Datenlecks sind normale Erscheinungen. Unabhängig von der Größe Ihres Unternehmens oder der Branche in der Sie tätig sind, früher oder später sollten Sie darauf vorbereitet sein, von Hackern angegriffen zu werden.
In den letzten paar Jahren gab es einen stetigen Anstieg an bemerkenswerten Angriffen auf Unternehmen in der ganzen Welt, von Einzelhändlern über Banken bis hin zu Anbietern im Gesundheitswesen. Und wenn kleinere Unternehmen denken, dass sie von Hackern übersehen werden und glauben sie seien kein wertvolles Ziel, sind sie im Irrtum.
Data Leaks: Jede Firma ist in Gefahr
Ein Bericht der Unternehmensberatung PwC aus England aus dem Jahr 2015 ergab, dass neun von zehn großen Firmen Datenlecks in den vergangenen 12 Monaten erfahren haben, genauso wie fast dreiviertel (74 %) der kleinen Unternehmen.
Die Folgen eines Angriffs können schwerwiegend sein. In erster Linie gibt es die direkten finanziellen Kosten eines Vorfalls, die entgangene Aufträge, die Verbesserung der Verteidigungsmaßnahmen bis hin zu Strafen von Regulierungsbehörden, wenn ein Gesetz wie z.B. das deutsche Bundesdatenschutzgesetz dabei verletzt wurde.
Der Report von PwC schätzt, dass für große Unternehmen der finanzielle Schaden eines Datenlecks im Jahr zwischen 1,46 und 3,14 Millionen britische Pfund (1,85 Millionen und 3,99 Millionen) beträgt. Eine kleine Firma kann Kosten zwischen 95000 und ca. 395000 Euro erwarten – eine Verdoppelung der Schäden des Vorjahrs. Und dabei ist die Rufschädigung noch nicht eingerechnet, wenn das Unternehmen versäumt, sensible persönliche Daten seiner Kunden zu schützen. Eine schwerwiegende Verletzung kann das Vertrauen der Verbraucher in ein Unternehmen zerstören und ohne dieses Vertrauen wird es schwer sein am Markt erfolgreich zu sein.
Die Notwendigkeit, vorbereitet zu sein
Für Firmen gibt es viel zu tun, um Datenlecks zu verhindern. Kriminelle entwickeln immer neue Angriffsstrategien, so müssen Sicherheitsexperten hart am Ball bleiben, um mit den ständig neuen Entwicklungen Schritt zu halten. So ist es nicht unrealistisch für Unternehmen, alle nur denkbaren Angriffe abwehren zu müssen. Früher oder später wird ein Hacker durchkommen, sodass die erfolgreichsten Firmen diejenigen sein werden, die sofort angemessen reagieren, um die Auswirkungen zu minimieren.
Deshalb ist es entscheidend einen vorbereiteten Plan in Kraft zu haben, wenn man mit einem Datenleck konfrontiert ist. In den Stunden und Tagen nach der Entdeckung einer Datenschutzverletzung ist es wichtig, dass jeder in der Organisation weiß, was seine Rolle ist und welche Schritte zu ergreifen sind.
Vor einem Datenleck
Um effektiv auf eine Datenschutzverletzung/ein Datenleck zu reagieren, ist es wichtig, genau zu wissen, welche Daten Sie haben, welches das Risikoniveau der Daten ist und was Ihre gesetzlichen Anforderungen sind. Unternehmen sollten auch eine zentrale Liste der Richtlinien und der Systeme zusammengestellt haben, die für den Schutz gegen Datenlecks eingesetzt werden, von Richtlinien zur Zugriffssteuerung bis hin zu der genutzten Sicherheitssoftware.
Neben der vollständigen Prüfung Ihrer IT-Umgebung ist es wichtig sicherzustellen, dass das Personal des Unternehmens im Vorfeld trainiert wird, was es bei einem Vorfall zu tun gilt. Ein klarer Zeitplan muss festgelegt werden, der beschreibt, welche Mitarbeiter beteiligt werden sollen und wann. Die Pläne sollten auch regelmäßig überprüft und getestet werden, um sicherzustellen, dass sie aktuell sind und dass die Mitarbeiter mit ihrer eigenen Verantwortung vertraut sind.
Während eines Datenlecks
Wie ein Unternehmen reagiert, wenn es auf einen Datenschutz-Verstoß oder ein Datenleck aufmerksam gemacht wird, ist von entscheidender Bedeutung. Es gibt mehrere wichtige Schritte, die sofort ergriffen werden müssen, wenn der Response-Plan wirksam sein soll.
Für den Anfang ist es wichtig, dass die Räumlichkeiten gesichert sind und das Datenleck/der Datenverlust aufgehalten wird. Es gibt jedoch auch andere wichtige Maßnahmen die getroffen werden müssen, wie zum Beispiel dass das Geschehen dokumentiert wird, um als späteren Beweis zu dienen, die Ermittlungen zu unterstützen und verbesserten Schutz aufzubauen.
Personen, die potenziell von der Verletzung betroffen sind – in der Regel Kunden – müssen auch so schnell wie möglich informiert werden. Jede Verzögerung hier wird wahrscheinlich das Vertrauen der Kunden untergraben, sodass es sich um eine Maßnahme handelt, die nicht übersehen werden darf.
Immer häufiger müssen Unternehmen auch den Massenmedien Rede und Antwort stehen. Eine negative Publicity kann auch bei kleineren Organisationen sehr schnell entstehen.
Nach einem Datenleck
Schließlich muss ein starker Datenleck-Response-Plan Einzelheiten enthalten, was das Unternehmen in der Zeit nach einem Vorfall tun wird, um Schadensersatz für betroffene Nutzer anzubieten und sicherzustellen, dass ein solcher Vorfall nicht wieder passiert.
Im Falle einer schwerwiegenden Datenschutzverletzung oder eines Datenlecks sollten Unternehmen darüber nachdenken einen externen Experten hinzuzuziehen, um eine forensische Untersuchung über den Vorfall durchzuführen und Empfehlungen zu bekommen, wie das System besser geschützt werden kann. Sie sollten auch eine Befragung mit den wichtigsten Mitarbeitern durchführen, um die Abfolge der Ereignisse zu bestimmen, die zu dem Vorfall geführt haben.
Der Umgang mit einem Datenleck ist immer eine schwierige Erfahrung im Geschäftsleben, aber ein starker Verteidigungsplan kann dabei helfen, den Vorfall so glatt wie möglich zu gestalten. Die Gewährleistung, dass jeder weiß, was seine Rolle ist und was das Unternehmen als Ganzes tun muss und in welcher Reinfolge, ist von unschätzbarem Wert um Störungen auf ein Minimum zu reduzieren und eine schnelle „Genesung“ zu unterstützen.