- Anzeigen -

Sie sind hier: Home » Markt » Interviews

Missbrauch von Daten


Wenn es doch passiert ist: Datenschutzverletzungen und die Folgen – Interview mit David Lin, Varonis
"One size fits all"-Ansatz erhöht eher das Risiko Opfer eines schwerwiegenden Datenschutzverstoßes zu werden

(04.03.16) - Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis Systems beantwortet sie.

Wie erfahren Unternehmen typischer Weise von Datenschutzverletzungen?
David Lin:
Es ist einigermaßen erwiesen, dass Unternehmen leider meistens von Außenstehenden von einer Datenschutzverletzung erfahren. Etliche Beispiele und Analysen findet man im Datenschutzbericht von Verizon. In den seltensten Fällen sind es die Unternehmen selbst, die etwas bemerken. Eher machen rechtstaatliche Organe eine Firma darauf aufmerksam oder auch Dienste, die sich auf das Aufdecken von Sicherheitslecks spezialisiert haben. Ob eine Datenschutzverletzung oder ein Missbrauch von Daten vorliegt, lässt sich nur feststellen, wenn die Dateien systematisch überwacht werden. Man kann nicht verwalten, was man nicht überwacht. Und man kann schlicht und ergreifend nicht feststellen, ob beispielsweise Vermögenswerte oder intellektuelles Kapital eines Unternehmens gefährdet sind, wenn man nicht weiß wie die zugehörigen Dateien genutzt werden.

Ein nicht unerheblicher Teil des Problems ist es, dass gerade unstrukturierte Daten der blinde Fleck fast jeden Unternehmens sind. Es gibt immer noch etliche Plattformen, die es nicht erlauben die Zugriffe auf Dateien umfassend zu überwachen. Dann allerdings wird es extrem schwierig, Datenschutzverletzungen frühzeitig als solche zu erkennen.

Gibt es seitens der Unternehmen typische Fehler, wenn Firmen auf eine Datenschutzverletzung aufmerksam werden?
Lin:
Man kann durchaus eine Menge Zeit und Geld in Katastrophenpläne investieren. Das ist auch richtig. Allerdings übersehen und unterschätzen viele Unternehmen einen wichtigen Aspekt. Dass nämlich Datenschutzverletzungen oftmals auf menschliche Fehler oder auf den Missbrauch von Zugriffsrechten zurückzuführen sind. Im Falle einer Datenschutzverletzung ist es für ein Unternehmen immens wichtig zumindest festzustellen, welche Daten genau gestohlen oder gelöscht worden sind. Und welche Ansprüche daraus gegenüber Kunden, Partnern und Aktionären entstehen.

Existieren Empfehlungen anerkannter Institutionen, wie Unternehmen den entstandenen Schaden wenigstens begrenzen können?
Lin:
Die Vereinigung der Kreditkarteninstitutionen (PCI) hat beispielsweise einen eigenen, unter dem Namen DSS, bekannten Standard. Dazu kommen Best Practices. Was Datenschutzverletzungen anbelangt, setzt die PCI auf das Überwachen der Dateien und der Sicherheitskontrollsysteme selbst. Zusätzlich empfiehlt die Brancheninstitution Tools, die automatische Benachrichtigungen versenden, wenn bestimmte Vorgaben nicht eingehalten werden oder es zu Abweichungen kommt. Das betrifft Patch-Updates genauso wie Dateien und Ports. Entsprechend hoch ist der Stellenwert eines Risk Assessments für die PCI-Gruppe. Und nicht zuletzt sollten Unternehmen über die aktuelle Bedrohungslandschaft auf dem Laufenden sein, die Akteure kennen und die Art von Daten, auf die sie es abgesehen haben. Dementsprechend sollten die Kontrollen in jedem einzelnen Unternehmen angepasst werden. Ein Patentrezept kann es nicht geben. Im Gegenteil erhöht ein "One size fits all"-Ansatz eher das Risiko Opfer eines schwerwiegenden Datenschutzverstoßes zu werden. Von zusätzlichen Techniker- und Technologiekosten ganz abgesehen. Auch die potenzielle Fehlerrate ist nicht zu unterschätzen.

Was ändert sich in Bezug auf Richtlinienanforderungen je nach dem ob ein Insider oder ein Outsider für die Datenschutzverletzung verantwortlich ist?
Lin:
Das kommt auf die jeweils zutreffenden Richtlinien und Gesetze an. Möglicherweise ist das Unternehmen verpflichtet die verantwortliche Regierungsbehörde zu informieren, genauso wie Kunden, deren Daten betroffen sind. Da gibt es eine große Bandbreite dessen was erforderlich ist. Nicht jeder Vorfall, bei dem Daten kompromittiert worden sind, ist automatisch meldepflichtig. An dieser Stelle muss man in die Details der entsprechenden Vorschriften und Gesetze gehen. Insbesondere was die genaue Definition der sogenannten Personally Identifiable Information (PII) anbelangt. Und selbst wenn PII-Daten betroffen sind, ist es nicht immer notwendig, umfassend öffentlich darüber zu informieren, wenn nur ein sehr geringer finanzieller Schaden entstanden ist und der Ruf eines Unternehmens durch die Datenschutzverletzung nicht weitergehend beschädigt worden ist. Sind Insider im Spiel, sieht die Sache in aller Regel anders aus. Sind beispielsweise IPs oder Handelsgeheimnisse gestohlen worden, stellt sich die Gesetzeslage grundlegend verschieden dar. NDAs oder andere vertragliche Vereinbarungen greifen zusätzlich. In Fällen von Wirtschaftsspionage sind beispielsweise die zuständigen Behörden in Kenntnis zu setzen.

Gibt es so etwas wie einen formalisierten Prozess, den Unternehmen für sich nutzen können, um möglichst viel aus einem Sicherheitsvorfall zu lernen? Um somit für die Zukunft besser gerüstet zu sein?
Lin:
Auf jeden Fall sind die Zeiten vorbei zu denen Unternehmen den Kopf in den Sand stecken konnten. Immer in der Hoffnung es möge sie selbst nicht erwischen. Unternehmen müssen unbedingt einen Plan für den Fall eines Datenschutzverstoßes haben. Und vor allem für die Zeit, nachdem der Verstoß entdeckt worden ist. Genauso wenig wie man auf Brandschutzmaßnahmen in Gebäuden verzichten würde, kann man auf entsprechende Pläne im Falle eines Datenschutzverstoßes verzichten. Unterschiedliche Arten von Daten und Informationen unterliegen unterschiedlichen Richtlinien und Anforderungen. Deshalb ist es so wichtig, dass Unternehmen genau wissen, welche Arten von Daten sie speichern und was die mit genau diesen Daten verbundenen Anforderungen in punkto Datenschutz sind. Nur so lassen sich passgenaue Maßnahmenpläne entwickeln. Auch wenn nicht alle Datenschutzverletzungen offen gelegt werden müssen, sollten Unternehmen sich mindestens darüber im Klaren sein, wie sie angemessen reagieren, wenn eine Datenschutzverletzung unter die öffentliche Meldepflicht fällt.
(Varonis: ra)



Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

  • Datenverarbeitung in den USA

    Der Europäische Gerichtshof hat in einem aktuellen Urteil festgestellt, dass das sog. Safe Harbor-Abkommen zwischen der EU und den USA ungültig ist. Das Safe Harbor-Abkommen war die wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der Kanzlei Bird&Bird erklärt in einem kurzen Interview mit artegic, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.

  • Trade Compliance ist sehr rechtsbezogen

    Viele international tätige Großunternehmen stehen vor der Frage, welchem Unternehmensbereich (Recht, Finanzen, Supply-Chain-Management) sie das Thema "Trade Compliance" zuordnen können und wie sie Exportkontrollen am besten organisieren. Kai Schwab, Sales Director Germany, Amber Road, sprach darüber kürzlich mit Torsten Röser, Director Export Control & ECO, Infineon Technologies AG.

  • COBIT versteht sich als Integrator-Rahmenwerk

    COBIT hatte seinen Ursprung im Bereitstellen von Checklisten und Kontrollzielen für IT-Revisoren. Die IT-Prüfer und das IT-Management haben sich aber oft nicht wirklich verstanden, weil beide mit unterschiedlichen Begriffen und Vorgehensmodellen gearbeitet haben. ISACA, der Eigentümer und treibende Verein hinter COBIT, hat dies bereits seit der Version 3 erkannt und kontinuierlich versucht, die beiden Welten zusammenzuführen. Mit der Version 5 von COBIT hat man sich nun definitiv von Begriffen wie "Control Objectives" verabschiedet und ein ganzheitliches, ausgereiftes Governance- und Management-Framework bereitgestellt.

  • Der Schlüssel zur sicheren Datenübertragung

    Von kurzen Notizen bis hin zu geschäftskritischen Informationen mit vertraulichen Anhängen - alles wird heute via E-Mail versendet. Dennoch sind die Übertragungswege häufig nicht ausreichend vor unberechtigten Zugriffen geschützt. Warum das so ist und wie sich das mit Ende-zu-Ende Verschlüsselung mit vergleichsweise geringem Aufwand ändern ließe, erläutert Marcel Mock, CTO und Mitbegründer von totemo.