Eine neue Zeitrechnung für die Öffentlichmachung von Sicherheitsverletzungen bricht an

Mit der Verabschiedung neuer Vorschriften durch die Securities and Exchange Commission (SEC), die börsennotierte Unternehmen dazu verpflichtet, innerhalb von vier Tagen alle Sicherheitsverletzungen offenzulegen, die sich auf ihre Geschäftsergebnisse auswirken könnten, ist nun offiziell eine neue Zeitrechnung für die Öffentlichmachung von Sicherheitsverletzungen angebrochen.

Ab dem 15. Dezember müssen börsennotierte Unternehmen außerdem jährlich ihre Bemühungen im Bereich des Cybersecurity-Risikomanagements und das Know-how im Bereich Cybersecurity in der Führungsebene darlegen.

Die SEC-Vorschriften gehören zu den ersten in einer Reihe von Maßnahmen, mit denen die US-Regierung Unternehmen dazu verpflichten will, den allgemeinen Zustand ihrer Cybersicherheit zu verbessern. Wie in der Anfang des Jahres veröffentlichten U.S. National Security Strategy dargelegt, hat sich die Regierung deshalb dafür eingesetzt, die Befugnisse mehrerer Bundesbehörden zu erweitern.

So ehrenwert das Ziel auch sein mag, diese Vorschriften führen zu einem gewissen moralischen Dilemma für Cybersicherheitsexperten. In der Theorie zumindest sind Cybersicherheitsexperten gegenüber den Unternehmen, für die sie arbeiten, zur Geheimhaltung verpflichtet. Wie jedoch die kürzliche strafrechtliche Verurteilung von Joseph Sullivan, dem ehemaligen CISO von Uber, zeigt, hat die US-Regierung deutlich gemacht, dass das Aktionärsrecht in einem börsennotierten Unternehmen Vorrang vor allen anderen Pflichten genießt.

Die neuen SEC-Vorschriften erlauben zwar einen Aufschub der Offenlegung, wenn die zurückgehaltenen Informationen eine ernsthafte Bedrohung für die nationale oder öffentliche Sicherheit darstellen, aber im Großen und Ganzen werden die Vorstände börsennotierter Unternehmen stärker für die Offenlegung von Datenschutzverletzungen zur Verantwortung gezogen. Daher werden sich diese Vorstände an ihre internen Cybersicherheitsteams wenden, um die möglichen finanziellen Auswirkungen eines Verstoßes zu ermitteln.  Wie die meisten Fachleute für Cybersicherheit wissen, können solche Einschätzungen eine heikle Angelegenheit sein. Es gibt die offensichtlichen Kosten, die dadurch entstehen, dass beispielsweise Kunden benachrichtigt und die ausgenutzten Sicherheitslücken repariert werden müssen, aber eine Bewertung des Imageschadens ist nicht so deutlich zu bestimmen.

Da beispielsweise immer mehr Unternehmen regelmäßig Sicherheitsverletzungen bekannt geben, haben sich viele Kunden an Cyberkriminalität gewöhnt. Die Empörung der Kunden über die Weitergabe ihrer persönlichen Daten ist nicht mehr so groß wie früher. Obwohl es lästig ist, ist die Wahrscheinlichkeit, dass weniger Kunden wegen einer Sicherheitslücke ihre Geschäftsbeziehung zu einem Unternehmen beenden, mittlerweile sehr gering.

Die SEC verlangt von Unternehmen, dass sie alle wesentlichen Auswirkungen auf die Finanzergebnisse offenlegen, ohne wirklich zu definieren, was dies bedeutet. Tatsächlich erfordern die Regeln die Offenlegung innerhalb von vier Werktagen, nachdem festgestellt wurde, dass ein Cybersecurity-Vorfall von wesentlicher Bedeutung ist. Es wird nicht erwähnt, wie viel Zeit zwischen der Entdeckung einer Sicherheitsverletzung und der Einstufung als „wesentlich“ vergehen sollte.

Die meisten börsennotierten Unternehmen gehen bei der Bekanntgabe von Daten eher vorsichtig vor, da sie befürchten, ins Visier einer SEC-Untersuchung zu geraten. Sobald jedoch die Bekanntgabe von Sicherheitslücken erhebliche Auswirkungen auf die Aktienkurse zeigt, steigt der Druck auf Cybersecurity-Teams, das Ausmaß der Cybersecurity-Vorfälle mit konkreten Kosten in Relation zu setzen. Und natürlich wird es in diesen Unternehmen immer eine Menge Leute geben, darunter auch Mitglieder des Cybersecurity-Teams, in deren ureigenem Interesse es liegt, dass die Aktienkurse so hoch wie möglich bleiben. Irgendwann wird vielleicht sogar der Tag kommen, an dem Cybersicherheitsexperten feststellen, dass der Besitz von Aktien des eigenen Unternehmens einen zu großen Interessenkonflikt darstellt.

Es bleibt zu hoffen, dass die Öffentlichmachung zu einer besseren Cybersicherheit führt, wenn auch nur aus dem Grund, dass Unternehmen aus den Fehlern und Irrtümern anderer lernen. Die Herausforderung besteht freilich darin, dass die Daten in der Öffentlichkeit zugänglich gemacht werden, sodass jeder, auch Cyberkriminelle, sie zur Kenntnis nehmen können.