Die zunehmende Zahl von Sicherheitsverletzungen, die darauf abzielen, an die Zugangsdaten von Kundenkonten zu gelangen, und die gestiegenen Meldepflichten bei Sicherheitsverletzungen bringen Unternehmen in eine schwierige Lage. Sie unterliegen der grausamen Logik, dass eine Sicherheitsverletzung bei einem Anbieter aufgrund der Wiederverwendung von Benutzerkennwörtern zur Gefährdung von Kundenkonten bei einem anderen Anbieter führen kann. Gleichzeitig werden die Vorschriften immer strenger, um das Zeitfenster für diese grausame Logik zu verkleinern.
Doch wie jüngste Sicherheitsverletzungen gezeigt haben, erfahren Unternehmen in der Regel erst dann, welche Konten offengelegt wurden, wenn Angreifer Benutzerdaten-Dumps zum Verkauf anbieten. Diese Szenarien lösen nicht nur Panik aus, sondern zwingen Unternehmen auch dazu, alle Kunden pauschal über den Vorfall zu informieren – was das Vertrauen der Kunden zusätzlich schädigt. In manchen Fällen handelt es sich bei den Empfängern der Benachrichtigungen möglicherweise nicht einmal um bestehende Kunden. Und wie die jüngsten Aktivitäten von Twitter zeigen, müssen Unternehmen möglicherweise selbst dann eine Benachrichtigung über den Vorfall veranlassen, wenn kein Vorfall vorliegt.
Angesichts der Gefahr eines Datenlecks und der Möglichkeit, dass Benutzeranmeldeinformationen auf Hacker-Marktplätzen zum Verkauf angeboten werden, müssen Unternehmen proaktiv handeln und über einen Reaktionsplan verfügen – statt sich von externen Auslösern überrumpeln zu lassen. Zuordnung von Kundenidentitäten Der Zugriff auf ihre persönlichen Daten, wo auch immer diese gespeichert sind, und die Aufrechterhaltung einer zentralen Übersicht darüber, welche Daten wem gehören, bilden die Grundlage für einen sinnvollen Plan zur Benachrichtigung bei Datenschutzverletzungen – und können dazu beitragen, die Ausgabe pauschalen Benachrichtigungen zu vermeiden.
Minimieren der Auswirkungen von Sicherheitsverletzungen durch rechtzeitige Benachrichtigungen
Die meisten verantwortungsbewussten Unternehmen sind bereits dabei, Benutzerdaten zu zentralisieren und Passwörter zu hashen und zu salten. Benutzerkonten können jedoch kompromittiert werden, ohne dass Angreifer in die Benutzerdatenspeicher eindringen. Angreifer können Benutzernamen und Passwörter durch Korrelation von Daten aus anderen Sicherheitslücken erschließen und dann automatisierte Angriffe starten, um herauszufinden, welche Kombinationen funktionieren. Genau aus diesem Grund riet Twitter seinen Nutzern kürzlich, ihre Passwörter zurückzusetzen – obwohl ihre eigenen Systeme nicht gehackt worden waren, sondern Cyberkriminelle Twitter-Benutzernamen und -Anmeldeinformationen zum Verkauf angeboten hatten.
Erschwerend kommt für viele Unternehmen hinzu, dass sie nicht lückenlos nachverfolgen können, welche Benutzerkonten offengelegt wurden oder, noch schlimmer, welche Konten wahrscheinlich kompromittiert wurden. Um die Meldepflichten bei Sicherheitsverletzungen einzuhalten, müssen sie stattdessen alle potenziell betroffenen Kunden benachrichtigen.
Gleichzeitig werden die seit einiger Zeit geltenden Gesetze zur Meldung von Datenschutzverletzungen, insbesondere beispielsweise im Gesundheitswesen, immer expliziter und strenger, da die Regulierungsbehörden diesen Trend als Untergrabung der systemischen Integrität des digitalen Geschäfts – und nicht nur der betroffenen Unternehmen – ansehen.
Tatsächlich stehen in Bundesstaaten wie Kalifornien und New York Gesetze auf der Tagesordnung, die spezielle Sicherheitsmaßnahmen zum Schutz von Passwörtern vorschreiben – und Geldstrafen vorsehen, wenn Unternehmen den Verstoß nicht rechtzeitig melden. Die vorgeschlagenen Gesetze zum Schutz vor Datendiebstählen sehen zudem einen umfassenderen Begriff von persönlichen Informationen vor, darunter auch medizinische, versicherungstechnische oder biometrische Daten. Illinois Kalifornien, Florida und Nebraska haben sich kürzlich mit der Verabschiedung von Gesetzen angeschlossen, die vorschreiben, dass Einzelpersonen benachrichtigt werden müssen, wenn ihr Benutzername in Kombination mit einem Passwort oder einer Sicherheitsfrage und -antwort, die den Zugriff auf ein Online-Konto ermöglichen würde, unbefugt erlangt wird.
Auf der anderen Seite des Großen Teichs schreibt die Datenschutz-Grundverordnung der EU nun vor, dass eine Datenschutzaufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden, nachdem ihr der Verstoß bekannt wurde“ über eine Verletzung des Schutzes personenbezogener Daten zu informieren ist.
Zentralisieren Sie Ihr Kundendatenwissen, nicht Ihre Kundendaten
Verfahren zur Meldung von Datenschutzverletzungen sind nicht nur zeitaufwändig und teuer, sie untergraben auch das Kundenvertrauen und stellen ein Reputationsrisiko dar, insbesondere für Unternehmen, die als wachsame Hüter der Daten ihrer Kunden gelten möchten.
Anstatt die Hände über dem Kopf zusammenzuschlagen und zu behaupten, ein Datenleck sei ein Geschäftsausfall, oder die Last der Passwortverwaltung auf die Benutzer abzuwälzen, brauchen Unternehmen Tools, um den Umfang der Meldepflichten bei Datenlecks aktiv einzuschränken und sicherzustellen, dass ein Plan für die Reaktion auf kompromittierte Benutzerkonten vorhanden ist.
Die Zentralisierung von Benutzerdaten bringt ihre eigenen Herausforderungen mit sich – und ist in vielen Fällen technisch nicht umsetzbar oder mit den gesetzlichen Rahmenbedingungen nicht vereinbar. Stattdessen ist eine zentrale Sicht auf die Kundenidentitäten und ihre Daten erforderlich.
Fragmente persönlicher Daten sind über Anwendungen, Datenbanken, Verzeichnisse und Big Data-Repositories verstreut, ohne dass eine zentrale Übersicht darüber besteht, welche Daten wem gehören. Wenn Sie verstehen, wer Ihre Benutzer sind, und einen Überblick darüber erhalten, wo sich ihre Daten befinden, schaffen Sie die Grundlage für eine detailliertere Sicht auf Gefährdungsrisiko durch Verstöße. Mit einem klaren Überblick über die Identitäten, die Unternehmen schützen möchten, können sie sowohl darauf hinarbeiten, den Umfang der personenbezogenen Daten zu begrenzen, die unter die Meldepflichten bei Datenschutzverletzungen fallen, als auch ermitteln, welche Benutzer bei Datenschutzverletzungen durch Dritte das größte Risiko darstellen.
Autor
