Was tun nach einer Datenschutzverletzung?
Es gibt nur zwei Arten von Unternehmen: Die, die bereits gehackt wurden, uns die, die es noch vor sich haben. Hier einige Tipps für den Fall, dass es soweit gekommen ist.
Datenlecks und Datenschutzverstöße sind längst an der Tagesordnung: Seien es von Facebook nicht hinreichend geschützte Telefonnummern, personenbezogene Daten und Finanzinformationen wie bei Marriott oder gar hochsensible Patientendaten. Aber trotz dieser erschreckend hohen Frequenz wissen viele nicht, was sie in so einem Fall tun sollen oder müssen. Das gilt sowohl für Privatpersonen als auch für Unternehmen. Eine im Oktober durchgeführte Umfrage zeigte etwa, dass 56 Prozent der Amerikaner sich nicht klar darüber sind, wie sie sich bei einer Datenpanne verhalten sollen. Auch verfügen nur 57 Prozent der deutschen Unternehmen über einen entsprechenden Notfallplan. Deshalb hier einige grundlegende Tipps für den Fall der Fälle.
Was sollten Privatpersonen nach einem Datenvorfall unternehmen?
1. Überprüfen
Der erste Schritt ist die Überprüfung der eigenen Betroffenheit. Hier ist bereits Vorsicht geboten: Nutzer sollten niemals sensible Informationen wie das Geburtsdatum, E-Mail-Adresse oder Telefonnummer auf einer (beliebigen) Seite eingeben, die vorgibt, eine kostenlose Überprüfung von Datenverstößen vorzunehmen. Die Website von Security-Spezialist Troy Hunt Have I Been Pwnd ist ein sicherer und effektiver Weg, um zu kontrollieren, ob die eigenen Daten jemals gestohlen wurden oder ob diese Daten von einer aktuellen Datenschutzverletzung betroffen sind. Interessierte müssen hier nur ihre E-Mail-Adresse eingeben. Die Website zeigt dann genaue Informationen darüber, ob, wann und wie die Daten gestohlen wurden und gibt auch Tipps, was im konkreten Fall zu tun ist.
Hat man nun auf diese Weise festgestellt, dass man von einem Datenvorfall betroffen ist, sollte man auf die vom entsprechenden Unternehmen bereitgestellten Ressourcen zugreifen, um zu erfahren, was diese empfehlen sowie welche Schutzmaßnahmen und möglicherweise Entschädigungen sie bieten. Vor allem aber sollten Nutzer vorsichtig und wachsam sein: Oftmals nutzen Hacker große Datenschutzverstöße etwa für spezifische Phishing-Kampagnen, durch die die Betroffenen dann zum zweiten Mal zum Opfer werden, sei es durch einen (weiteren) Datendiebstahl oder eine Ransomware-Infektion.
2. Schützen
Hat ein Nutzer festgestellt, dass seine Daten betroffen sind, sollte er die vom Sicherheitsteam des Unternehmens bereitgestellten Sicherheitshinweise befolgen. Dies beinhaltet in der Regel die sofortige Änderung des Passworts auf der betroffenen Website und allen anderen Websites, auf denen das gleiche (oder ein ähnliches) Passwort verwendet wird. Wenn Finanzdaten (wie Kreditkartennummern) gestohlen wurden, sollten sofort die Bank und/oder das Kreditkartenunternehmen verständigt und die entsprechenden Karten gesperrt werden.
3. Überwachen
Betroffene sollten ihre Kredit- und Finanzaktivitäten im Auge behalten, um sicherzustellen, dass sie jede ungewöhnliche Aktivität und nicht nachvollziehbare Abbuchung schnell erkennen und Gegenmaßnahmen einleiten können.
Wie sollten Unternehmen auf einen Datenschutzverstoß reagieren?
Auch wenn der Gedanke, zum Opfer eines erfolgreichen Cyberangriffs zu werden, für viele Unternehmen erschreckend ist, muss man sich wohl oder übel darauf einstellen. Sicherheitsverantwortliche wissen es längst, und auch in der Führungsebene setzt sich mehr und mehr die Erkenntnis durch, dass es keine Frage ist, ob man gehackt wird, sondern eher wann. Ein schnelles, geplantes und sorgfältiges Handeln kann dann den Schaden für das Unternehmen und seine Kunden deutlich minimieren.
Investitionen in präventive IT-Sicherheit sind der erste Schritt. Da aber Prävention nicht immer ausreicht, kommt man nicht umhin, einen Reaktionsplan zu haben und diesen dann in der entsprechenden Situation auch zu befolgen. Datenschutzgesetze wie die DSGVO legen Parameter für die Reaktion auf Datenschutzverletzungen fest. Um sicherzustellen, dass die eigenen Geschäftsprozesse, Richtlinien und Reaktionspläne konform sind, sollte man zusätzliche (auch anwaltliche) Expertise hinzuziehen.
Um den Schaden von vornherein zu minimieren, sollten Unternehmen folgende Tipps beherzigen:
- Es ist von entscheidender Bedeutung, dass Unternehmen wissen, welche sensiblen Daten sie gespeichert haben, wo sie sich befinden und wer Zugriff darauf hat.
- Löschen Sie veraltete oder unnötige Daten, insbesondere Dateien mit sensiblen Informationen.
- Gewähren Sie den Mitarbeitern nur Zugang zu den Informationen, die sie für ihre Arbeit auch tatsächlich benötigen.
- Setzen Sie auf ablaufende Passwörter und Konten.
- Wenn Mitarbeiter das Unternehmen verlassen, müssen ihnen ihre Zugriffsrechte entzogen werden.
- Stellen Sie sicher, dass Ihre Software stets auf dem aktuellen Stand ist.
- Überwachen Sie Aktivitäten auf externe und interne Bedrohungen.
- Bleiben Sie auf dem Laufenden über die neuesten Betrugsfälle, Taktiken und Malware.
- Kommunizieren Sie mit Ihrem Team und melden Sie Verstöße oder Compliance-Verletzungen umgehend an die zuständige Behörde.
- Wenn es zu einer Verletzung oder einem Leck kommt, stellen Sie alle gefährdeten Daten wieder her und sichern Sie sie.
Ein wirkungsvoller Incident-Response-Plan legt in Form einer Schritt-für-Schritt-Anleitung vor allem die adäquate Reaktion auf bestimmte Sicherheitsvorfälle fest: Was ist überhaupt ein Sicherheitsvorfall? Wer hat was zu tun? Und wer ist in welchem Fall wie zu informieren? Dabei kommt es auch auf die Zusammenstellung des Reaktionsteams an. Gerade bei schwerwiegenden Datenschutzverletzungen reicht es bei weitem nicht aus, dass lediglich IT-Fachleute involviert sind. Es sollte stets die Rechtsabteilung einbezogen werden und es empfiehlt sich, eine offene, strategische Öffentlichkeitsarbeit für die Krisenkommunikation zu gewährleisten. Denn auch der Umgang und das Management dieser Situation kann wesentlich den (wahrgenommenen) Schaden reduzieren.