Prominente Datenschutzverletzungen sind ein guter Ausgangspunkt, um einen eigenen Notfallreaktionsplan zu gestalten. Werfen wir also einen Blick auf die Vorfälle beim Einzelhändler Target, dem Hotelunternehmen Marriott und dem Fahrdienstvermittler Uber und prüfen, was sich hieraus lernen lässt. Wie haben die Unternehmen reagiert und was hätten sie besser tun sollen, um ihre Reaktionszeit und damit letztlich auch den Schaden zu minimieren?
Uber
Ubers größter Fehler in einer ganzen Reihe falscher Entscheidungen war die lange Zeitspanne zwischen der Entdeckung der Datenpanne und der öffentlichen Mitteilung im November 2017. Bereits 2016 entwendeten Hacker Daten von 57 Millionen Fahrgästen und Fahrern.
Es gab offensichtliche gravierende Sicherheitsmängel, die den Datendiebstahl in diesem Ausmaß erst möglich gemacht haben. Zudem bezahlte Uber den Kriminellen 100.000 US-Dollar, damit sie diese Daten vernichten, anstatt Behörden, Betroffene und die Öffentlichkeit zu informieren. Selbstverständlich hatte das Unternehmen keine Gewähr, dass die Daten tatsächlich gelöscht wurden.
Dieses Verhalten führte zu hohen Bußgeldern, strengen Sicherheitsanforderungen und Überwachung durch die US-Handelsbehörde Federal Trade Commission (FTC). Zudem musste Uber einen hohen Vertrauensverlust bei Kunden und Mitarbeitern hinnehmen.
Was hätte Uber besser machen können? Einfach gesagt: So ziemlich alles. Das Unternehmen hat grundlegende Sicherheitshygiene vernachlässigt. In Bezug auf die Reaktionszeit hätte sich das Unternehmen und dessen Vorstand mit Schlüsselpersonen innerhalb des Unternehmens beraten müssen. Mit Mitgliedern der PR-, IT-, Rechts- und Sicherheitsteams hätte so eine ethische Vorgehensweise zur Bewältigung der Datenschutzverletzung formuliert und die Öffentlichkeit informiert werden können. Wenn es einen entsprechenden Plan schon im Vorfeld gegeben hätte, wäre der gesamt Vorfall wesentlich schneller entdeckt und besser gelöst worden.
Vor allem die Rechtsabteilung und die Compliance-Verantwortlichen hätten stärker auf die Einhaltung der entsprechenden Vorgaben drängen müssen. Auch wenn zum Zeitpunkt des Datendiebstahls die DSGVO noch nicht in Kraft getreten war, so verfügten doch schon 48 US-Bundesstaaten über entsprechende Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen zur Offenlegung von Nachrichten über einen Hack verpflichteten.
Marriott
Der Datenschutzvorfall bei Marriott ist mit 383 Millionen entwendeten Kundendaten, einschließlich Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdaten und Aufenthaltszeiträumen, einer der größten Datendiebstähle bislang. Gleichzeitig ist er ein Beispiel dafür, wie sich Übernahmen und Fusionen auf die IT- und Datensicherheit auswirken können. Schon zu Beginn der Übernahme der Starwood Hotels und Resorts hätte Marriott seinen CIO und die IT-Teams einbeziehen sollen, um das Unternehmen aus der Sicht der Cybersicherheit zu analysieren.
Starwood meldete 2015 einen kleineren Sicherheitsvorfall bei seinen Point-of-Sale (POS)-Systemen. Marriott streitet eine Verbindung beider Fälle zwar ab, jedoch weisen einige Cybersicherheits-Experten darauf hin, dass eine eingehende Untersuchung durchaus einen Zusammenhang zwischen diesem alten Verstoß und der Kompromittierung des Reservierungssystems hätte aufdecken können. Bei Fusionen und Übernahmen ist es wichtig, alle Risiken zu identifizieren und zu bewerten und dazu zählen mittlerweile in besonderem Maße auch Cyberrisiken.
Darüber hinaus hätte Marriott eine umfassendere und detailliertere Cybersicherheitslösung implementieren sollen, was anscheinend nicht der Fall war. Eine interne Security-Lösung informierte die Verantwortlichen über eine Bedrohung am 8. September 2018 - vier Jahre nach Beginn des Angriffs. Ein stärkeres Instrument in Verbindung mit sorgfältigeren und routinemäßigeren Sicherheitsaudits hätte helfen können, den Verstoß früher zu finden.
Hier spielt auch Priorisierung eine Rolle, gerade im Hinblick auf die enorme Menge an Daten. So sind einige Daten, wie beispielsweise Kundeninformationen, die in einem Reservierungssystem gespeichert sind, sehr sensibel und müssen entsprechend stark geschützt werden. Durch eine Klassifizierung und Priorisierung von Daten ist es Sicherheitsteams möglich, ihre Budgets und Zeit besser einzuteilen und sich auf die wirklich wichtigen Assets zu konzentrieren.
Auch was die Reaktionszeit anbelangt, lief hier einiges schief: Nach dem ersten Alarm im September dauerte es über einen Monat, bis die Daten entschlüsselt und damit das Ausmaß erkannt werden konnte. Wiederum elf Tage später wurde die Öffentlichkeit informiert.