Sie sind hier: Home » Markt » Interviews

Missbrauch von Daten

Wenn es doch passiert ist: Datenschutzverletzungen und die Folgen – Interview mit David Lin, Varonis
"One size fits all"-Ansatz erhöht eher das Risiko Opfer eines schwerwiegenden Datenschutzverstoßes zu werden

(04.03.16) - Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis Systems beantwortet sie.

Wie erfahren Unternehmen typischer Weise von Datenschutzverletzungen?
David Lin: Es ist einigermaßen erwiesen, dass Unternehmen leider meistens von Außenstehenden von einer Datenschutzverletzung erfahren. Etliche Beispiele und Analysen findet man im Datenschutzbericht von Verizon. In den seltensten Fällen sind es die Unternehmen selbst, die etwas bemerken. Eher machen rechtstaatliche Organe eine Firma darauf aufmerksam oder auch Dienste, die sich auf das Aufdecken von Sicherheitslecks spezialisiert haben. Ob eine Datenschutzverletzung oder ein Missbrauch von Daten vorliegt, lässt sich nur feststellen, wenn die Dateien systematisch überwacht werden. Man kann nicht verwalten, was man nicht überwacht. Und man kann schlicht und ergreifend nicht feststellen, ob beispielsweise Vermögenswerte oder intellektuelles Kapital eines Unternehmens gefährdet sind, wenn man nicht weiß wie die zugehörigen Dateien genutzt werden.

Ein nicht unerheblicher Teil des Problems ist es, dass gerade unstrukturierte Daten der blinde Fleck fast jeden Unternehmens sind. Es gibt immer noch etliche Plattformen, die es nicht erlauben die Zugriffe auf Dateien umfassend zu überwachen. Dann allerdings wird es extrem schwierig, Datenschutzverletzungen frühzeitig als solche zu erkennen.

Gibt es seitens der Unternehmen typische Fehler, wenn Firmen auf eine Datenschutzverletzung aufmerksam werden?
Lin: Man kann durchaus eine Menge Zeit und Geld in Katastrophenpläne investieren. Das ist auch richtig. Allerdings übersehen und unterschätzen viele Unternehmen einen wichtigen Aspekt. Dass nämlich Datenschutzverletzungen oftmals auf menschliche Fehler oder auf den Missbrauch von Zugriffsrechten zurückzuführen sind. Im Falle einer Datenschutzverletzung ist es für ein Unternehmen immens wichtig zumindest festzustellen, welche Daten genau gestohlen oder gelöscht worden sind. Und welche Ansprüche daraus gegenüber Kunden, Partnern und Aktionären entstehen.

Existieren Empfehlungen anerkannter Institutionen, wie Unternehmen den entstandenen Schaden wenigstens begrenzen können?
Lin: Die Vereinigung der Kreditkarteninstitutionen (PCI) hat beispielsweise einen eigenen, unter dem Namen DSS, bekannten Standard. Dazu kommen Best Practices. Was Datenschutzverletzungen anbelangt, setzt die PCI auf das Überwachen der Dateien und der Sicherheitskontrollsysteme selbst. Zusätzlich empfiehlt die Brancheninstitution Tools, die automatische Benachrichtigungen versenden, wenn bestimmte Vorgaben nicht eingehalten werden oder es zu Abweichungen kommt. Das betrifft Patch-Updates genauso wie Dateien und Ports. Entsprechend hoch ist der Stellenwert eines Risk Assessments für die PCI-Gruppe. Und nicht zuletzt sollten Unternehmen über die aktuelle Bedrohungslandschaft auf dem Laufenden sein, die Akteure kennen und die Art von Daten, auf die sie es abgesehen haben. Dementsprechend sollten die Kontrollen in jedem einzelnen Unternehmen angepasst werden. Ein Patentrezept kann es nicht geben. Im Gegenteil erhöht ein "One size fits all"-Ansatz eher das Risiko Opfer eines schwerwiegenden Datenschutzverstoßes zu werden. Von zusätzlichen Techniker- und Technologiekosten ganz abgesehen. Auch die potenzielle Fehlerrate ist nicht zu unterschätzen.

Was ändert sich in Bezug auf Richtlinienanforderungen je nach dem ob ein Insider oder ein Outsider für die Datenschutzverletzung verantwortlich ist?
Lin: Das kommt auf die jeweils zutreffenden Richtlinien und Gesetze an. Möglicherweise ist das Unternehmen verpflichtet die verantwortliche Regierungsbehörde zu informieren, genauso wie Kunden, deren Daten betroffen sind. Da gibt es eine große Bandbreite dessen was erforderlich ist. Nicht jeder Vorfall, bei dem Daten kompromittiert worden sind, ist automatisch meldepflichtig. An dieser Stelle muss man in die Details der entsprechenden Vorschriften und Gesetze gehen. Insbesondere was die genaue Definition der sogenannten Personally Identifiable Information (PII) anbelangt. Und selbst wenn PII-Daten betroffen sind, ist es nicht immer notwendig, umfassend öffentlich darüber zu informieren, wenn nur ein sehr geringer finanzieller Schaden entstanden ist und der Ruf eines Unternehmens durch die Datenschutzverletzung nicht weitergehend beschädigt worden ist. Sind Insider im Spiel, sieht die Sache in aller Regel anders aus. Sind beispielsweise IPs oder Handelsgeheimnisse gestohlen worden, stellt sich die Gesetzeslage grundlegend verschieden dar. NDAs oder andere vertragliche Vereinbarungen greifen zusätzlich. In Fällen von Wirtschaftsspionage sind beispielsweise die zuständigen Behörden in Kenntnis zu setzen.

Gibt es so etwas wie einen formalisierten Prozess, den Unternehmen für sich nutzen können, um möglichst viel aus einem Sicherheitsvorfall zu lernen? Um somit für die Zukunft besser gerüstet zu sein?
Lin: Auf jeden Fall sind die Zeiten vorbei zu denen Unternehmen den Kopf in den Sand stecken konnten. Immer in der Hoffnung es möge sie selbst nicht erwischen. Unternehmen müssen unbedingt einen Plan für den Fall eines Datenschutzverstoßes haben. Und vor allem für die Zeit, nachdem der Verstoß entdeckt worden ist. Genauso wenig wie man auf Brandschutzmaßnahmen in Gebäuden verzichten würde, kann man auf entsprechende Pläne im Falle eines Datenschutzverstoßes verzichten. Unterschiedliche Arten von Daten und Informationen unterliegen unterschiedlichen Richtlinien und Anforderungen. Deshalb ist es so wichtig, dass Unternehmen genau wissen, welche Arten von Daten sie speichern und was die mit genau diesen Daten verbundenen Anforderungen in punkto Datenschutz sind. Nur so lassen sich passgenaue Maßnahmenpläne entwickeln. Auch wenn nicht alle Datenschutzverletzungen offen gelegt werden müssen, sollten Unternehmen sich mindestens darüber im Klaren sein, wie sie angemessen reagieren, wenn eine Datenschutzverletzung unter die öffentliche Meldepflicht fällt.
(Varonis: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Interviews

Orientierung am "Goldstandard" DSGVO
"Ich bin der festen Überzeugung, dass wir weltweit eine Art "Dominoeffekt" bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am "Goldstandard" DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren", Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software äußert sich zum Thema Umgang mit Datenschutz und -sicherheit.
Elektronischer Rechnungsaustausch
Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.
Test auf das Down-Syndrom
Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."
Gut für Anwälte, schlecht für Anwender
Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.
Forderungsmanagement: Aufgabe für die Kommune
Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

Forderungsmanagement: Aufgabe für die Kommune Datenverarbeitung in den USA