DE
DE EN FR JA AR ES
Startseite | Blog | Zeitleiste der Reaktion auf ein Datenleck

Zeitplan der Reaktion auf das Datenleck

Geschrieben von: Orlaith Traynor

4 min lesen - Juli 22, 2020
Weekly Marketing/Analyst blog follow-up

Amanda Geraud war jahrelang als Rechnungsprüferin tätig. Ihre Aufgabe war es, Unternehmensprojekte zu überprüfen und die durchgeführten Maßnahmen, die damit verbundenen Kosten sowie die Vorteile oder Verluste für ihren Arbeitgeber zusammenzufassen.   Der heutige Tag fühlte sich nicht anders an als so viele andere zuvor, als sie die Kette von Ereignissen erklären musste, die zu vermeidbaren Konsequenzen führten. Als die Rechnungsprüferin ihre Kalkulationstabelle schloss und ihre Zusammenfassung für den Exekutivausschuss fertigstellte, seufzte sie dennoch. Die Kosten der Datenpanne beliefen sich auf $2,1 Millionen Dollar, einschließlich der Geldstrafen der Regierung. Frau Geraud war gebeten worden, die Reaktion des Unternehmens auf eine Verletzung der Cybersicherheit bei den Anmeldedaten von über 20 000 Kunden zu prüfen. Sie verfolgte das Leck vom ersten bis zum letzten Schritt und befragte die Beteiligten, die auf den Vorfall reagierten. Es war klar: Das Unternehmen hätte schneller reagieren können, als es es tat.   Dieses Datenleck wurde 24 Tage lang nicht behoben, während die Mitarbeiter ihre Befehlskette durchliefen, um den Vorfall zu beheben. Die Behebung dieses speziellen Datenlecks nahm besonders viel Zeit in Anspruch, da es von einem Drittanbieter stammte, der die Daten gerade zu einem neuen Cloud-Anbieter verschoben hatte. Die verlorene Zeit trug dazu bei, dass sich dieses Datenleck zu einem Schaden von 2,1 Millionen Dollar entwickelte. Frau Geraud erstellte einen Zeitplan mit den wichtigsten Maßnahmen, um die Zeitabstände zwischen dem Datenleck und der Sicherheitsverletzung zu veranschaulichen.  

Zeitplan für die Reaktion auf Vorfälle

Tag 1-4         

Beim Helpdesk geht ein Anruf eines Kunden wegen unzulässiger Kontobewegungen ein. Nachdem drei weitere Beschwerden eingegangen sind, informiert der Helpdesk-Mitarbeiter seinen Vorgesetzten über das Problem. Der Vorgesetzte benachrichtigt das InfoSec-Team am Ende seines Arbeitstages.

Tag 5           

Das InfoSec-Team alarmiert den IT-Direktor, der gerade bei einem Kunden unterwegs ist.

Tag 6-7           

Die IT-Direktorin weist das Team an, zu untersuchen, ob es tatsächlich unbefugte Kontobewegungen gegeben hat. Wenn es ein Leck gab, will sie, dass es behoben wird, und dass die Ursache und das Ausmaß des Lecks ermittelt werden.

Tag 8-10       

Das Team berichtet, dass nicht nur unbefugte Kontobewegungen stattgefunden haben, sondern dass diese auch umfangreicher waren als ursprünglich angenommen. Sie durchsuchten die internen Quellen, glauben aber, dass die undichte Stelle von einer dritten Partei stammen könnte.

Tag 11           

Es wird festgestellt, dass das Leck bei einem ihrer Lieferanten, der ACME Corporation, liegt. Der IT-Direktor benachrichtigt den CIO, der in Strategiebesprechungen vertieft ist und erst am nächsten Tag antwortet.

Tag 12       

Der CIO versammelt das Team und entwirft einen Aktionsplan. Der erste Schritt besteht darin, das InfoSec-Team der ACME Corporation zu kontaktieren. Der CIO macht auch den CEO und das gesamte Führungsteam auf das Sicherheitsrisiko für ihr Unternehmen aufmerksam.

Tage 13-19 

Das CIO-Team ruft bei der ACME Corporation an und schickt E-Mails, erhält aber keine andere Antwort als "Wir untersuchen das". Es stellt sich heraus, dass der Vizepräsident für Informationssicherheit von ACME krankgeschrieben war und niemand befugt war, sich um das mögliche Datenleck zu kümmern. Das Problem wurde bei ACME von Abteilung zu Abteilung weitergereicht.

Tag 20-23         

Der Vizepräsident für InfoSec von ACME kehrt zurück. Sobald er die Meldungen über ein potenzielles Datenleck sieht, beauftragt er sein Team mit der Identifizierung der Quelle des Datenlecks. Er leitet die Angelegenheit auch an sein Führungsteam weiter, das seine Gefährdung prüfen möchte, bevor es reagiert. 

Tage 24       

Das ACME-InfoSec-Team stellt fest, dass die Quelle des Datenlecks ihr neuer Cloud-Anbieter ist. Sie benachrichtigen ihren Cloud-Anbieter, um die Quelle der offengelegten Dateien zu finden und sicherzustellen, dass die Dateien gesichert sind. 

Tag 25         

Sobald ACME bestätigt hat, dass das Leck behoben ist, wird das Unternehmen, mit dem Frau Geraud zusammenarbeitet, informiert.

In ihrem Bericht listet Frau Geraud die Übergaben auf, die die Reaktion auf den Vorfall verzögerten. Außerdem nennt sie die fünf wichtigsten Gründe für die lange Dauer der Behebung des Datenlecks, die von den von ihr befragten Beteiligten genannt wurden.

  1. Unser InfoSec-Team erfuhr erst von den unsicheren Daten, als unser Helpdesk eine Häufung von Beschwerden von Kunden erhielt.
  2. Unser IT-Team leitete den Vorfall an die IT-Direktorin weiter, die länger als üblich brauchte, um zu antworten, weil sie gerade mit einem Kunden unterwegs war. Es gab kein Eskalationsverfahren für den Umgang mit sensiblen Datenlecks.
  3. Es gab kein vereinbartes Verfahren für Dritte, um Datenlecks zu melden, zu untersuchen und zu behandeln, und auch keine entsprechende SLA mit einem Zeitrahmen für die Meldung von Fortschritten und Abhilfemaßnahmen.
  4. Der Drittanbieter verfügte nicht über einen internen Prozess und ein Verfahren zur Eskalation der Meldung eines Datenlecks, insbesondere wenn der CISO nicht im Büro war. 
  5. Der Drittanbieter verfügte nicht über einen vereinbarten Prozess und ein Verfahren für den Umgang mit Datenlecks bei seinem neuen Cloud-Anbieter. 

Empfohlene nächste Schritte

Frau Geraud arbeitete mit dem CISO zusammen, um die 3 wichtigsten Empfehlungen für die nächsten Schritte zu entwickeln. Dabei handelte es sich um umsetzbare Schritte, die die Geschäftsleitung dem Vorstand vorlegen konnte, um sicherzustellen, dass Vorfälle im Bereich der Cybersicherheit wie dieser nicht zu einer Datenverletzung führen, die das Unternehmen Millionen kostet.   Das Unternehmen sollte sofort handeln und die folgenden Schritte einleiten, um eine weitere Datenschutzverletzung zu verhindern.

  1. Entwicklung, Dokumentation und Durchsetzung von Prozessen und Verfahren zur Meldung und Behebung von Datenlecks, die außerhalb des IT-Bereichs auftreten.
  2. Entwicklung, Dokumentation und Durchsetzung von Prozessen und Verfahren zur Bewältigung des erhöhten Risikos der gemeinsamen Nutzung von Daten mit Dritten.
  3. Erstellen Sie einen Business Case für kaufen oder die Werkzeuge, Fähigkeiten und Kompetenzen aufzubauen, um:
    • Scannen Sie nach Lecks in sensiblen Daten außerhalb der Unternehmensgrenzen, insbesondere in Bezug auf Cloud-Anwendungen und angeschlossene Speichergeräte. 
    • Beseitigen Sie Datenlecks in einem Drittel der Zeit und reduzieren Sie so die Gefährdung und die potenziellen Kosten. 

CybelAngel-Wert

Nutzen Sie unser kostenloses MyExposure Dashboard um festzustellen, ob und wo Ihre sensiblen Daten durchsickern.  Wenn Ihr Team über Datenlecks besorgt ist und nicht über die nötige Bandbreite verfügt, um Datenlecks außerhalb Ihrer IT-Umgebung zu beseitigen, können unsere Sicherheitsexperten mit Ihnen zusammenarbeiten, um Datenlecks zu erkennen und zu beheben.  Kontaktieren Sie uns jetzt...denn Datenlecks sind unvermeidlich; aber Schaden ist optional.

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel