Das alte Sprichwort "Wenn du nicht planst, planst du zu scheitern" gilt für viele Bereiche, auch für die Informationssicherheit und die Bewältigung von Datenschutzverletzungen ist das keine Ausnahme. Informationen sind ein wertvolles Gut für jedes Unternehmen, und wenn die Sicherheit dieser Informationen verletzt wird, stehen Unternehmen vor einem Minenfeld aus potenzieller Haftung und Rufschädigung.
Nachdem wir unseren Versicherten bei der Reaktion auf mehr als 30.000 Datensicherheitsvorfälle geholfen haben, weiß das Cyber Services Team von Beazley, dass Unternehmen mit einem gut ausgearbeiteten Plan zur Reaktion auf Vorfälle dieses Minenfeld in der Regel viel besser durchqueren als Unternehmen ohne einen solchen Plan. Eine planlose Reaktion macht die Folgen einer Datenschutzverletzung oft noch viel schlimmer.
Ein Incident Response Plan (IRP) ist ein schriftlicher Fahrplan, mit dem Organisationen einen vermuteten oder tatsächlichen Verstoß gegen Computersysteme oder den Diebstahl, Verlust oder die unbefugte Weitergabe von persönlichen Daten aufnehmen, bewerten und darauf reagieren. Ein IRP unterscheidet sich von einem Business Continuity- oder Disaster Recovery-Plan. Im Gegensatz zu diesen Dokumenten besteht der Hauptzweck einer IRP darin, Datenschutz- oder Sicherheitsvorfälle so zu bewältigen, dass der Schaden begrenzt, das Vertrauen externer Interessengruppen gestärkt, gesetzliche Verpflichtungen erfüllt und Kosten gesenkt werden.
Die effektivsten IRPs sind so konzipiert, dass sie bei mutmaßlichen Verstößen gegen Daten in der gesamten Organisation und ihren Systemen ausgelöst werden, unabhängig von der Abteilung oder dem Ort, an dem die Daten gespeichert sind; Personaldaten, Daten der Krankenkasse und Daten von Anbietern sollten von der IRP erfasst werden. Die IRP sollte auch die Daten der Organisation auf mobilen und persönlichen Geräten, Daten auf medizinischen Geräten und Daten, die in Kopierern, Faxgeräten oder Scannern gespeichert sind, abdecken.
Wir glauben, dass der Hauptgrund für die Erstellung einer IRP der enorme Nutzen ist, den sie bei der Reaktion auf einen tatsächlichen Vorfall im Bereich der Informationssicherheit bietet. Aber eine IRP ist nicht nur ein solides Risikomanagement, sondern wird auch von einer Reihe von Gesetzen, Vorschriften und Industriestandards gefordert. Egal, ob dein Unternehmen Zahlungskarten¹ akzeptiert, dem Health Versicheru Portability and Accountability Act (HIPAA) unterliegt², ein reguliertes Finanzdienstleistungsunternehmen ist oder einfach nur in bestimmten Bundesstaaten tätig ist⁴, eine IRP ist unabdingbar.
In der Regel beginnen Organisationen den IRP-Erstellungsprozess damit, dass sie zunächst ein Incident Response Team (IRT) ernennen, d.h. die Personen, die die anstehenden inhaltlichen Aufgaben tatsächlich ausführen werden. Da keine Organisation der anderen gleicht, empfehlen wir, mindestens einen Haupt- und einen Nebenvertreter der folgenden Interessengruppen zu benennen:
Andere Personen, die nicht zum Kernteam des IRT gehören, können bei Bedarf hinzugezogen werden; die oben genannten Abteilungen sind jedoch in der Regel am stärksten in Szenarien zur Reaktion auf Vorfälle involviert. Ein guter Plan für die Reaktion auf einen Vorfall nennt nicht nur die wichtigsten Beteiligten, sondern legt auch fest, wann eine Abteilung mit einer anderen zusammenarbeitet. Der IRP sollte die jeweiligen Aufgaben und Zuständigkeiten des IRT umreißen, Kontaktinformationen über verschiedene Kanäle bereitstellen (E-Mail, Direktwahl, Mobiltelefon und Off-Band für den Fall, dass die Unternehmenskommunikation nicht funktioniert) und festlegen, wann die ständigen Mitglieder des IRT weitere interne und externe Mitglieder zur Unterstützung hinzuziehen.
Die IT-Abteilung entdeckt eine rote Fahne und beschließt, intern zu ermitteln, bevor sie alle anderen benachrichtigt. Die Untersuchung dauert 32 Tage und ergibt, dass sensible persönliche Daten in Gefahr waren. Die IT-Abteilung informiert daraufhin die Rechtsabteilung über die Situation und erfährt von dort, dass die gesetzliche Frist für die Benachrichtigung der betroffenen Personen 30 Tage ab dem Zeitpunkt der Entdeckung beträgt. Die Frist ist verstrichen, und die Aufsichtsbehörden werden sich fragen, warum.
Der nächste wichtige Bereich, auf den du dich konzentrieren musst, ist die Klassifizierung von Vorfällen. Kein Vorfall gleicht dem anderen und jeder erfordert andere Reaktionsmechanismen und die Beteiligung der IRT-Mitglieder. Eine gute IRP sieht dies voraus und ordnet die Vorfälle anhand einer Reihe von einfach zu handhabenden Kriterien ein. Hier sind zum Beispiel drei einfache Bedrohungsstufen:
Die Bedrohungsstufen sollen nicht zu starr sein. Es ist unmöglich, alle Arten von potenziellen Vorfällen zu erfassen, und wenn man zu lange braucht, um festzustellen, wo ein bestimmter Vorfall einzuordnen ist, verschwendet man nur unnötig Zeit. Außerdem ist die Reaktion auf Vorfälle fließend: Ein Vorfall kann mit Stufe 1 beginnen und nach einer Analyse auf Stufe 2 hochgestuft werden. Der größte Vorteil von definierten Bedrohungsstufen ist die Orientierung, die sie für die nächsten Schritte in jeder Phase der Reaktion bieten.
Eine gute IRP, die die oben genannten Kriterien anwendet, würde zum Beispiel vorsehen, dass die Ersthelfer nach der Entdeckung eines Vorfalls der Stufe 2 sofort das IRT einberufen, den Versicherer benachrichtigen und damit beginnen, das Netzwerk und die betroffenen Systeme für eine forensische Analyse vorzubereiten.
Die Sicherung von Beweisen für die forensische Analyse kann bei der Reaktion auf einen Vorfall entscheidend sein, und eine gute IRP erkennt, dass in bestimmten Situationen der Wunsch, den Betrieb wiederherzustellen, hinter der Sicherung der Umgebung für die forensische Analyse zurückstehen muss.
Die IT/IS-Abteilung entdeckt einen Server, der mit Malware infiziert ist. Die Schadsoftware scheint in der Lage zu sein, Daten zu exfiltrieren, und das Team arbeitet schnell daran, die Schadsoftware zu beseitigen und den betroffenen Server von einem kürzlich erstellten Backup wiederherzustellen. Ein paar Tage später wird ein externes Forensik-Unternehmen beauftragt, die Vorgänge zu untersuchen. Leider hat das IT-Team vor dem Wiederaufbau kein forensisches Bild des Servers erstellt. Außerdem sind wichtige Protokolle, die mehr Aufschluss über den Angriff gegeben hätten, nicht mehr verfügbar, da die Firma sie nur 48 Stunden lang aufbewahrt. Beweise, die gezeigt hätten, dass nur eine kleine Anzahl von Datensätzen betroffen war oder dass überhaupt keine Daten exfiltriert wurden, sind nun für immer verschwunden.
Eine gut durchdachte IRP hört jedoch nicht bei der technischen Komponente der Untersuchung auf⁵. Sie bietet auch einen Fahrplan für das weitere Vorgehen, wenn die technische Untersuchung den Diebstahl, den Verlust oder den unbefugten Zugriff auf personenbezogene Daten bestätigt hat. Eine gut konzipierte IRP beschreibt die tatsächliche Methodik, mit der auf eine bestätigte "Datenschutzverletzung" reagiert wird, so wie dieser Begriff nach den für die Organisation und die Art der Daten geltenden Gesetzen definiert ist.
Die IRP soll nicht an die Stelle einer rechtlichen Analyse oder eines Leitfadens für die Öffentlichkeitsarbeit treten, aber sie sollte umreißen, was die Organisation tun muss, wenn sich herausstellt, dass eine Datenschutzverletzung eine Benachrichtigung der betroffenen Personen, der Aufsichtsbehörden oder der Medien erforderlich macht. Ohne einen festen Leitfaden in der IRP wissen die Unternehmen nicht, was sie sagen sollen, wie sie es sagen sollen und wann sie es sagen sollen. Oftmals führen selbst gut gemeinte Absichten, die nicht durch die IRP gefiltert werden, zu unnötigem Schaden für das Unternehmen.
Deine Firma entdeckt Schadsoftware auf den Kassensystemen in einem deiner Läden. Bevor das IRT die Analyse der Malware abschließen oder die geltenden Gesetze zur Meldung von Datenschutzverletzungen prüfen kann, beschließt dein CEO, dass die Firma am nächsten Tag eine Pressemitteilung herausgeben muss, in der es heißt, dass die Karten von 200.000 Kunden betroffen sein könnten.
Die Pressemitteilung enthält einen Link zur Website der Firmaaaaa und eine Videobotschaft des Geschäftsführers, in der er sich für den "Verstoß" entschuldigt. Nachdem du dich mit deinem Versicheru ngsunternehmen in Verbindung gesetzt und einen externen Forensiker hinzugezogen hast, stellst du fest, dass die Schadsoftware in deiner Kassenumgebung keine Kartendaten gestohlen hat und dass es sich um ein Nicht-Ereignis handelt, das keine öffentliche Meldung erfordert. In der Zwischenzeit hat der Aktienkurs einen Schlag erlitten und viele Kunden werden Monate brauchen, um zurückzukehren⁶.
Wenn du gerade dabei bist, einen IRP für deine Organisation zu erstellen, musst du das Rad nicht neu erfinden. Aber unabhängig davon, ob du gerade erst anfängst oder bereits einen Plan entwickelt hast, empfehlen wir dir, die folgenden Punkte zu vermeiden, die unserer Erfahrung nach immer wieder Probleme für Organisationen darstellen.
Das "B"-Wort
Der IRP ist ein Reaktionsplan für "Vorfälle", kein Plan für "Datenschutzverletzungen". "Datenschutzverletzung" ist ein juristischer Begriff mit einer bestimmten Bedeutung. Ein guter IRP vermeidet die Verwendung dieses Begriffs vollständig. Die Mitglieder des IRT sollten einen Vorfall weder schriftlich noch während der Untersuchung als "Datenschutzverletzung" bezeichnen. Das Hinterlassen von Verweisen auf "Verstöße" per E-Mail oder auf Papier könnte besonders problematisch sein, wenn die Untersuchung zu dem Schluss kommt, dass eine Benachrichtigung nicht erforderlich ist, weil kein Verstoß nach dem einschlägigen Gesetz vorliegt. Bieten Sie den Aufsichtsbehörden oder den Anwälten der Kläger keine Munition.
"Muss" oder "soll"
In der IRP sollten Formulierungen vermieden werden, die den Eindruck erwecken, dass die einzelnen Schritte des Prozesses obligatorisch sind. Jeder Vorfall ist anders, und je nach Situation kann es sein, dass du verschiedene Schritte befolgen musst. Lasse Flexibilität zu und bringe dich nicht in eine Lage, in der eine Aufsichtsbehörde oder ein Anwalt fragen kann, warum ein bestimmter Schritt nicht befolgt wurde.
Zu lang
Der IRP sollte in einer Krise leicht zu handhaben sein. Wenn sie zu lang oder zu detailliert ist, ist es unwahrscheinlich, dass die Mitglieder des IRT mit ihr vertraut bleiben.
Zu kurz
Andererseits muss die IRP genügend Informationen enthalten, um nützlich zu sein, damit jeder im Team seine Rolle versteht und klar ist, wie man bei Bedarf auf Ressourcen außerhalb der Organisation zurückgreifen kann.
"Es ist doch nur Papier"
Während sich Organisationen oft auf elektronische Vorfälle konzentrieren, sind Papierunterlagen durch eine Reihe von staatlichen Gesetzen sowie durch Bundesgesetze wie den HIPAA für Gesundheitsdaten und den Family Educational Rights and Privacy Act (FERPA) für Schülerdaten geschützt. Die IRP sollte Daten unabhängig vom Format, in dem sie gespeichert sind, abdecken, damit du genau so schnell reagieren kannst.
"Gone fishin"
Vorfälle werden garantiert zu einem ungünstigen Zeitpunkt entdeckt - an einem Freitagnachmittag, am Wochenende oder wenn eine wichtige Person auf Reisen ist. Vergewissere dich, dass du die Teammitglieder rund um die Uhr erreichen kannst und dass du Backups für die Mitglieder hast, falls sie nicht erreichbar sind.
Die Realität der Informationssicherheit ist heute, dass die Vorstellung von einem "uneinnehmbaren" Netzwerk, das Eindringlinge auf Abstand hält, längst überholt ist. Egal, ob ein entschlossener und geschickter Hacker oder ein einfaches menschliches Versagen die Ursache ist, eine Datenpanne ist kein "Wenn" mehr, sondern ein "Wann". Wenn du davon ausgehst, dass dies nicht der Fall ist, und dich nicht auf das Minenfeld vorbereitest, schadet das der Marke, der Bilanz und dem Geschäft deines Unternehmens. Mit einem gut durchdachten IRP, der den oben genannten Grundsätzen folgt, und einem Plan, den du regelmäßig prüfst und aktualisierst, ist dein Unternehmen besser gerüstet, um eine potenzielle Krise in ein überschaubares Hindernis zu verwandeln.
¹ Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures § 12.10.1 (ver. 4.0.1 June 2024), https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0_1.pdf
² 45 C.F.R. § 164.308(a)(6), diskutiert in U.S. Dep't of Health & Hum. Svcs., HIPAA Security Series no. 2, Security Standards: Administrative Safeguards, http://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/ securityrule/adminsafeguards.pdf
³ Interagency Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice I.A.2(c), 70 Fed. Reg. 15,736 (Mar. 29, 2005), https://www.gpo.gov/fdsys/pkg/FR-2005-03-29/pdf/05-5980.pdf
⁴ Siehe z.B. Standards for Protection of Personal Information of Residents of the Commonwealth, 201 Code Mass. Regs. § 17
⁵ Bei Informationen in bestimmten Formaten (z. B. Papier) oder bei einfachen und versehentlichen Offenlegungen können die technischen Mitglieder des IRT sogar völlig überflüssig sein
⁶ Laut KPMG würden 19 % der Einzelhandelskunden nach einem Hack, bei dem persönliche Daten kompromittiert wurden, nicht wiederkommen, und fast 50 % der übrigen würden drei bis sechs Monate brauchen, um wiederzukommen. KPMG, Consumer Loss Barometer (Juli 2016), verfügbar unter https://info.kpmg.us/consumer-loss-barometer.html