COMPASS MAGAZINE #10
COMPASS MAGAZINE #10

VÖLLIGE OFFENLEGUNG Welche Verpflichtungen haben Unternehmen nach einem Angriff?

Ihr System wurde gehackt, ist aber wieder unter Kontrolle – doch jetzt fängt die Arbeit erst an. Wozu sind Sie als börsennotiertes Unternehmen rechtlich verpflichtet? Wie können Sie die geforderte vollständige Offenheit und Ihren Wunsch zu überleben ins Gleichgewicht bringen? Bereiten Sie sich auf einige der schwersten Entscheidungen Ihrer Karriere vor.

Wenn sich Hacker Zugriff auf Ihr Unternehmensnetz verschafft haben, geht der Schlamassel erst richtig los. Möglicherweise sind Sie rechtlich verpflichtet, Ihre Anteilseigner, Kunden und Regulierungsbehörden zu informieren und riskieren damit den guten Ruf Ihres Unternehmens – doch wenn man Sie beim Vertuschen erwischt, kann Sie das noch teurer zu stehen kommen.

Börsennotierte Unternehmen in den USA müssen beispielsweise schwer­wiegende Verstöße der US Securities and Exchange Commission melden. Die neue EU-Verordnung über die Meldepflicht bei Datenschutzverstößen verpflichtet Telekommunikationsunternehmen und Internetanbieter dazu, Daten­schutz­verletzungen innerhalb von 24 Stunden nach deren Entdeckung den Behörden zu melden. Falls persönliche Daten der Kunden betroffen sind, müssen diese Personen „unverzüglich“ benachrichtigt werden.

Japan hat bereits hohe Bußgelder für Unternehmen festgelegt, die Datenschutz­verstöße nicht veröffentlichen. Brasilien zieht ein Gesetz zur Meldung von Datenschutzverstößen in Erwägung, in dem gefordert werden soll, dass alle Kundendaten innerhalb der Landesgrenzen gespeichert werden müssen.

STRENGERE GESETZE WELTWEIT

Becky Pinkard, Leiterin der Sicher­heitsmaß­nahmen bei Pearson PLC, einem Londoner Verlagshaus, sagt, dass die meisten EU-Beobachter glauben, die Gesetzgeber würden auf ein EU-weites Gesetz zur Meldung von Datenschutzverstößen drängen. Die EU hat auch ein umfassenderes Regelwerk unter dem Titel Richtlinie zur Netz- und Informationssicherheit (NIS) vorgestellt. Im Rahmen dieser NIS wurden mehrere Gruppen gegründet, die aus Mit­arbeitern von Unternehmen und Privat­personen bestehen und an der Umsetzung der Richtlinie arbeiten.

„Höchstwahrscheinlich wird es in der EU, wo Unternehmen von den Zulassungs­behörden geprüft werden und bei Nicht­beachtung Bußgelder zahlen müssen, bald Meldungen von Datenschutzverlet­z­ungen geben“, sagt Pinkard. „Aus meiner Erfahrung und aus Gesprächen mit anderen Datensicherheitsexperten melden Unter­nehmen, die keiner solchen Regelung unterliegen, mögliche Verstöße nicht.“

In Japan seien bereits strenge Gesetze zur Offenlegung von Datenschutz­verletzungen mit empfindlichen Strafen bei Verstößen in Kraft, sagt Hendrik Adrian, Geschäfts­führer von KLJTech Co. Ltd, einem Hersteller von Sicherheitsfilterprogrammen aus Tokio. „Geschädigte Personen oder Firmen können bei der Regierung Anzeige erstatten und vor Gericht ziehen“, so Adrian „und sind so ein 100%iger Gewinner dieses Vorgehens. Denn während die Hacker eine Freiheits­strafe von maximal drei Jahren und eine Geldstrafe von rund 10.000 US-Dollar zu erwarten haben, können die unglücklichen Opfer Schadensersatz in unbegrenzter Höhe geltend machen.“

„TÄGLICH WERDEN DIE NETZE UNZÄHLIGER FIRMEN GEHACKT UND SIE MACHEN DIES NICHT ÖFFENTICH, UM IHR ANSEHEN IN DER ÖFFENTLICHKEIT NICHT ZU BESCHÄDIGEN.”

KEVIN LAWRENCE SENIORPARTNER, STACH & LIU

Laut William Beer, Verantwortlicher für Cybersicherheit in der brasilianischen Niederlassung der Unternehmensberatung Alvares & Marsal, nimmt Brasilien unter den Ländern Lateinamerikas eine Vorreiter­rolle ein, wenn es darum geht, die erforder­lichen Voraussetzungen für ein Gesetz zur Meldung von Datenschutzverstößen zu schaffen.

„Dieser Gesetzesvorschlag sorgt für viele Bedenken und zwar nicht nur wegen der Bestimmungen, wie solche Datenschutz­verstöße zu melden sind, sondern auch weil in Brasilien tätige Unternehmen dazu verpflichtet wären, die Daten über brasi­l­ianische Bürger ausschließlich im Land zu speichern“, so Beer. „Die Chancen stehen gut, dass das Gesetz verab­schiedet wird, aber man wird sehen müssen, ob es auch angewendet wird.“

DIE ÖFFENTLICHE MEINUNG

Rechtliche Folgen sind allerdings nicht das einzige Risiko für Firmen, die Verstöße verheimlichen. Die Reaktion der Öffentlich­keit könne viel unbarmherziger sein, sagt Wim Remes, Managing Consultant bei IoActive, einem Anbieter für IT-Sicher­heitslösungen mit Niederlassungen in Europa und Amerika. „Niemand wird Ihnen ein Entschuldigungs­schreiben mit Standardfloskeln oder eine vorgefertigte Videobotschaft verzeihen“, so Remes.

Trotzdem meldeten nur wenige Unternehmen unberechtigte Zugriffe auf ihr Netzwerk, sagt Kevin Lawrence, Senior­partner bei Stach & Liu, einer Sicherheits­beratungsfirma aus Phoenix, Arizona (USA). „Meist gibt es logische Begründungen dafür, warum ein Unternehmen nicht zur Meldung verpflichtet ist“, sagt Lawrence. „Täglich werden die Netze unzähliger Firmen gehackt und sie machen dies nicht öffentlich, um ihr Ansehen in der Öffentlichkeit nicht zu beschädigen.“

Im Februar 2013 hat die in Waltham, Massachusetts (USA) ansässige Sicher­heitsfirma Bit9 bekanntgegeben, dass ihr Netzwerk mit einem mehrstufigen Angriff gehackt wurde. Ziel dieses Angriffs war es, den Kunden, die auf die Malware-Schutz­programme von Bit9 vertrauen, die Schwachstellen vor Augen zu führen.

Bit9 informierte sofort die Strafverfolgungs­behörden und beauftragte ein externes Forensikteam, um die Unter­suchung zu leiten. Das Unter­nehmen entschloss sich dazu, die Kunden zu informieren. Und das nicht nur, weil dies das richtige Vorgehen in einem solchen Fall ist, sondern auch um sich vor späteren Konsequenzen zu schützen.

„FAST IMMER ÜBERWIEGEN DIE VORTEILE DURCH DEN INFORMATIONSAUSTAUSCH UND DIE OFFENLEGUNG DER FAKTEN GEGENÜBER DEN KUNDEN UND DER ALLGEMEINHEIT DIE NEGATIVEN FOLGEN EINES VERSTOSSES GEGEN DATENSICHERHEIT.”

HARRY SVERDLOVE TECHNIKVORSTAND VON BIT9

„Vom rechtlichen Standpunkt aus ist das wichtig, weil man nie weiß, was die Untersuchungen ergeben“, sagt Harry Sverdlove, Technikvorstand bei Bit9. „Wenn alles auf einen Insider hindeutet oder es zu einem Prozess kommt, sind externe Ermittler rechtlich bedeutsam und es ist viel schwieriger, deren Ergebnisse infrage zu stellen – insbesondere wenn das Ermittlerteam versichert, dass alle Untersuchungen beweisrechtlich einwandfrei durchgeführt wurden.“

Sverdlove rät betroffenen Unternehmen, nicht nur an die möglichen Risiken einer Offenlegung zu denken. „Ich bin der Meinung, dass die Vorteile durch den Informationsaustausch und die Offenlegung der Fakten gegenüber den Kunden und der Allgemeinheit die negativen Folgen, die ein Verstoß gegen die Datensicherheit verursachen kann, fast immer deutlich überwiegen“, sagt er. ◆

von Brian Krebs Zurück zum Seitenbeginn
von Brian Krebs