
Verzögerte Benachrichtigungen bei Sicherheitsverletzungen verstehen
Wenn Ihre personenbezogenen Daten im Zuge einer Datenschutzverletzung preisgegeben oder gestohlen werden, werden Sie fast immer darüber informiert. Es kann jedoch Tage, Wochen und sogar Monate dauern, bis Sie nach dem tatsächlichen Verstoß darüber in Kenntnis gesetzt werden.
Die Sorge darüber ist nur allzu verständlich, da jede Verzögerung den Kriminellen, die für die Sicherheitsverletzung verantwortlich sind, mehr Zeit zum Missbrauch Ihrer Daten gibt, einschließlich des potenziellen Diebstahls Ihrer Identität – was verheerende Folgen haben kann.
Dennoch ist es wichtig zu verstehen, dass es mehrere Faktoren gibt, die sich auf den Zeitraum auswirken, bis Sie von einer Datenschutzverletzung erfahren, die Sie betrifft. Einige von ihnen sind vollkommen legitim. Andere offenbaren schwache Sicherheitspraktiken. Und manche sind einfach inakzeptabel.
Was sieht das Gesetz vor?
Bevor wir uns mit den verschiedenen Faktoren befassen, die die Benachrichtigung verzögern können, lassen Sie uns schnell einige der Gesetze und Vorschriften durchgehen, die Unternehmen bei einer Datenschutzverletzung befolgen müssen.
- Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union stellt eine der strengsten Bestimmungen dar, die von Unternehmen verlangt, die betroffenen Personen „ohne unangemessene Verzögerung und spätestens 72 Stunden, nachdem sie davon Kenntnis erlangt haben“, über eine Datenschutzverletzung zu informieren.
- In den Vereinigten Staaten verlangt der Health Insurance Portability and Accountability Act (HIPAA), dass Organisationen jeden Verstoß gegen personenbezogene Gesundheitsdaten (PHR) sowohl dem US-Gesundheitsministerium als auch allen betroffenen Personen „ohne unangemessene Verzögerung“ und in jedem Fall innerhalb von 60 Tagen melden.
- Im März 2022 unterzeichnete Präsident Biden das Gesetz über die Meldung von Cybervorfällen bei kritischen Infrastrukturen (Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA), das die Betreiber kritischer Infrastrukturen dazu verpflichtet, dem Department of Homeland Security wesentliche Cybervorfälle innerhalb von 72 Stunden nach ihrer Entdeckung zu melden.
- In den USA hat außerdem jeder Bundesstaat sein eigenes Gesetz zur Meldung von Datenschutzverletzungen. Diese können sehr unterschiedlich sein. In einigen Bundesstaaten, wie z. B. Kalifornien, gibt es keinen bestimmten Zeitplan, sondern das Gesetz sieht nur vor, dass betroffene Parteien „ohne unangemessene Verzögerungen“ benachrichtigt werden müssen. Andere, wie Arizona, verlangen eine Benachrichtigung innerhalb von 45 Tagen nach dem Auftreten einer Verletzung.
Trotz dieses Flickenteppichs von Gesetzen und Vorschriften ist es nicht ungewöhnlich, dass Verstöße bis weit über das vorgeschriebene Datum hinaus nicht gemeldet werden, obwohl dies seltener vorzukommen scheint als in den vergangenen Jahren.
Gründe für Verzögerungen
Verzögerte Erkennung von Verstößen
Ein häufiger Grund für eine verspätete Benachrichtigung ist, dass die betreffende Organisation den Verstoß erst lange nach seinem Auftreten entdeckt hat.
Cyberkriminelle, die erfolgreich in ein Zielnetzwerk eindringen, verbringen in der Regel Wochen oder Monate damit, die Datenspeicher ihres Ziels zu durchsuchen, sich Zugangsdaten auf höherer Ebene zu eigen zu machen usw., ohne entdeckt zu werden. Diese Art von Angriff wird oft als Advanced Persistent Threat bezeichnet. Selbst wenn eine Organisation die betroffenen Personen sofort nach der Entdeckung einer Sicherheitsverletzung benachrichtigt, ist es durchaus möglich, dass die Daten zu diesem Zeitpunkt schon längst in kriminellen Händen sind.
Diese Art von Verzögerung ist zwar verständlich, deutet aber darauf hin, dass die betroffene Organisation ihre Cybersicherheit wahrscheinlich noch verbessern könnte. Moderne Lösungen zur Erkennung von kompromittierten Konten, Identitätsdiebstahl, unbefugter Datenexfiltration und unrechtmäßigem internen Datenverkehr (wie Barracuda Email Protection) können dazu beitragen, dass die Verletzung schnell erkannt wird, selbst wenn in ein Netzwerk eingedrungen wird.
Polizeiliche Ermittlungen
Gelegentlich ziehen betroffene Organisationen Strafverfolgungsbehörden hinzu, um einen Verstoß als kriminelle Handlung zu untersuchen. In solchen Fällen ist es nicht ungewöhnlich, dass die Ermittlungsbehörde die Organisation daran hindert, öffentliche Bekanntmachungen herauszugeben, in der Regel aus Sorge, dass die Kriminellen dann Maßnahmen ergreifen könnten, um ihre Spuren zu verwischen und einer strafrechtlichen Verfolgung zu entgehen.
Natürlich ist diese Art von Verzögerung nicht die Schuld der Organisation, in der der Verstoß aufgetreten ist. Und wenn die fehlende Benachrichtigung zur Ergreifung der beteiligten Kriminellen beiträgt, kann dies sogar bedeuten, dass die betroffenen Personen einem geringeren Risiko durch den möglichen Missbrauch ihrer gestohlenen Daten ausgesetzt sind.
Verzögerungen durch Dritte
Viele Unternehmen lagern die Verarbeitung, Speicherung oder Verwaltung geschützter Daten an Dritte aus. Wenn bei diesen Drittunternehmen Verstöße auftreten, liegt es immer noch in der Verantwortung des primären Dateninhabers, die betroffenen Parteien zu benachrichtigen. Doch wenn das Drittunternehmen sie nicht rechtzeitig über den Verstoß informiert, wirkt sich diese Verzögerung unvermeidlich auf betroffene Kunden oder Mitarbeitende aus, selbst wenn die primäre Organisation die besten Absichten verfolgt.
Zu genau dieser Situation kam es beim Chicago Public Schools System (CPS). Im Dezember 2021 trat bei einem Technologieanbieter namens Battelle for Kids ein Verstoß auf und es wurden Daten von etwa einer halben Million Schülern offengelegt. Battelle hat CPS jedoch erst Ende April 2022 benachrichtigt. Es wurden gute Gründe für die Verzögerung genannt, aber CPS gibt an, dass jede Verzögerung einen Verstoß gegen ihren Vertrag darstellt.
Reputationsbedenken
Hin und wieder erfährt man davon, dass eine Organisation die Benachrichtigung lange hinausgezögert hat – oder sich einfach geweigert hat, eine Sicherheitsverletzung überhaupt bekannt zu geben – und das aus Sorge um den eigenen Ruf, den Aktienkurs usw.
Das ist sicher verständlich. Immerhin haben mehrere große Organisationen nach schweren Datenschutzverletzungen – zum Beispiel der berüchtigten Datenpanne mit Kreditkartendaten durch Target im Jahr 2013 – erhebliche Verluste an Geschäft, Umsatz und Marktkapitalisierung erlitten. Nichtsdestotrotz ist es illegal; es ist ein Zeichen der Missachtung von Kunden und Mitarbeitenden, deren Leben möglicherweise stark beeinträchtigt wird. Auch langfristig ist es nicht sinnvoll, da die Wahrheit schließlich ans Licht kommt und der anschließende Schaden für den Ruf schwerer wiegt, als er sein müsste.
Ein aktuelles Beispiel für ein Unternehmen, das diese Lektion auf die harte Tour lernt, ist Uber. Als es 2016 zu einer großen Datenpanne kam, verschwieg das Unternehmen diese Information über ein Jahr – und die negativen Reaktionen waren gewaltig, als die Wahrheit ans Licht kam. Im Jahr 2022 hingegen gab Uber eine neue Datenschutzverletzung sofort bekannt, noch bevor Art und Umfang des Hacks vollständig analysiert worden waren.
Die (größtenteils) gute Nachricht
Leider kommt es weiterhin häufig zu Verstößen. Es wurden bereits so viele Daten geknackt und im Dark Web zum Verkauf angeboten, dass Sicherheitsexperten davon ausgehen müssen, dass Kriminelle Zugriff auf Zugangsdaten und kompromittierten Konten haben.
Positiv zu vermerken ist jedoch, dass Verzögerungen bei der Meldung von Datenschutzverstößen nicht mehr so häufig vorkommen wie noch vor ein paar Jahren. Zum Teil ist dies auf eine bessere Durchsetzung und hohe Geldstrafen bei Verstößen gegen die Meldevorschriften zurückzuführen, zum Teil aber auch auf die zunehmende Einsicht, dass der Versuch, eine Datenschutzverletzung zu verbergen, langfristig teurer ist als ihre sofortige Aufdeckung (siehe Uber oben).
Ein weiterer positiver Aspekt ist, dass viele der auftretenden Verstöße tatsächlich vermeidbar sind. Durch die Implementierung moderner plattformbasierter Lösungen für E-Mail-Schutz, Netzwerkschutz, App- und API-Schutz sowie Datenschutz können die meisten Unternehmen ihr Risiko eines Verstoßes drastisch reduzieren und so alle ihre Kunden, Mitarbeitenden und andere Stakeholder vor den sehr realen Gefahren schützen, dass personenbezogene oder finanzielle Daten in die falschen Hände geraten.
Journey Notes abonnieren

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.