Der Verlust von Daten ist beleibe nicht das Schlimmste, was einem Unternehmen passieren kann: Wer als Reaktion auf den Vorfall in Fettnäpfchen tritt – und die gibt es genügend – macht aus einem misslichen und gelegentlich peinlichen Vorfall schnell eine Katastrophe. Dabei sollte sich jedes Unternehmen (und damit auch sein Management ohne IT-Erfahrung) darüber bewusst sein, dass Daten jederzeit verloren gehen können – vorsätzlich von innen und außen entwendet sowie aus reiner Unachtsamkeit. Betroffen sind nicht nur Anwenderunternehmen, sondern auch IT-Anbieter: Mal fallen Bänder mit Personalstammdaten aus dem Auto (hier bei IBM), dann ist eine CD unauffindbar (dort bei Alcatel-Lucent), und schließlich werden knapp 16.000 Datensätze von Pfizer-Mitarbeitern in einer Tauschbörse kopiert.
Derartige Vorfälle sind zwar überflüssig, aber nicht überraschend. Insofern kann sich jedes Unternehmen mit einem relevanten Bestand persönlicher oder finanzieller Daten darauf einstellen, eines Tages einen derartigen Störfall beherrschen zu müssen. Die vorrangigen Ziele sind, den Schaden so gering wie möglich zu halten und das Vertrauen der Kunden und Partnerfirmen rasch wiederherzustellen. Die CW-Schwesterpublikation "Network World" hat die größten Fettnäpfchen bei einem Datenverlust identifiziert und den jeweils besten Weg um sie herum beschrieben. "Die richtige Vorgehensweise ist entscheidend für den Erfolg", sagt Tom Bowers, Geschäftsführer der Sicherheitsberatung Security Constructs in Philadelphia – auch wenn die sechs Schritte leider keine Garantie dafür sind, dass sich der Ärger in Wohlgefallen auflöst.
1. Verdacht und Gewissheit
Auch wenn der Schritt nahe liegend erscheint: Der Stress und die Unsicherheit einer Ausnahmesituation können dazu führen, dass den Verantwortlichen die Kontrolle entgleitet und sie nicht präzise darüber informiert sind, was genau passiert ist. Sobald Anzeichen für einen potenziellen Datenverlust erkennbar sind (Kunden melden falsche Buchungen auf ihrer Kreditkarte oder Server-Logs deuten auf unberechtigte Datenzugriffe hin), müssen Sicherheitsverantwortliche gemeinsam mit IT-Spezialisten klären, ob ein Datenverlust eingetreten ist und was für Daten kompromittiert wurden. Die Schwachstelle gilt es so schnell wie möglich auszubessern. "Sie müssen die befallenen Systeme unmittelbar nach dem Vorfall eindämmen", sagt Ed Zeitler, Chef des International Information Security Certification Consortium (ISC2) und ehemaliger Chief Information Security Officer des Finanzdienstleisters Charles Schwab.
2. Spurensicherung
IT-Spezialisten müssen das Leck abdichten können, ohne die betroffenen Systeme zu modifizieren. Wenn absehbar ist, dass dies nicht durchführbar ist, sollten schleunigst (externe) Security-Fachleute alarmiert werden. Im Idealfall wurde ein Sicherheitsberater bereits im Vorfeld für eventuelle Notfälle angeheuert, um sich langwierige Abstimmungsprozesse und finanzielle Verhandlungen in der heißen Phase zu ersparen. Eine geringe Verzögerung durch die externen Kräfte kann sich oft positiv auf die Lösung des kompletten Falls auswirken. "Viele Vorfälle sind relativ einfach für uns zu lösen", sagt Bryan Sartin von Security-Dienstleister Cybertrust, "doch häufig hat das betroffene Unternehmen die Spuren am Tatort bereits verwischt, so dass eine Strafverfolgung wegen der fehlenden Beweise nicht mehr möglich ist".
3. Kommunikation und Vertrauen
Nicht immer möchte man die Rechtsabteilung in den eigenen Server-Logs schnüffeln lassen, doch gravierende Vorfälle können nicht isoliert in der IT-Abteilung bewältigt werden. Sicherheitsverantwortliche, die andere Abteilungen des Unternehmens rasch informieren – Recht, Personal, PR und Marketing sowie gegebenenfalls die Vorstandsebene – haben einen besseren Stand als ihre Kollegen, die nn mitteilen, wenn es für Gegenmaßnahmen auf allen Ebenen zu spät ist. Zudem sollten Sicherheitsverantwortliche im Störfall stets auf die Ressourcen der anderen Abteilungen zurückgreifen. "Ein Security-Experte darf nicht glauben, dass er allein für die Klärung des Falles zuständig ist", sagt Randy Barr, oberster Sicherheitsbeauftragter der Cisco-Tochter WebEx.
Die passende Reaktion auf einen Datenverlust läuft immer auf mehreren Ebenen an: Die betroffenen Personen müssen informiert werden (Kunden, Mitarbeiter, Partner), in den USA sind die Strafverfolger und gegebenenfalls die Öffentlichkeit sowie Regulierungsbehörden zu informieren, Pressemitteilungen müssen verfasst und im Extremfall rechtliche Auseinandersetzungen vorbereitet werden. Sind erst einmal Daten verschwunden, ist die Angelegenheit keine reine Veranstaltung der Sicherheitsabteilung mehr: "Der größte Vorteil ist es", so Barr, "wenn sich ein Unternehmen zu diesem Zeitpunkt für die Lösung des Problems nicht mehr allein auf die Security-Einrichtungen verlassen muss".
4. Angriff ist die beste Verteidigung
"Seien Sie unvoreingenommen", berichtet ein Sicherheits-Manager eines US-Finanzdienstleisters, der nicht namentlich genannt werden will. "Viele Security-Verantwortliche betreten Meetings mit CEOs, COOs, CIOs und IT-Leitern in der Angst, dass ihr Job durch den Störfall den Bach runtergeht." Statt dessen sollten sie mit einer offenen Haltung in die die Krisengespräche eintreten und Bereitschaft zur Kooperation demonstrieren.
5. Alle in einem Boot
Viele Sicherheitsverantwortliche sind der Meinung, dass allein ihre berufliche Zukunft von einem Vorfall bedroht ist. Daher versuchen sie, Details zum Vorfall so lange wie möglich vor dem Top-Management zu verbergen. Teilweise müssen aber auch Geschäftsführer und Vorstände für einen Schaden geradestehen, weshalb sie darauf angewiesen sind, dass sie von den Vorgängen unterrichtet werden. "Während die Öffentlichkeit angesichts der steigenden Zahl der gemeldeten Datenverluste desensibilisiert wird, steigt im Gegenzug die Aufmerksamkeit der CIOs", berichtet Sicherheitsberater Bowers, der zuvor als Manager für IT-Security beim Pharmakonzern Wyeth Pharmaceuticals gearbeitet hat. Auch aus diesem Grund würden die Ausgaben für IT-Sic mehr Unternehmen wollen die Vorgaben zur Datensicherheit einhalten, denn ein Verstoß dagegen kann sich negativ auf den Aktienkurs auswirken – und damit auf die Boni des Top-Managements."
6. Aufrichtigkeit
Ein weiterer Schritt, um die Glaubwürdigkeit eines Unternehmens wiederherzustellen, ist die Benachrichtigung der betroffenen beziehungsweise interessierten Kreise. Dabei gilt es, den Vorfall aufrichtig zu beschreiben, ohne allzu viele Details preiszugeben. Wenn es keinen Anhaltspunkt dafür gibt, dass die verlorenen Daten missbräuchlich verwendet wurden, sollte auch dies kommuniziert werden. Sollte ein Unternehmen indes gezwungen sein, die Informationen der ersten Meldung im Nachhinein zu korrigieren, führt dies zur augenblicklichen Erosion der Glaubwürdigkeit. Ein Beispiel ist der US-Einzelhändler TJX: Hier waren über einen Zeitraum von 18 Monaten knapp 46 Millionen Nummern von Kredit- und Debitkarten abhanden gekommen. Aufgrund einer restriktiven Informationspolitik und der traditionellen "Salamitaktik" forschten US-Medien nach Details, was zu einem stattlichen Medien-Hype sowie zu einer Beschädigung des Rufs von TJX geführt hat. Die vermutlich endgültige Zahl der betroffenen Personen wurde von dem Einzelhändler schließlich in der Jahresbilanz veröffentlicht, um möglichst wenig Aufsehen zu erregen. Die Rechnung ging allerdings nicht auf. Anfang Juni war die Untersuchung noch in vollem Gange. Allein im ersten Quartal des Jahres summierten sich die Kosten für Sicherheits- und Kommunikationsmaßnahmen auf 20 Millionen Dollar. (ajf)