungen ans Incident Response Team abgeben kann. Typischerweise handelt es sich hierbei um einen Senior Security Representative (z.B. ein Mitglied des Teams des CSO oder dessen Organisation). Aus einem Datensicherheits-Aspekt müssen folgende Punkte beachtet werden:
      • Der Typus des betroffenen Systems (IT-Systeme, Papierakten oder andere)
      • Die Art der betroffenen Informationen (inklusive der Frage ob persönliche Daten bedroht sind und, falls dem so ist, die Quelle der Daten)
      • Die Personen, die in den Breach involviert oder dafür verantwortlich sind.
   2. Stellen Sie die Frage, ob externe Ressourcen zur Hilfe herbeigezogen werden müssen. Unter anderem kann das die Polizei, externe Rechtsbeistände oder andere Dritte wie ein Forensiker sein
   3. Identifizieren Sie den Personalbedarf. Brauchen Sie mehr Personal, um den Incident richtig und gründlich aufzuarbeiten=
   4. Stellen Sie fest, wie viel Reporting notwendig ist.
   5. Beachten und untersuchen Sie die Umstände des Incidents
2. Risk Assessment: Im zweiten Schritt gilt es den Typus und die Menge der verwundbaren persönlichen Daten festzustellen sowie das Ausmass des Incidents, die Betroffenen Personen. Zudem sollten die Auswirkungen auf Personen und das Unternehmen in Betracht gezogen werden.
   • Das Verstehen und das Bewusstsein der folgenden Faktoren ist für die Risikoanalyse notwendig:
     • Welche Art von persönlicher Informationen sind im Incident involviert?
     • Wie hoch ist die Sensibilität der Informationen einzuschätzen? Generell gilt: Je sensibler die Information, desto grösser das Schadensrisiko. Eine Kombination von persönlichen Daten ist als sensibler als ein einzelner Datensatz zu bewerten. Doch gilt es mehr zu beachten als nur die Sensibilität. Der zu erwartende Schaden für Personen ist ebenfalls als sehr wichtig einzustufen.
     • Wie viele Menschen werden vom Breach betroffen sein? Die Feststellung der Anzahl Betroffener wird Ihnen helfen, den Schweregrad des Breaches festzustellen. Zudem ist das ein relevanter Faktor, wenn es darum geht festzustellen, ob der Gesetzgeber informiert werden sollte.
     • Nach dem Datenverlust: Welche Massnahmen waren implementiert um zu verhindern, dass Daten verloren gehen (z.B. Verschlüsselung und war die persönliche Information ausreichend geschützt)?
     • Wer ist vom Vorfall betroffen (Angestellte, Kunden, die Öffentlichkeit, Service Provider, andere)?
     • Kann die betroffene Information von Dritten zu schädlichen oder betrügerischen Zwecken missbraucht werden?
     • Geschah der Breach absichtlich oder versehentlich?
     • Gibt es Folgerisiken, die aus dem Breach entstehen?
     • Wenn die Informationen gestohlen worden sind, geschah dies weil die persönlichen Daten das Ziel der Diebe waren?
     • Können die Daten wiederhergestellt werden?
   • Nachdem die obigen Fragen beantwortet sind, kann festgestellt werden, wie viel Schaden die verloren gegangenen persönlichen Daten anrichten können. Stellen Sie fest, ob Einzelpersonen Schaden aus dem Breach nehmen könnten.
     • Falls die Daten gestohlen wurden: Wie hoch ist das Risiko des Missbrauchs?
     • Welchen Schaden können Einzelpersonen aus dem Incident davontragen?
       • Identitätsdiebstahl
       • Finanzieller Schaden
       • Bedrohung der Position sowie Einstellungsmöglichkeiten und Business-Opportunities.
       • Schande, Schaden am Ruf oder an Beziehungen
   • Nach dem Abschluss der Risikoeinschätzung kann das Incident Response Team entscheiden, ob Einzelpersonen oder der Gesetzgeber informiert werden muss oder kann.
3. Notification: Die Rechtsabteilung sollte die Verantwortung dafür übernehmen, dass die Gesetzgeber informiert werden. Dies beinhaltet, wenn nötig, auch Autoritätsorgane in anderen Jurisdiktionen. Sollte geltendes Recht die Benachrichtigung verlangen, so sollte diese so schnell wie möglich geschehen, damit sowohl die rechtlichen Richtlinien eingehalten werden können und die Untersuchung vollständig und zeitnah geschehen kann. Sollte die Benachrichtigung vom Gesetzgeber nicht verlangt werden, empfiehlt sich diese dennoch, damit allfälligen Risiken in Sachen Betrug oder Identitätsdiebstahl vorgebeugt werden kann.
4. Prävention: Ein letzter Incident Report sollte kurzfristige, wie auch langfristige Schritte zur Prävention weiterer Incidents enthalten.
   • Ein Security Audit der Sicherheitsmassnahmen.
   • Ein Review der Policies und Prozesse, die notwendig sind um die Lessons Learned aus dem Incident zu reflektieren.
   • Eine Sperre von Transfer von grossen Mengen Daten auf mobile Speichergeräte ohne entsprechende Sicherheitsvorkehrungen.
• Einige Data Security Incidents sollten umgehende dem Management zugetragen werden.
  • Wenn sehr sensible Daten oder Daten, die viele Personen betreffen, betroffen sind.
  • Wenn der Incident mit hoher Wahrscheinlichkeit von den Medien aufgegriffen wird.
• Gutes Reporting geben Ihnen zudem einen guten Überblick über die Incidents und sind zwingend notwendig, damit Probleme, die aus den Incidents entstehen sowie Lücken im Sicherheitssystem, ersichtlich werden. Zudem sichert gutes Reporting die Konformität mit Disclosure-Verpflichtungen, falls existent, und eine zeitnahe und vollständige Informierung des Managements des Unternehmens.

Fazit

Die Zeitungslektüre und die vermehrte Berichterstattung über Breach Incidents sollte Ihnen die Augen geöffnet haben und gezeigt haben, dass Daten ein extrem kostbares und empfindliches Gut sind. Der Schutz Ihrer Daten ist heutzutage wichtiger denn je! Durch die Etablierung von adäquaten technologischen, konzeptionellen und organisatorischen Massnahmen Schutzmassnahmen ist der erste Schritt in Richtung guter Schutz für Ihre Daten getan.

Die Pflege Ihrer Daten muss aber während derer Lebensdauer konstant sein. Das ist der zweite Schritt. Nebst diesen Massnahmen müssen Sie immer für Notfälle gewappnet sein, damit Sie keine bösen Überraschungen in Sachen Breach Incidents mit persönlichen und sensiblen Daten erleben. Die kann geschehen, indem Sie die spezielle Eigenschaften und den ausserordentlichen Wert ihrer Daten in Ihre Incident Response Prozedur aufnehmen und so von Beginn an die effiziente und professionelle Handhabung im Falle eines Incidents sicherstellen.

Dieser Artikel erschien hier im Englischen Original

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.