6 Dinge, die Sie nach einem Datenverstoß nicht tun sollten

Die Aufrechterhaltung und Durchsetzung der IT-Sicherheit haben wir unter verschiedenen Gesichtspunkten behandelt, insbesondere in Bezug auf die Vorgehensweise und die Entwicklung von Sicherheitstrends. Diese Informationen sollten Sie auf jeden Fall gründlich verarbeiten. Darüber hinaus sollten Sie sicherstellen, dass Ihr Unternehmen gut gerüstet ist, um sich vor Cyberangriffen zu schützen und zu verteidigen, insbesondere durch Endpoint-Schutz auf IT-Ebene, differenziertes Identitätsmanagement und Zugriffssteuerungsmaßnahmen. Ein solides und erprobtes Datensicherungsverfahren ist ebenfalls ein Muss. Leider ändert sich das Playbook für einen Datenverstoß ständig, was bedeutet, dass einige Ihrer Aktionen während einer Katastrophe ebenso schädlich wie hilfreich sein können. Hier kommt dieses Stück ins Spiel.

Wir diskutieren, was Unternehmen vermeiden sollten, wenn sie feststellen, dass ihre Systeme verletzt wurden. Wir haben mit mehreren Experten von Sicherheitsfirmen und Industrieanalysefirmen gesprochen, um die potenziellen Gefahren und Katastrophenszenarien, die sich nach Cyberangriffen entwickeln, besser zu verstehen.

1. Nicht improvisieren

Im Falle eines Angriffs werden Sie von Ihrem ersten Instinkt aufgefordert, mit der Behebung der Situation zu beginnen. Dies kann das Schützen der Endpunkte, auf die abgezielt wurde, oder das Zurücksetzen auf vorherige Sicherungen umfassen, um den von Ihren Angreifern verwendeten Einstiegspunkt zu schließen. Wenn Sie zuvor keine Strategie entwickelt haben, kann sich die Situation leider verschlechtern, wenn Sie nach einem Angriff überstürzt Entscheidungen treffen.

"Das erste, was Sie nach einer Sicherheitsverletzung nicht tun sollten, ist eine schnelle Reaktion", sagte Mark Nunnikhoven, Vice President für Cloud Research beim Anbieter von Cybersicherheitslösungen Trend Micro. "Ein wichtiger Teil Ihres Vorfallsreaktionsplans ist die Vorbereitung. Wichtige Kontakte sollten im Voraus festgelegt und digital gespeichert werden. Sie sollten im Falle eines katastrophalen Verstoßes auch in gedruckter Form verfügbar sein. Wenn Sie auf einen Verstoß reagieren, müssen Sie das Letzte sein." Dabei muss herausgefunden werden, wer für welche Aktionen verantwortlich ist und wer verschiedene Antworten autorisieren kann."

Ermis Sfakiyanudis, Präsident und CEO des Datenschutzdienstleisters Trivalent, stimmt diesem Ansatz zu. Er sagte, es sei wichtig, dass Unternehmen "nicht ausflippen", nachdem sie von einem Verstoß betroffen wurden. "Während Unvorbereitetheit angesichts einer Datenschutzverletzung einem Unternehmen irreparablen Schaden zufügen kann, können Panik und Desorganisation auch äußerst nachteilig sein", erklärte er. "Es ist von entscheidender Bedeutung, dass ein Unternehmen, gegen das verstoßen wurde, nicht von seinem Plan zur Reaktion auf Vorfälle abweicht. Dies sollte als ersten Schritt das Erkennen der vermuteten Ursache des Vorfalls einschließen. Beispielsweise wurde der Verstoß durch einen erfolgreichen Ransomware-Angriff, Malware auf dem System, a Firewall mit offenem Port, veralteter Software oder unbeabsichtigter Bedrohung durch Insider? Isolieren Sie anschließend das betroffene System und beseitigen Sie die Ursache der Sicherheitsverletzung, um sicherzustellen, dass Ihr System außer Gefahr ist."

Sfakiyanudis sagte, es sei wichtig, dass Unternehmen um Hilfe bitten, wenn sie über ihren Köpfen sind. "Wenn Sie nach Ihrer internen Untersuchung feststellen, dass tatsächlich ein Verstoß vorliegt, ziehen Sie Fachwissen von Drittanbietern hinzu, um die Auswirkungen zu bewältigen und zu mildern", sagte er. "Dazu gehören Rechtsberater, externe Ermittler, die eine gründliche forensische Untersuchung durchführen können, sowie PR- und Kommunikationsexperten, die in Ihrem Namen Strategien entwickeln und mit den Medien kommunizieren können.

"Mit dieser kombinierten fachmännischen Anleitung können Unternehmen im Chaos ruhig bleiben, herausfinden, welche Sicherheitslücken die Datenverletzung verursacht haben, Abhilfe schaffen, damit das Problem in Zukunft nicht erneut auftritt, und sicherstellen, dass die Reaktion auf betroffene Kunden angemessen und rechtzeitig erfolgt. Dies ist auch möglich." arbeiten auch mit ihrem Rechtsbeistand zusammen, um zu bestimmen, ob und wann die Strafverfolgung benachrichtigt werden sollte."

2. Schweigen Sie nicht

Sobald Sie angegriffen wurden, ist es beruhigend zu glauben, dass niemand außerhalb Ihres inneren Kreises weiß, was gerade passiert ist. Leider ist das Risiko hier nicht die Belohnung wert. Sie möchten mit Mitarbeitern, Anbietern und Kunden kommunizieren, um allen mitzuteilen, worauf zugegriffen wurde, was Sie zur Behebung der Situation unternommen haben und welche Pläne Sie haben, um sicherzustellen, dass in Zukunft keine ähnlichen Angriffe mehr auftreten. "Ignorieren Sie nicht Ihre eigenen Mitarbeiter", riet Heidi Shey, Senior Analyst für Sicherheit und Risiko bei Forrester Research. "Sie müssen mit Ihren Mitarbeitern über das Ereignis kommunizieren und Ihren Mitarbeitern Anweisungen geben, was zu tun oder zu sagen ist, wenn sie nach dem Verstoß gefragt werden."

Shey sagte, wie Sfakiyanudis, dass Sie vielleicht ein PR-Team beauftragen möchten, um die Nachrichten zu kontrollieren, die hinter Ihrer Antwort stehen. Dies gilt insbesondere für große und teure Datenschutzverstöße gegenüber Verbrauchern. "Idealerweise möchten Sie, dass ein solcher Anbieter im Rahmen Ihrer Planung für die Reaktion auf Vorfälle im Voraus identifiziert wird, damit Sie bereit sind, Ihre Reaktion einzuleiten", erklärte sie.

Nur weil Sie die Öffentlichkeit proaktiv über Verstöße informieren, bedeutet dies nicht, dass Sie wilde Äußerungen und Proklamationen veröffentlichen können. Bei einem Verstoß gegen den Spielzeughersteller VTech hat beispielsweise ein Hacker auf Fotos von Kindern und Chat-Protokolle zugegriffen. Nachdem sich die Situation beruhigt hatte, änderte der Spielzeughersteller seine Nutzungsbedingungen, um seine Verantwortung im Falle eines Verstoßes aufzugeben. Unnötig zu erwähnen, dass die Kunden nicht zufrieden waren. "Sie wollen nicht so aussehen, als würden Sie sich hinter legalen Mitteln verstecken, sei es, um eine Haftung zu vermeiden oder die Erzählung zu kontrollieren", sagte Shey. "Es ist besser, einen Plan für die Reaktion auf Verstöße und das Krisenmanagement zu haben, um bei der Kommunikation im Zusammenhang mit Verstößen behilflich zu sein."

3. Machen Sie keine falschen oder irreführenden Aussagen

Dies ist offensichtlich, aber Sie möchten so genau und ehrlich wie möglich sein, wenn Sie sich an die Öffentlichkeit wenden. Dies wirkt sich positiv auf Ihre Marke aus, wirkt sich jedoch auch positiv auf die Einnahmen aus Ihrer Cyber-Versicherung aus, falls Sie eine haben sollten. "Geben Sie keine öffentlichen Äußerungen ab, ohne Rücksicht darauf zu nehmen, was Sie sagen und wie Sie klingen", sagte Nunnikoven.

"War es wirklich ein" raffinierter "Angriff? Wenn man ihn als solchen bezeichnet, ist das nicht unbedingt wahr", fuhr er fort. "Muss Ihr CEO dies wirklich als" Terrorakt "bezeichnen? Haben Sie den Kleingedruckten Ihrer Cyber-Versicherungspolice gelesen, um Ausschlüsse zu verstehen?"

Nunnikhoven empfiehlt, Botschaften zu verfassen, die "kein Stier sind, häufig vorkommen und die klar angeben, welche Maßnahmen ergriffen werden und welche ergriffen werden müssen". Der Versuch, die Situation zu verbessern, verschlimmere die Situation. "Wenn Benutzer von einem Verstoß Dritter erfahren, wird das hart erkämpfte Vertrauen sofort zerstört", erklärte er. "Machen Sie sich mit der Situation vertraut und bleiben Sie stets auf dem Laufenden, und zwar in allen Kanälen, in denen Sie bereits aktiv sind."

4. Denken Sie an den Kundendienst

Wenn sich Ihre Datenverletzung auf einen Onlinedienst, die Erfahrung Ihrer Kunden oder einen anderen Aspekt Ihres Unternehmens auswirkt, bei dem Kunden Ihnen möglicherweise Anfragen senden, sollten Sie dies als separates und wichtiges Thema herausstellen. Wenn Sie die Probleme Ihrer Kunden ignorieren oder sogar offen versuchen, ihr Pech in Ihren Gewinn umzuwandeln, kann ein schwerwiegender Datenverstoß schnell zu einem albtraumhaften Verlust von Geschäft und Umsatz führen.

Am Beispiel der Equifax-Verletzung teilte das Unternehmen den Kunden ursprünglich mit, dass sie ein Jahr lang kostenlos über Kreditauskünfte berichten könnten, wenn sie nur nicht klagen würden. Es wurde sogar versucht, den Verstoß in ein Profit-Center umzuwandeln, um Kunden zusätzliche Gebühren in Rechnung zu stellen, wenn sie darum gebeten wurden, ihre Berichte einfrieren zu lassen. Das war ein Fehler und hat die Kundenbeziehungen des Unternehmens nachhaltig belastet. Was das Unternehmen hätte tun sollen, war, seine Kunden an die erste Stelle zu setzen und ihnen alle - möglicherweise sogar kostenlos - bedingungslose Berichte für den gleichen Zeitraum anzubieten, um ihr Engagement für die Sicherheit der Kunden zu unterstreichen.

5. Schließen Sie Vorfälle nicht zu früh

Sie haben Ihre beschädigten Endpunkte geschlossen. Sie haben Ihre Mitarbeiter und Kunden kontaktiert. Sie haben alle Ihre Daten wiederhergestellt. Die Wolken haben sich getrennt und ein Sonnenstrahl ist auf Ihren Schreibtisch gefallen. Nicht so schnell. Auch wenn es so aussieht, als wäre Ihre Krise vorbei, möchten Sie Ihr Netzwerk weiterhin aggressiv und proaktiv überwachen, um sicherzustellen, dass es keine Folgeangriffe mehr gibt.

"Es besteht ein enormer Druck, Dienste wiederherzustellen und sich nach einer Verletzung zu erholen", sagte Nunnikhoven. "Angreifer bewegen sich schnell durch Netzwerke, sobald sie Fuß gefasst haben. Es ist daher schwierig, eine konkrete Entscheidung zu treffen, mit der Sie das gesamte Problem angegangen sind. Sorgfältiger zu bleiben und aggressiver zu überwachen, ist ein wichtiger Schritt, bis Sie sicher sind, dass die Organisation im Klaren ist."."

Sfakiyanudis stimmt dieser Einschätzung zu. "Nachdem ein Datenverstoß behoben und der reguläre Geschäftsbetrieb wieder aufgenommen wurde, sollten Sie nicht die gleiche Technologie und Pläne voraussetzen, die Sie vor dem Verstoß hatten", sagte er. "Es gibt Lücken in Ihrer Sicherheitsstrategie, die ausgenutzt wurden, und auch wenn diese Lücken behoben sind, heißt das nicht, dass es in Zukunft keine weiteren mehr geben wird. Um einen proaktiveren Ansatz für den Datenschutz zu verfolgen, sollten Sie vorgehen." Ihr Plan zur Reaktion auf Datenverletzungen als lebendiges Dokument. Da Einzelpersonen ihre Rollen wechseln und sich das Unternehmen durch Fusionen, Übernahmen usw. weiterentwickelt, muss sich auch der Plan ändern."

6. Vergessen Sie nicht zu untersuchen

"Wenn Sie einen Verstoß untersuchen, dokumentieren Sie alles", sagte Sfakiyanudis. "Das Sammeln von Informationen zu einem Vorfall ist von entscheidender Bedeutung, um zu überprüfen, ob ein Verstoß aufgetreten ist, welche Systeme und Daten betroffen waren und wie gegen Abhilfemaßnahmen oder Abhilfemaßnahmen vorgegangen wurde. Die Untersuchungsergebnisse werden durch Datenerfassung und -analyse protokolliert, damit sie post mortem überprüft werden können."

"Befragen Sie unbedingt auch alle Beteiligten und dokumentieren Sie deren Antworten sorgfältig", fuhr er fort. "Durch das Erstellen detaillierter Berichte mit Datenträgerabbildern sowie Angaben zu wer, was, wo und wann der Vorfall aufgetreten ist, können Sie neue oder fehlende Maßnahmen zur Risikominimierung oder zum Datenschutz implementieren."

Solche Maßnahmen sind offensichtlich für mögliche rechtliche Konsequenzen nachträglich, aber das ist nicht der einzige Grund, einen Angriff zu untersuchen. Herauszufinden, wer verantwortlich war und wer davon betroffen war, ist ein Schlüsselwissen für die Anwälte und sollte auf jeden Fall untersucht werden. Aber wie der Verstoß verlaufen ist und worauf es ankam, sind wichtige Informationen für die IT und Ihre Sicherheitsmitarbeiter. Welcher Teil des Perimeters muss verbessert werden und welche Teile Ihrer Daten sind (anscheinend) für Ne'er-Do-Wells wertvoll? Stellen Sie sicher, dass Sie alle wichtigen Aspekte dieses Vorfalls untersuchen und dass Ihre Ermittler dies von Anfang an wissen.

Wenn Ihr Unternehmen zu analog ist, um diese Analyse selbst durchzuführen, sollten Sie wahrscheinlich ein externes Team beauftragen, um diese Untersuchung für Sie durchzuführen (wie bereits von Sfakiyanudis erwähnt). Machen Sie sich auch Notizen zum Suchvorgang. Notieren Sie sich, welche Dienste Ihnen angeboten wurden, mit welchen Anbietern Sie gesprochen haben und ob Sie mit dem Untersuchungsprozess zufrieden waren oder nicht. Mithilfe dieser Informationen können Sie feststellen, ob Sie sich an Ihren Lieferanten halten, einen neuen Lieferanten auswählen oder internes Personal einstellen, das diese Prozesse ausführen kann, falls Ihr Unternehmen das Pech hat, einen zweiten Verstoß zu erleiden.