10 Mythen über die europäische GDPR, die Ihr Unternehmen kennen sollte
Wenn Sie Ihr Unternehmen in Europa haben, haben Sie noch ein wenig Zeit bis die General Data Protection Regulation der EU am 25. Mai 2018 in Kraft tritt. Ich hoffe, dass Sie bereits mit Ihren Vorbereitungen für die neuen Bedingungen weit vorangeschritten sind!
Ein Merkmal der GDPR, das unbedingt hervorgehoben werden sollte, ist die Verpflichtung zur Meldung von Datenlecks und Einbrüchen. Dabei handelt es sich um den am meisten missverstandenen Teil der neuen Regularien. Ich arbeite in einem sehr regulierten Segment und bin seit über 15 Jahren im Bereich der Meldung von Einbrüchen und Datenlecks tätig und möchte deshalb mit einigen der Mythen rund um die Regularien aufräumen.
Mythos 1: Die Regulierer wollen, dass Sie versagen
Eines der Hauptziele von Gesetzen zur Meldung von Sicherheitsvorfällen wie GDPR ist es dafür zu sorgen, dass Unternehmen ihre Fähigkeiten zur Erkennung solcher Vorfälle verbessern und lernen, die negativen Effekte effektiv zu entschärfen. Der Gedanke der Gesetzgeber ist es nicht, Unternehmen zu bestrafen, die selbst Opfer einer solchen Straftat geworden sind, sondern dafür zu sorgen, dass diese Unternehmen sich darauf vorbereiten, dass ein solcher Vorfall eines Tages ziemlich sicher auf sie zukommen wird.
Erinnern Sie sich an die Schule? Die Prüfungen waren nicht dazu gedacht, Sie schlecht aussehen zu lassen, sondern dazu, dass Sie noch mehr üben. Deshalb ist der Hintergedanke der Gesetzgeber mit GDPR, Ihnen dabei zu helfen, besser auf Vorfälle reagieren zu können. Das setzt natürlich voraus, dass Sie Ihre Hausaufgaben gemacht haben.
Mythos 2: Meldungen betreffen nur persönliche Daten
Die GDPR bringt die Voraussetzung mit, dass Sie Ihre Kunden und User und öffentliche Stellen über Sicherheitsvorfälle mit persönlichen Daten informieren müssen. Aber wenn Sie jetzt glauben, dass diese Vorfälle mit Daten, die die Privatsphäre betreffen, in einem engen Rahmen bewertet werden, dann liegen Sie falsch.
Die Regulierungsrichtlinien verlangen von Ihnen nicht nur offenzulegen, wie persönliche Daten betroffen waren, sondern auch alle Informationen, die den Behörden dabei helfen herauszufinden, wie der Vorfall überhaupt geschehen konnte. Zusätzlich wollen die ermittelnden Stellen wissen, welche Maßnahmen Sie ergriffen haben oder planen zu ergreifen, wie Sie (oder andere!) den Vorfall entdeckt haben, wie lange es gedauert hat, bis der Vorfall entdeckt wurde und wie Sie den Schaden einschätzen. Zudem werden Sie gefragt werden, wie Sie weitere Schäden für sich und Ihre Kunden und das Restrisiko einschätzen. Diese Informationen helfen Personen außerhalb Ihres Unternehmens einzuschätzen, wie Ihre Fähigkeiten, jeden Teil Ihres Unternehmens zu schützen, zu bewerten sind.
Wenn es “schmutzige Wäsche” irgendwo in Ihrem Sicherheitssystem gibt, wird das schnell auffallen. Sind Sie auf rechtlich einwandfreiem Weg an die Daten gekommen, die Sie nutzen? (Pro Tipp: Beschäftigen Sie sich unbedingt damit, wie man die korrekte Zustimmung von Nutzern bekommt). Entsprachen Ihre Maßnahmen zum Schutz Ihrer Cybersicherheit den Ansprüchen im Anbetracht der Gefahr? Sie werden ebenfalls zu Netzwerk- und Informationssicherheit befragt, zur Thematik Mitarbeitergewinnung, physischen Schutz und natürlich zu Ihrer Fähigkeit und Willen, über die reine Wahrung der Privatssphäre von Nutzern hinauszugehen – unter anderem SLAs und Geschäftsgeheimnisse.
Mythos 3: Wer mit den Richtlinien konform ist, verhindert dadurch Lecks und Einbrüche
Die Regulatoren wissen auch, dass kein Gesetz auf einmal wie von Zauberhand Kriminalität beenden kann. Ebenso wird die GDPR nicht dafür sorgen, dass alle Firmen ab sofort führend in der Cyber Security werden. Es geht eher darum, dass die GDPR darauf abzielt, den Minimalschutz und den Schutz von Privatsphäre generell zu verbessern. Dieser Minimalschutz wird dabei helfen, Unfälle in der Datensicherheit zu verhindern bzw. dafür sorgen, dass Vorfälle nicht zu sehr eskalieren, aber dadurch werden organisiert arbeitende Angreifer nicht komplett abgeschreckt.
Wir müssen uns darüber im Klaren sein, dass unsere Gegner immer weiter versuchen werden, in unsere Unternehmen einzubrechen. Ihnen wird bewusst sein, dass Sie an voraussehbaren Stellen minimale Sicherheitsverbesserungen etablieren, ohne allerdings den vollen Weg zu größtmöglicher Sicherung zu gehen. Also, wenn Sie schon sowieso den Regularien Folge leisten müssen, warum nicht gleich so gut wie möglich?
Es ist jetzt der Zeitpunkt gekommen, an dem man mit einer guten Cyber Security Vorbereitung einen echten Unterschied für das eigene Unternehmen schaffen kann. Seien Sie stolz darauf, wenn Sie es schaffen, dass Ihr Unternehmen aus der Masse heraussticht. Wenn Kunden Anbieter vergleichen und einen Beweis dafür verlangen, dass die Richtlinien der GDPR eingehalten werden, werden Sie direkt an der Spitze stehen. Die minimalen Erwartungen zu übertreffen kann ebenfalls als wichtiges Asset Ihres Unternehmens angesehen werden und das sorgt nicht nur für Einsparungen bei Versicherungen, sondern spart eine Menge Ressourcen und Geldmittel, wenn es Zeit wird, einen Plan bei einem Vorfall auszuführen. Wenn die Wettbewerber vor einem Scherbenhaufen stehen und die Regulatoren schwierige Fragen stellen, haben Sie durch die Vorbereitung den Rücken frei, um in Ruhe zu arbeiten.
Mythos 4: Europa ist führend in den Regularien zur Meldung von Datenlecks
Europäische Medien scheinen GDPR als einen komplett neuen Ansatz zu verstehen, von dem der Rest der Welt noch nie was gehört hat. Das ist nicht der Fall.
Es mag zwar kein bundesweites Gesetz zu diesem Bereich geben, aber 47 Bundesstaten der USA haben bereits eigene Meldegesetze bei Sicherheitsvorfällen. Deshalb gibt es so viele öffentliche Reports zu amerikanischen Sicherheitsvorfällen. Denn die US-Unternehmen sind nicht schlechter in Cyber Security als die Europäer – sie sind lediglich ehrlicher, wenn etwas passiert.
Wir können uns sicher sein, dass es in den nächsten Jahren viele Geschichten über Vorfälle in europäischen Unternehmen geben wird. In allen 24 offiziellen Sprachen der EU.
Mythos 5: Kostenloses Monitoring von Geldtransfers ist ein Allheilmittel
Wo wir gerade über die USA sprechen: Ein besonderes Feature nach der Meldung über Sicherheitsvorfälle scheint in den USA jedes Mal zu greifen – egal, was eigentlich wirklich passiert is – und das ist das Angebot an Kunden, kostenloses Monitoring von Geldtransfers zu erhalten. Dieses Angebot erscheint austauschbar und generisch und fast schon wie eine Farce, aber es gibt durchaus logische Gründe dafür.
Denn die meisten persönlichen Daten werden dafür benutzt, mit Kreditkarten Finanzbetrug zu begehen, indem Kredite aufgenommen werden oder Waren eingekauft werden, die monatlich abbezahlt werden. Die Geschädigten stehen einem sehr realen Risiko gegenüber: dem Verlust eines guten Kreditratings. Das Angebot, das Monitoring für einen gewissen Zeitraum zu übernehmen, hakt zumindest eine Möglichkeit auf der Liste ab, wenn man den Vorfall den Behörden meldet. Außerdem kann man so den Schaden begrenzen, der durch Verfahren entstehen würde, die betroffene Kunden anstreben könnten.
In Europa wurde hinter vorgehaltener Hand über diese Praxis gelacht. Sie wurde so angesehen, wie die Praktiken eines Priesters, der nach der Beichte schlicht sagt: “Bete zehn Vater Unser und alle Sünden werden vergeben!” Es wird spannend sein zu sehen, was das europäische Pendant zu den Cyber-Vater-Unser wird, wenn GDPR in Kraft tritt. Irgendwelche Wetten?
Mythos 6: Cyberkriminalität ist wie eine Naturgewalt, man kann sich nicht schützen
Als der damalige FBI Direktor Robert S. Müller 2012 auf der RSA Conference sprach, suggerierte er, dass in Zukunft eine klare Grenze zwischen den Firmen verlaufen werde, die gehackt wurden und denen, die mehrfach gehackt werden. Seine Kommentare spiegelten wider, was die Community, die sich mit der Lösung von Vorfällen und der Verfolgung beschäftigt, schon lange in der Praxis erkannt hatte: Die Grenze, die Gewinner und Verlierer in der Cyber Security trennt, ist die Art, wie sich Unternehmen auf einen unabwendbaren Vorfall vorbereiten.
Es wird Versuche geben, in Ihre Systeme einzubrechen. Und es ist durchaus wahrscheinlich, dass die Angreifer eines Tages Erfolg haben, auf die eine oder andere Art. Ihre Art, mit solchen Vorfällen umzugehen, wird am Ende über die Bewertung Ihrer Fähigkeiten entscheiden. Wenn Sie sich nicht um den bestmöglichen Schutz kümmern, wird es nicht nur Vorfälle geben, die Vorfälle werden sich immer wieder wiederholen.
Nur durch eine sorgfältige Analyse jedes Vorfalls und versuchten Einbruchs in Ihre Systeme, können Sie herausfinden, welche Sicherheitsmaßnahmen wirklich funktioniert haben und welche Lücken es noch zu füllen gilt. Diejenigen, die Opfer eines Angriffs werden, bekommen so eine wertvolle Lektion und es ist ratsam, diese Hinweise ernstzunehmen. Diejenigen, die am besten mit Vorfällen umgehen können, werden allerdings diejenigen sein, die von den Fehlern anderer lernen.
Mythos 7: Sie werden selbst merken, wenn Ihr Unternehmen gehackt wird
Nachdem im Mai 2018 die GDPR in Kraft tritt, ist es immer noch vollkommen legitim, weiter an der eigenen Abwehrfähigkeit gegen Cybergefahren zu arbeiten und die eigenen Systeme so zu gestalten, dass möglichst wenig Gefahr eines großen Vorfalls besteht. Toleriert wird allerdings nicht mehr, dass Sie selbst keine Möglichkeit haben, einen Einbruch in Ihre Systeme nachzuvollziehen.
Es ist durchaus üblich, dass Vorfälle über einen längeren Zeitraum unerkannt bleiben. Aber nachdem die GDPR in Kraft getreten ist, ist Unwissen nicht weiter eine akzeptable Entschuldigung. Wie auch schon in dem Statement von Director Mueller von 2012 zu erkennen (siehe Mythos #6), wird durch die GDPR in Europa eine Grenze zwischen denjenigen verlaufen, die gehackt worden sind und denen, die nicht wissen, dass sie gehackt worden sind.
Eine zuverlässige und effektive Erkennung von Vorfällen, gepaart mit einem schnellen System zur Reaktion, bilden die Grundpfeiler jeder Sicherheitsstrategie, sobald GDPR in Kraft getreten ist. Ich empfehle ein System, das menschliche und maschinelle Intelligenz kombiniert. Ein solches System minimiert Falschmeldungen, damit wirkliche Vorfälle, um die sich gekümmert werden muss, nicht im Hintergrund verschwinden. Für viele Unternehmen wird es am besten sein, einen Managed Service zu nutzen, weil diese Art des Schutzes am schnellsten und am kostengünstigsten ist, um sich zu schützen und die eigene Expertise im Bereich Cyber Security zu verbessern.
Mythos 8: Sie werden wissen, was zu tun ist, wenn Ihr Unternehmen gehackt wird
Jahrelange Erfahrung in der Bearbeitung von Vorfällen und forensischen Ermittlungen der Spezialisten von F-Secure haben gezeigt, dass viele Unternehmen schlecht vorbereitet sind, wenn ein Sicherheitsvorfall geschieht. Ihre Fähigkeiten, andere Attacken als auf Malware-basierende Attacken zu erkennen, ist unterentwickelt, Logdateien fehlen entweder oder sind in einer Verfassung, die nicht nutzbar ist. Mitarbeiter sind entweder nicht geschult oder haben keine Erfahrung mit solchen Vorfällen.
Die meisten Erstopfer eines Sicherheitsvorfalls improvisieren ihre Reaktion, treffen übereilte Entscheidungen, die entweder Beweise zerstören oder verändern und schaden im Endeffekt ihrem eigenen Unternehmen. Was aber noch schlimmer ist: Wenn der Angreifer gut in dem ist, was er tut, verpuffen alle Vorbereitungen und am Ende gibt es keine verwertbaren Resultate über den Angreifer. Der Angreifer zieht sich gegebenenfalls zurück, verwischt seine Spuren und verschwindet.
Nach der GDPR wird es die Pflicht für Unternehmen geben, den Fahndern zu erklären, welche Pläne zur Abschwächung es gibt und wie diese Maßnahmen das Problem in den Griff kriegen sollen. Unternehmen, die nicht wissen, was sie tun, werden sofort auffallen, wenn so genau hingeschaut wird. Behörden, Kunden und die Medien werden nachfragen, inwieweit die Maßnahmen nach einem Vorfall relevant und effizient waren. Genau aus diesem Grund gibt es keinen besseren Zeitpunkt, als jetzt über den eigenen Maßnahmeplan nachzudenken. Auf einen Vorfall zu warten und dann zu reagieren, ist zu spät.
Mythos 9: Sie werden wissen, welche Vorkommnisse bekannt gemacht werden müssen
Der Faktor, dass die GDPR eine Richtlinie und keine Direktive ist, bedeutet, dass sie direkt durch EU-Stellen vollstreckbar ist. Die Mitgliedsstaaten haben keinen Spielraum, die Regularien selbst zu interpretieren, sondern müssen den Richtlinien der gesamten EU folgen. Zu diesem Zeitpunkt ist niemand in Europa in einer Position, die Grenzwerte für die Meldepflicht zu definieren.
In dieser Situation ist es für Sie am besten, wenn Sie eine Basis zusammenstellen, die alle Vorfälle und Fast-Vorfälle umfasst, die Ihr Unternehmen bedrohen und daraus eigene Definitionen von Grenzwerten zu erstellen. Später, wenn Sie dann mit den Behörden zusammenarbeiten, die andere Ansichten darüber haben, welche Vorfälle zu melden sind, haben Sie bereits eine gewisse Ahnung davon, was ein ernsthafter Vorfall sein könnte und Sie werden besser vorbereitet sein, Ihren Fall zu argumentieren.
Es wird auf jeden Fall Situationen geben, in denen die Behörden einen Tipp zu einem möglichen Vorfall bekommen haben und sie dann zu Ihnen kommen, um weitere Informationen zu erhalten. In solchen Fällen werden sie eine Erklärung von Ihnen verlangen, warum Sie nicht in Eigeninitiative über den Vorfall informiert haben.
Mythos 10: GDPR wird eine allgemeingültige Lösung in Europa sein
Die GDPR wurde als komplettes Set europäischer Regeln beworben. In der Praxis wird das nicht der Fall sein.
Bei einem multinationalen Unternehmen muss die GDPR neben nationalen Richtlinien zu Rate gezogen werden und wichtige Themen wie Informationsfreiheit, Ausnahmen für Informationen, die zu journalistischen und akademischen Zwecken gewonnen wurden, Mitarbeiterakten, Definition von Strafmündigkeit, Nutzung von Sozialversicherungsdaten etc. müssen mit einbezogen werden.
Das Ganze wird noch komplizierter durch die nationalen Umsetzungen der NIS-Direktive, die Meldepflichten einführt, die mit der GDPR potenziell nicht kompatibel sind. Dazu haben einige Unternehmens-Verticals bereits existierende und nicht kompatible eigene lokale Voraussetzungen für die Meldepflicht von Sicherheitsvorfällen. Diese umfassen Telekommunikation, Finanzdienste, medizinische und soziale Dienste und die Lebensmittelsicherheit.
Artikelbild von Thijs ter Haar, flickr.com
Kategorien