Nachdem ich gerade von einem entspannten Sommerurlaub ganz ohne Cyber-Angriffe zurückgekehrt bin, habe ich mich jetzt über verschiedene Vorfälle informiert, die es im August in die Medien geschafft haben.
In Großbritannien hat beispielsweise der Einzelhändler von Mobiltelefonen Carphone Warehouse gemeldet, dass bei einem Cyber-Angriff die Daten von bis zu 2,4 Millionen seiner Kunden kompromittiert wurden. Dieser Vorfall wurde an einem Mittwoch entdeckt, jedoch erst am nächsten Samstag bekannt gegeben, was einige Kunden zum Anlass nahmen, sich darüber zu beschweren, dass man sie sofort hätte informieren sollen.
Angesichts dieser Umstände erkläre ich hier kurz meine Best-Practices-Leitlinie für Unternehmen mit Hinweisen zur Handhabung einer Datenschutzverletzung und zu den neuesten Meldepflichten.
Handhabung von Sicherheitsverletzungen:
Sie sollten diese sechs Schritte befolgen, wenn eine Sicherheitsverletzung auftritt:
- Begrenzen Sie den Vorfall
- Identifizieren und analysieren Sie alle Daten, die womöglich verletzt worden sind
- Informieren Sie alle Betroffenen zeitnah und erklären Sie die möglichen Risiken und die notwendigen Maßnahmen
- Melden Sie die Sicherheitsverletzung an die zuständigen Behörden und Industrieverbände
- Kümmern Sie sich um Ihre Reputation und mögliche Haftungsansprüche
- Nehmen Sie den Betrieb wieder auf und überprüfen Sie Ihre Sicherheitsrichtlinien
Datenschutzverletzungen können den Ruf eines Unternehmens extrem schädigen. Wie ich bereits in meinem vorherigen Beitrag geschrieben habe, ist es extrem wichtig, dass Unternehmen solide Richtlinien haben und die wichtigsten Mitarbeiter ihre Rollen und Verantwortlichkeiten genau kennen, um schnell reagieren zu können.
Melden einer Sicherheitsverletzung:
In Großbritannien werden Unternehmen vom Gesetzgeber nicht dazu verpflichtet, Sicherheitsverletzungen zu melden. Dennoch haben die Datenschutzbehörde (Information Commissioner’s Office (ICO)) und die Finanzmarktaufsichtsbehörde (Financial Conduct Authority (FCA)) das Recht, Geld-strafen zu verhängen, wenn ein Unternehmen nicht alle seine Sicherheitsverpflichtungen erfüllt hat.
Daher empfiehlt die ICO, dass als schwerwiegend eingestufte Sicherheitsver-letzungen – insbesondere die unbefugte Bearbeitung, der versehentliche Verlust und die Zerstörung oder Beschädigung von persönlichen Daten – gemeldet werden sollten.
Hinzu kommt, dass die britische Richtlinie zu Datenschutz und elektronischer Kommu-nikation vorsieht, dass Organisationen, die ihren Kunden die Möglichkeit bieten, elektronische Nachrichten zu senden, die ICO über Sicherheitsverletzungen informieren müssen.
Die ICO bewertet dann die Art und Schwere des Vorfalls und legt einen Aktionsplan fest. Das bedeutet jedoch nicht unbedingt, dass die Sicherheitsverletzung an die Öffentlichkeit gelangt – das obliegt weiterhin dem Daten-verantwortlichen des Unternehmens.
Mehr Informationen über den Schutz von Daten und die Meldepflicht Ihres Unter-nehmens finden Sie auf http://ico.org.uk
==========
Ihr Ansprechpatrtner für Cyberversicherung in Deutschland: René Ehlen
Folgen Sie CNA Hardy auf XING