Barracuda full logo

Verzögerte Benachrichtigungen bei Sicherheitsverletzungen verstehen

Themen:
20. Dez.. 2022
|
Tony Burgess

Wenn Ihre personenbezogenen Daten im Zuge einer Datenschutzverletzung preisgegeben oder gestohlen werden, werden Sie fast immer darüber informiert. Es kann jedoch Tage, Wochen und sogar Monate dauern, bis Sie nach dem tatsächlichen Verstoß darüber in Kenntnis gesetzt werden.

Die Sorge darüber ist nur allzu verständlich, da jede Verzögerung den Kriminellen, die für die Sicherheitsverletzung verantwortlich sind, mehr Zeit zum Missbrauch Ihrer Daten gibt, einschließlich des potenziellen Diebstahls Ihrer Identität – was verheerende Folgen haben kann.

Dennoch ist es wichtig zu verstehen, dass es mehrere Faktoren gibt, die sich auf den Zeitraum auswirken, bis Sie von einer Datenschutzverletzung erfahren, die Sie betrifft. Einige von ihnen sind vollkommen legitim. Andere offenbaren schwache Sicherheitspraktiken. Und manche sind einfach inakzeptabel.

Was sieht das Gesetz vor?

Bevor wir uns mit den verschiedenen Faktoren befassen, die die Benachrichtigung verzögern können, lassen Sie uns schnell einige der Gesetze und Vorschriften durchgehen, die Unternehmen bei einer Datenschutzverletzung befolgen müssen.

  • Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union stellt eine der strengsten Bestimmungen dar, die von Unternehmen verlangt, die betroffenen Personen „ohne unangemessene Verzögerung und spätestens 72 Stunden, nachdem sie davon Kenntnis erlangt haben“, über eine Datenschutzverletzung zu informieren.
  • In den Vereinigten Staaten verlangt der Health Insurance Portability and Accountability Act (HIPAA), dass Organisationen jeden Verstoß gegen personenbezogene Gesundheitsdaten (PHR) sowohl dem US-Gesundheitsministerium als auch allen betroffenen Personen „ohne unangemessene Verzögerung“ und in jedem Fall innerhalb von 60 Tagen melden.
  • Im März 2022 unterzeichnete Präsident Biden das Gesetz über die Meldung von Cybervorfällen bei kritischen Infrastrukturen (Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA), das die Betreiber kritischer Infrastrukturen dazu verpflichtet, dem Department of Homeland Security wesentliche Cybervorfälle innerhalb von 72 Stunden nach ihrer Entdeckung zu melden.
  • In den USA hat außerdem jeder Bundesstaat sein eigenes Gesetz zur Meldung von Datenschutzverletzungen. Diese können sehr unterschiedlich sein. In einigen Bundesstaaten, wie z. B. Kalifornien, gibt es keinen bestimmten Zeitplan, sondern das Gesetz sieht nur vor, dass betroffene Parteien „ohne unangemessene Verzögerungen“ benachrichtigt werden müssen. Andere, wie Arizona, verlangen eine Benachrichtigung innerhalb von 45 Tagen nach dem Auftreten einer Verletzung.

Trotz dieses Flickenteppichs von Gesetzen und Vorschriften ist es nicht ungewöhnlich, dass Verstöße bis weit über das vorgeschriebene Datum hinaus nicht gemeldet werden, obwohl dies seltener vorzukommen scheint als in den vergangenen Jahren.

Gründe für Verzögerungen

Verzögerte Erkennung von Verstößen

Ein häufiger Grund für eine verspätete Benachrichtigung ist, dass die betreffende Organisation den Verstoß erst lange nach seinem Auftreten entdeckt hat.

Cyberkriminelle, die erfolgreich in ein Zielnetzwerk eindringen, verbringen in der Regel Wochen oder Monate damit, die Datenspeicher ihres Ziels zu durchsuchen, sich Zugangsdaten auf höherer Ebene zu eigen zu machen usw., ohne entdeckt zu werden. Diese Art von Angriff wird oft als Advanced Persistent Threat bezeichnet. Selbst wenn eine Organisation die betroffenen Personen sofort nach der Entdeckung einer Sicherheitsverletzung benachrichtigt, ist es durchaus möglich, dass die Daten zu diesem Zeitpunkt schon längst in kriminellen Händen sind.

Diese Art von Verzögerung ist zwar verständlich, deutet aber darauf hin, dass die betroffene Organisation ihre Cybersicherheit wahrscheinlich noch verbessern könnte. Moderne Lösungen zur Erkennung von kompromittierten Konten, Identitätsdiebstahl, unbefugter Datenexfiltration und unrechtmäßigem internen Datenverkehr (wie Barracuda Email Protection) können dazu beitragen, dass die Verletzung schnell erkannt wird, selbst wenn in ein Netzwerk eingedrungen wird.

Polizeiliche Ermittlungen

Gelegentlich ziehen betroffene Organisationen Strafverfolgungsbehörden hinzu, um einen Verstoß als kriminelle Handlung zu untersuchen. In solchen Fällen ist es nicht ungewöhnlich, dass die Ermittlungsbehörde die Organisation daran hindert, öffentliche Bekanntmachungen herauszugeben, in der Regel aus Sorge, dass die Kriminellen dann Maßnahmen ergreifen könnten, um ihre Spuren zu verwischen und einer strafrechtlichen Verfolgung zu entgehen.

Natürlich ist diese Art von Verzögerung nicht die Schuld der Organisation, in der der Verstoß aufgetreten ist. Und wenn die fehlende Benachrichtigung zur Ergreifung der beteiligten Kriminellen beiträgt, kann dies sogar bedeuten, dass die betroffenen Personen einem geringeren Risiko durch den möglichen Missbrauch ihrer gestohlenen Daten ausgesetzt sind.

Verzögerungen durch Dritte

Viele Unternehmen lagern die Verarbeitung, Speicherung oder Verwaltung geschützter Daten an Dritte aus. Wenn bei diesen Drittunternehmen Verstöße auftreten, liegt es immer noch in der Verantwortung des primären Dateninhabers, die betroffenen Parteien zu benachrichtigen. Doch wenn das Drittunternehmen sie nicht rechtzeitig über den Verstoß informiert, wirkt sich diese Verzögerung unvermeidlich auf betroffene Kunden oder Mitarbeitende aus, selbst wenn die primäre Organisation die besten Absichten verfolgt.

Zu genau dieser Situation kam es beim Chicago Public Schools System (CPS). Im Dezember 2021 trat bei einem Technologieanbieter namens Battelle for Kids ein Verstoß auf und es wurden Daten von etwa einer halben Million Schülern offengelegt. Battelle hat CPS jedoch erst Ende April 2022 benachrichtigt. Es wurden gute Gründe für die Verzögerung genannt, aber CPS gibt an, dass jede Verzögerung einen Verstoß gegen ihren Vertrag darstellt.

Reputationsbedenken

Hin und wieder erfährt man davon, dass eine Organisation die Benachrichtigung lange hinausgezögert hat – oder sich einfach geweigert hat, eine Sicherheitsverletzung überhaupt bekannt zu geben – und das aus Sorge um den eigenen Ruf, den Aktienkurs usw.

Das ist sicher verständlich. Immerhin haben mehrere große Organisationen nach schweren Datenschutzverletzungen – zum Beispiel der berüchtigten Datenpanne mit Kreditkartendaten durch Target im Jahr 2013 – erhebliche Verluste an Geschäft, Umsatz und Marktkapitalisierung erlitten. Nichtsdestotrotz ist es illegal; es ist ein Zeichen der Missachtung von Kunden und Mitarbeitenden, deren Leben möglicherweise stark beeinträchtigt wird. Auch langfristig ist es nicht sinnvoll, da die Wahrheit schließlich ans Licht kommt und der anschließende Schaden für den Ruf schwerer wiegt, als er sein müsste.

Ein aktuelles Beispiel für ein Unternehmen, das diese Lektion auf die harte Tour lernt, ist Uber. Als es 2016 zu einer großen Datenpanne kam, verschwieg das Unternehmen diese Information über ein Jahr – und die negativen Reaktionen waren gewaltig, als die Wahrheit ans Licht kam. Im Jahr 2022 hingegen gab Uber eine neue Datenschutzverletzung sofort bekannt, noch bevor Art und Umfang des Hacks vollständig analysiert worden waren.

Die (größtenteils) gute Nachricht

Leider kommt es weiterhin häufig zu Verstößen. Es wurden bereits so viele Daten geknackt und im Dark Web zum Verkauf angeboten, dass Sicherheitsexperten davon ausgehen müssen, dass Kriminelle Zugriff auf Zugangsdaten und kompromittierten Konten haben.

Positiv zu vermerken ist jedoch, dass Verzögerungen bei der Meldung von Datenschutzverstößen nicht mehr so häufig vorkommen wie noch vor ein paar Jahren. Zum Teil ist dies auf eine bessere Durchsetzung und hohe Geldstrafen bei Verstößen gegen die Meldevorschriften zurückzuführen, zum Teil aber auch auf die zunehmende Einsicht, dass der Versuch, eine Datenschutzverletzung zu verbergen, langfristig teurer ist als ihre sofortige Aufdeckung (siehe Uber oben).

Ein weiterer positiver Aspekt ist, dass viele der auftretenden Verstöße tatsächlich vermeidbar sind. Durch die Implementierung moderner plattformbasierter Lösungen für E-Mail-Schutz, Netzwerkschutz, App- und API-Schutz sowie Datenschutz können die meisten Unternehmen ihr Risiko eines Verstoßes drastisch reduzieren und so alle ihre Kunden, Mitarbeitenden und andere Stakeholder vor den sehr realen Gefahren schützen, dass personenbezogene oder finanzielle Daten in die falschen Hände geraten.

Journey Notes abonnieren

Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.