Was tun bei Breach Incidents mit persönlichen Daten

Was tun bei Breach Incidents mit persönlichen Daten

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 9 Minuten

Im Normalfall haben Unternehmen detailliert ausgearbeitete Prozesse etabliert, die alle Arten von Security Incident abhandeln sollen, die aus allen Ecken ihrer IT-Infrastruktur kommen können. Viele dieser Prozeduren gehen aber nicht gut genug auf die betroffenen Assets ein sondern beschäftigen sich lediglich mit den IT-Komponenten. Das ist der Grund warum ich die folgende Übersicht erstellt habe. Sie beschäftigt sich mit Security Incidents, bei denen persönliche Informationen – auf Papier oder auf Computern gespeichert – betroffen sind.

Voraussetzungen

Um die folgenden Ratschläge und Methoden umzusetzen müssen in einem Unternehme bereits angemessene Massnahmen für den Fall eines Security Incidents etabliert sein. Diese Massnahmen müssen die lokale Rechtslage, die Gesetze und Reglementierungen beachten und auch Rücksicht auf das Geschäft, dessen Betrieb und seine Funktionen nehmen. Ein Risikomanagement-System mit angebrachten Massnahmen ist ebenfalls vorausgesetzt.

Definition von wichtigen Begriffen

Folgend werde ich nun einige Beispiele für Data Security Incidents auflisten, die aufzeigen sollen, wo der Unterschied zur klassischen Incident Response – die traditionellerweise IT-Getrieben ist – liegt.

Zusätzliche Aufgaben und Mitglieder, die für das existierende Incident-Response-Team im Falle eines Breach Incidents mit persönlichen Daten wichtig sind.

Damit Breach Incidents mit persönlichen Daten möglichst gut behandelt werden können, sollte ein Incident-Response-Team zusätzlich mit folgenden Aufgaben betraut werden.

Wenn ein Breach Incident persönliche Daten betrifft, dann muss das Response Team zusätzliche Mitglieder abberufen, damit der Vorfall richtig behandelt wird, damit auch die rechtlich relevanten Aspekte des Falles berücksichtigt werden (speziell wenn es darum geht, dass Mitarbeiter sich strafbar gemacht oder falsch verhalten haben). Diese Mitglieder sollten aus den folgenden Departments abberufen werden:

Das Team sollte zudem auch Mitglieder aus der Unternehmensleitung aus den folgenden Abteilungen abberufen, je nachdem, wie schwerwiegend der Vorfall ist und welche Merkmale er aufweist.

Handhabung von Data Security Incidents

Der Action Plan sollte unter anderem folgende Schritte beachten. Die folgende Tabelle ist vereinfacht und erhebt keinen Anspruch auf Vollständigkeit, sondern soll als Guideline dienen.

  1. Vorbereitendes Assessment: Im Vorfeld eines Data Security Incidents sollte das Incident Response Team folgende Vorbereitungen treffen:
    1. Ernennen Sie eine Person, die die Umstände des Incidents untersucht. Diese Person sollte genug Erfahrung und Autorität besitzen, damit sie die initiale Untersuchung gut und gründlich durchführen kann, die Erkenntnisse in einem schriftlichen Report zusammenfassen und Empfehlungen ans Incident Response Team abgeben kann. Typischerweise handelt es sich hierbei um einen Senior Security Representative (z.B. ein Mitglied des Teams des CSO oder dessen Organisation). Aus einem Datensicherheits-Aspekt müssen folgende Punkte beachtet werden:
      • Der Typus des betroffenen Systems (IT-Systeme, Papierakten oder andere)
      • Die Art der betroffenen Informationen (inklusive der Frage ob persönliche Daten bedroht sind und, falls dem so ist, die Quelle der Daten)
      • Die Personen, die in den Breach involviert oder dafür verantwortlich sind.
    2. Stellen Sie die Frage, ob externe Ressourcen zur Hilfe herbeigezogen werden müssen. Unter anderem kann das die Polizei, externe Rechtsbeistände oder andere Dritte wie ein Forensiker sein
    3. Identifizieren Sie den Personalbedarf. Brauchen Sie mehr Personal, um den Incident richtig und gründlich aufzuarbeiten=
    4. Stellen Sie fest, wie viel Reporting notwendig ist.
    5. Beachten und untersuchen Sie die Umstände des Incidents
  2. Risk Assessment: Im zweiten Schritt gilt es den Typus und die Menge der verwundbaren persönlichen Daten festzustellen sowie das Ausmass des Incidents, die Betroffenen Personen. Zudem sollten die Auswirkungen auf Personen und das Unternehmen in Betracht gezogen werden.
    • Das Verstehen und das Bewusstsein der folgenden Faktoren ist für die Risikoanalyse notwendig:
      • Welche Art von persönlicher Informationen sind im Incident involviert?
      • Wie hoch ist die Sensibilität der Informationen einzuschätzen? Generell gilt: Je sensibler die Information, desto grösser das Schadensrisiko. Eine Kombination von persönlichen Daten ist als sensibler als ein einzelner Datensatz zu bewerten. Doch gilt es mehr zu beachten als nur die Sensibilität. Der zu erwartende Schaden für Personen ist ebenfalls als sehr wichtig einzustufen.
      • Wie viele Menschen werden vom Breach betroffen sein? Die Feststellung der Anzahl Betroffener wird Ihnen helfen, den Schweregrad des Breaches festzustellen. Zudem ist das ein relevanter Faktor, wenn es darum geht festzustellen, ob der Gesetzgeber informiert werden sollte.
      • Nach dem Datenverlust: Welche Massnahmen waren implementiert um zu verhindern, dass Daten verloren gehen (z.B. Verschlüsselung und war die persönliche Information ausreichend geschützt)?
      • Wer ist vom Vorfall betroffen (Angestellte, Kunden, die Öffentlichkeit, Service Provider, andere)?
      • Kann die betroffene Information von Dritten zu schädlichen oder betrügerischen Zwecken missbraucht werden?
      • Geschah der Breach absichtlich oder versehentlich?
      • Gibt es Folgerisiken, die aus dem Breach entstehen?
      • Wenn die Informationen gestohlen worden sind, geschah dies weil die persönlichen Daten das Ziel der Diebe waren?
      • Können die Daten wiederhergestellt werden?
    • Nachdem die obigen Fragen beantwortet sind, kann festgestellt werden, wie viel Schaden die verloren gegangenen persönlichen Daten anrichten können. Stellen Sie fest, ob Einzelpersonen Schaden aus dem Breach nehmen könnten.
      • Falls die Daten gestohlen wurden: Wie hoch ist das Risiko des Missbrauchs?
      • Welchen Schaden können Einzelpersonen aus dem Incident davontragen?
        • Identitätsdiebstahl
        • Finanzieller Schaden
        • Bedrohung der Position sowie Einstellungsmöglichkeiten und Business-Opportunities.
        • Schande, Schaden am Ruf oder an Beziehungen
    • Nach dem Abschluss der Risikoeinschätzung kann das Incident Response Team entscheiden, ob Einzelpersonen oder der Gesetzgeber informiert werden muss oder kann.
  3. Notification: Die Rechtsabteilung sollte die Verantwortung dafür übernehmen, dass die Gesetzgeber informiert werden. Dies beinhaltet, wenn nötig, auch Autoritätsorgane in anderen Jurisdiktionen. Sollte geltendes Recht die Benachrichtigung verlangen, so sollte diese so schnell wie möglich geschehen, damit sowohl die rechtlichen Richtlinien eingehalten werden können und die Untersuchung vollständig und zeitnah geschehen kann. Sollte die Benachrichtigung vom Gesetzgeber nicht verlangt werden, empfiehlt sich diese dennoch, damit allfälligen Risiken in Sachen Betrug oder Identitätsdiebstahl vorgebeugt werden kann.
  4. Prävention: Ein letzter Incident Report sollte kurzfristige, wie auch langfristige Schritte zur Prävention weiterer Incidents enthalten.
    • Ein Security Audit der Sicherheitsmassnahmen.
    • Ein Review der Policies und Prozesse, die notwendig sind um die Lessons Learned aus dem Incident zu reflektieren.
    • Eine Sperre von Transfer von grossen Mengen Daten auf mobile Speichergeräte ohne entsprechende Sicherheitsvorkehrungen.
    • Einige Data Security Incidents sollten umgehende dem Management zugetragen werden.
      • Wenn sehr sensible Daten oder Daten, die viele Personen betreffen, betroffen sind.
      • Wenn der Incident mit hoher Wahrscheinlichkeit von den Medien aufgegriffen wird.
    • Gutes Reporting geben Ihnen zudem einen guten Überblick über die Incidents und sind zwingend notwendig, damit Probleme, die aus den Incidents entstehen sowie Lücken im Sicherheitssystem, ersichtlich werden. Zudem sichert gutes Reporting die Konformität mit Disclosure-Verpflichtungen, falls existent, und eine zeitnahe und vollständige Informierung des Managements des Unternehmens.

Fazit

Die Zeitungslektüre und die vermehrte Berichterstattung über Breach Incidents sollte Ihnen die Augen geöffnet haben und gezeigt haben, dass Daten ein extrem kostbares und empfindliches Gut sind. Der Schutz Ihrer Daten ist heutzutage wichtiger denn je! Durch die Etablierung von adäquaten technologischen, konzeptionellen und organisatorischen Massnahmen Schutzmassnahmen ist der erste Schritt in Richtung guter Schutz für Ihre Daten getan.

Die Pflege Ihrer Daten muss aber während derer Lebensdauer konstant sein. Das ist der zweite Schritt. Nebst diesen Massnahmen müssen Sie immer für Notfälle gewappnet sein, damit Sie keine bösen Überraschungen in Sachen Breach Incidents mit persönlichen und sensiblen Daten erleben. Die kann geschehen, indem Sie die spezielle Eigenschaften und den ausserordentlichen Wert ihrer Daten in Ihre Incident Response Prozedur aufnehmen und so von Beginn an die effiziente und professionelle Handhabung im Falle eines Incidents sicherstellen.

Dieser Artikel erschien hier im Englischen Original

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv