Es ist August, zwei Drittel dieses Jahres haben wir schon fast hinter uns. Und damit auch eine ganze Reihe von ernsten und weitreichenden Datenschutzvorfällen, die es mühelos in die Schlagzeilen geschafft haben. Einige der Vorfälle sind 2018 aufgetreten, andere gehen auf das Jahr 2017 zurück, wurden aber erst jetzt bekannt. Das unterstreicht die harte Realität in Sachen Cybersicherheit.
Wir haben vor kurzem den jährlichen Data Threat Report: Retail Edition veröffentlicht [1], und die Ergebnisse zeigen deutlich, dass diese Sicht der Dinge nicht übertrieben ist. Insbesondere die Retail-Branche in den USA hat schlechte Nachrichten zu vermelden. 50 % der Befragten haben im letzten Jahr eine Datenschutzverletzung erlitten. Das sind mehr als doppelt so viele Betroffene wie im letzten Jahr mit noch 19 %. Die gute Nachricht in der schlechten? Die Branche reagiert auf diesen immensen Anstieg mit höheren Investitionen in die IT-Sicherheit. 84 % der befragten Unternehmen wollen mehr Geld für IT-Sicherheit ausgeben. Für die Unternehmen, die bereits Opfer eines Datenschutzvorfalls geworden sind und daraufhin in die Infrastruktur und/oder Personal investiert haben, um in Zukunft besser geschützt zu sein, ist das allerdings nur die Spitze des Eisbergs.
Als nächstes steht auf der Kommunikationsagenda, die wenig erfreulichen Nachrichten den Betroffenen mitzuteilen.
Wenn der gesetzlichen Anzeigepflicht nachgekommen werden muss, kann das schnell knifflig und komplex werden. Die Lage ist zudem von Fall zu Fall und von Land zu Land unterschiedlich. Etliche Firmen sehen sich mit der DSGVO/GDPR erstmalig mit einer Anzeigepflicht von Datenschutzverletzungen konfrontiert. Diese Anzeigepflicht hat zeitnah, nämlich innerhalb von 72-Stunden nach dem Bekanntwerden einer Datenschutzverletzung zu erfolgen. Eine Firma muss dann sowohl die betreffende Aufsichtsbehörde in Kenntnis setzen als auch alle, die potenziell betroffen sind, informieren. Hier gilt es ein empfindliches Gleichgewicht zu wahren zwischen den regulatorischen Anforderungen und der Informationspflicht gegenüber den eigenen Kunden. Das Ergebnis ist eine meist alles andere als befriedigende Kommunikation. Ich für meinen Teil bin überzeugt, dass Firmen einen Schritt zurücktreten und sich in die Lage ihrer Kunden versetzen sollten. Was würden Sie hören wollen, wenn Sie erfahren von einer Datenschutzverletzung betroffen zu sein? Welche Schritte würden Sie erwarten?
Im Wesentlichen würde ich persönlich vier Dinge von einem Unternehmen erwarten bei dem ich Kunde bin:
- Ich bin Kundin, und für mich ist es nicht ganz unwesentlich zu erfahren, dass meine Daten vielleicht gerade im Dark Web verkauft werden oder sonstigen Risiken ausgesetzt sind. Für mich ist das eine große Sache – und so erwarte ich, dass sich das Unternehmen entsprechend um mich und meine Daten sorgt.
- Das allein reicht natürlich nicht, wenn ich handlungsfähig bleiben will. Einfach gesagt, ich brauche so viele und so klare Informationen wie möglich, wie ich mich jetzt gegen potenziellen Identitätsdiebstahl und den Missbrauch meiner Daten auf lange Sicht schützen kann.
- Im Idealfall geht das Unternehmen noch einen Schritt weiter und empfiehlt vertrauenswürdige Seiten, die kostenloses Kredit-Monitoring anbieten und Dienste, die bei einem Identitätsdiebstahl hilfreiche Maßnahmen zur Wiederherstellung anbieten.
- Und natürlich sollte es eine Art Service-Hotline geben, bei der ich weitere Informationen in Echtzeit bekomme. Wenn es ohnehin schon zu einer Datenschutzverletzung gekommen ist, ist jetzt der beste Zeitpunkt offen und transparent zu kommunizieren. Auch den unbequemen Fakt, dass es Zeit kostet, den Vorfall aufzuklären. Das ist im Bereich Cyberkriminalität nicht anders als bei der Aufklärung von anderen Straftaten.
Das sind sehr grundlegende Dinge, die Firmen tun können und tun sollten. Die Erfahrung der letzten Jahre hat aber gezeigt, dass dies längst nicht immer so ist. Ich erinnere mich an einen Fall bei dem ein Unternehmen per E-Mail einen Datenschutzvorfall anzeigte. Ausgerechnet diese E-Mail wirkte alarmierend verdächtig. Nicht nur, dass sie von einer unklaren Subdomain aus verschickt wurde. Nein, die Nutzer wurden zusätzlich aufgefordert auf einen Link zu klicken, der scheinbar lauter Kauderwelsch enthielt. In der wichtigen Zeit direkt nach einer Datenschutzverletzung sollte sich jedes Unternehmen darauf konzentrieren, den erlittenen Vertrauensverlust bei seinen Kunden wiedergutzumachen. Hier haben wir ein Beispiel wie man es nicht machen sollte. Die betreffende E-Mail wirkte exakt wie die eines Scammers, obwohl es sich tatsächlich um eine legitime Nachricht handelte. Das Unternehmen hat sich damit wohl eher einen Bärendienst erwiesen.
Datenschutzverletzungen sind inzwischen allgegenwärtig. Deswegen ist es an der Zeit zu erkennen, dass die Anzeigepflicht sich ganz erheblich auf eine Unternehmensmarke auswirkt. In turbulenten Zeiten wie diesen haben Unternehmen es in der Hand, selbst die Voraussetzungen zu schaffen wie sich eine betroffene Marke wieder erholen kann. Der Schlüssel liegt darin wie eine Firma mit ihren Kunden kommuniziert. Kommunikation ist einer der wichtigsten Schritte, wenn es darum geht sich die Loyalität seiner Kunden entweder zu bewahren oder sie endgültig zu verspielen.
Cindy Provin, CEO Thales eSecurity
[1] https://www.thalesesecurity.com/2018/data-threat-report-retail
Mehr Datenschutzverletzungen als je zuvor – investieren Unternehmen an der richtigen Stelle?
Gesundheitswesen: die Anzahl an Datenschutzverletzungen in der Branche steigt
Die meisten der Datenschutzverletzungen werden nicht geahndet
Unternehmen sehen sich durch Datenschutzverletzungen bedroht
Der Technik vertrauen können: Warum wir mehr Sicherheit im vernetzten Gesundheitswesen brauchen