Die meisten Unternehmen werden irgendwann einmal von einer Sicherheitsverletzung oder einer Schwachstelle betroffen sein, durch die sensible Daten offengelegt werden. Um die Auswirkungen auf das Geschäft und den Ruf zu minimieren, ist es wichtig, einen soliden Reaktionsplan zu haben, ehe es zu einem Vorfall kommt. [...]
Die Offenlegung von Sicherheitsverletzungen hat in letzter Zeit für Schlagzeilen gesorgt, und das nicht unbedingt auf eine gute Art und Weise. Die Pressekonferenz des Gouverneurs von Missouri, Mike Parson, über die Berichterstattung einer Zeitung über eine Sicherheitslücke auf der Website des Ministeriums für Grund- und Sekundarschulbildung löste in den sozialen Medien einen Eklat aus. Er gab dem Reporter, der die öffentlich zugänglichen sensiblen Daten entdeckt hatte, die Schuld an der Aufdeckung und nicht der fehlerhaften Implementierung der Website.
Dieser Vorfall erinnerte mich an eine Lektion, die ich vor Jahren von mehreren Personen gelernt habe, die in der Kommunikationsbranche im Zusammenhang mit Microsoft-Sicherheitsfragen tätig waren. Ein Microsoft-Sicherheitsvorfall wurde in den Nachrichten mit allen möglichen Details publik gemacht, aber das Microsoft-Sicherheitskommunikationsteam war irritierend und frustrierend schweigsam. Ich nahm dies als ein Zeichen dafür, dass sie das betreffende Sicherheitsproblem nicht verstanden, aber später fand ich heraus, dass sie entweder auf eine Lösung warteten oder eine Sache, die noch untersucht wurde.
Als Erster über ein sicherheitsrelevantes Ereignis zu berichten, bedeutet oft, dass man etwas falsch versteht, oder noch schlimmer, dass die Sprecher die Situation nicht vollständig verstehen und falsche Informationen weitergeben, die oft nicht leicht zu korrigieren sind. In der heutigen Welt der 24/7-Nachrichten kann ein zu frühes Kommunizieren unnötige Aufmerksamkeit auf Ihr Sicherheitsproblem lenken. Sie wollen weder der Erste noch der Letzte sein, der kommuniziert. Es gibt immer einen Mittelweg der Kommunikation, der bei der Meldung von Sicherheitsverletzungen eingehalten werden sollte.
Es ist ratsam, einen Plan zu haben, wie Sie auf eine Sicherheitsverletzung reagieren wollen. Hier erfahren Sie, wie Sie diesen Plan erstellen können.
Kennen Sie die Verfahren Ihrer Cyber-Versicherung im Falle einer Sicherheitsverletzung
Wenden Sie sich an Ihren Cyber-Versicherungsanbieter, bevor es zu einer Sicherheitsverletzung kommt, um zu erfahren, welche Verfahren Ihre Versicherung im Falle eines Vorfalls anwenden möchte. Sie sollten einer der ersten Ansprechpartner sein, wenn ein Verstoß vermutet wird. Möglicherweise müssen sie Ermittler hinzuziehen, um die Art des Verstoßes besser zu verstehen. Das Versicherungsunternehmen verfügt möglicherweise auch über Kommunikationsexperten, die entweder bei der Kommunikation helfen oder als Sprecher für den Vorfall fungieren.
Erstellen Sie einen Kommunikationsplan
Legen Sie fest, wer Ihr Unternehmen im Falle einer Datenschutzverletzung vertreten wird. Lassen Sie sich eine Vorlage für die Mitteilung erstellen, die Sie präsentieren möchten. Stellen Sie sicher, dass die Kommunikation darüber, was Ihre Kunden und Klienten nach einer Sicherheitsverletzung zu erwarten haben, klar und deutlich ist. Befolgen Sie die Anweisungen Ihres Cyber-Versicherungsanbieters und Ihrer Anwälte in Bezug auf die Kommunikation auf kundenorientierten Websites und die Benachrichtigung der Öffentlichkeitsarbeit. Achten Sie nach der Meldung einer Sicherheitsverletzung auf Folgekommunikation, die je nach Entwicklung der Situation erforderlich sein kann.
Informieren Sie sich über die einschlägigen Richtlinien und Vorschriften zur Meldung von Sicherheitsverletzungen
Wenn Sie für eine Regierungsbehörde arbeiten, befolgen Sie die NIST-Richtlinien für die Offenlegung und Benachrichtigung bei Sicherheitsverletzungen. Privatunternehmen müssen ähnliche Prozesse einrichten. In den Vereinigten Staaten hat Ransomware so stark zugeschlagen, dass der Gesetzgeber nun Maßnahmen ergreift, um eine bessere Kommunikation und Untersuchung zu gewährleisten.
Die in den USA kürzlich eingebrachte Senate Bill 2666 würde für Unternehmen mit mehr als 50 Mitarbeitern eine strenge 24-Stunden-Frist für die Meldung von Ransomware-Zahlungen vorschreiben: „Nicht später als 24 Stunden nach der Entdeckung einer Ransomware-Operation, die eine kritische Funktion einer Bundesbehörde oder einer betroffenen Einrichtung kompromittiert, mit hoher Wahrscheinlichkeit kompromittiert oder anderweitig wesentlich beeinträchtigt, muss die Bundesbehörde oder die betroffene Einrichtung, die die Ransomware-Operation entdeckt hat, eine Ransomware-Meldung an das System übermitteln.“ Seien Sie darauf vorbereitet, dass der Benachrichtigungsprozess viel kürzer sein wird.
Ein Programm zur Offenlegung von Sicherheitslücken einrichten
Ein weiterer Prozess, den Sie im Vorfeld prüfen sollten, ist ein Programm zur Offenlegung von Sicherheitslücken. Da immer mehr Informationen Ihres Unternehmens im Internet veröffentlicht werden, haben Sie oft nicht die Ressourcen, um alle Sicherheitslücken, die möglicherweise versehentlich implementiert wurden, vollständig zu überprüfen und zu identifizieren.
Größere Firmen haben Bug-Bounty-Programme, die Schwachstellenforscher für ihre Bemühungen beim Auffinden von Problemen bezahlen, aber die meisten von uns haben solche Programme nicht. Andere Firmen verlassen sich auf Bug-Bounty-Programme von Drittanbietern wie die Zero Day Initiative, die zwischen dem Sicherheitsforscher und Ihrer Firma koordiniert werden.
Alle Firmen, die mit Kunden in Kontakt stehende Websites oder Grundstücke haben, können und sollten ein Verfahren einrichten, das die Offenlegung von Schwachstellen durch die Öffentlichkeit ermöglicht. Der E-Mail-Alias security@ ist normalerweise für die Meldung von Sicherheitsproblemen reserviert. Stellen Sie sicher, dass Sie einen etablierten Prozess für die Offenlegung haben.
Erwägen Sie Penetrationstest-Dienstleistungen
Jedes Mal, wenn Sie eine nach außen gerichtete Website haben, die im Falle eines Einbruchs erhebliche Auswirkungen auf Ihr Unternehmen haben könnte, sollten Sie in Erwägung ziehen, entweder einen Mitarbeiter zu beschäftigen oder ein Unternehmen mit der Durchführung eines Penetrationstests Ihrer Umgebung zu beauftragen. Unternehmen wie Black Hills Information Security setzen seit langem Penetrationstest-Teams oder Red Teams ein, um ihre Verteidigung zu stärken. Beim Purple Teaming werden Angriffs- und Verteidigungsmethoden kombiniert, um mehr Wissen über die Schwachstellen des Netzwerks und deren Behebung zu erlangen.
Unterm Strich sollten Sie Ihre Prozesse für den Umgang mit Sicherheitsproblemen und Sicherheitsverletzungen überprüfen. Vergewissern Sie sich, dass Sie über etablierte Verfahren für den Umgang mit einem Sicherheitsverstoß verfügen. Es geht nicht darum, ob eine Sicherheitsverletzung eintritt, sondern wann.
Be the first to comment