Das Schuldspiel: Das Problem der Überprüfung nach einem Vorfall

Sie wurden verletzt und haben den Incident Response (IR) Plan durchlaufen. Identifizierte, entschärfte und informierte die erforderlichen Behörden und kommunizierte mit den betroffenen Parteien. Aber die nächste Phase ist vielleicht der wichtigste Teil des Prozesses und derjenige, der auch dazu neigt, schlecht gehandhabt zu werden. Die Überprüfung nach dem Vorfall versucht, aus dem Prozess zu lernen, was gerade passiert ist, wie damit umgegangen wurde und wo es Raum für Verbesserungen gibt. 

Ähnlich wie bei der Analyse nach dem Spiel, die jedem Fußballspiel folgt, bewertet die Überprüfung nach dem Vorfall die Höhen und Tiefen, um festzustellen, wie effektiv IR war und wie die Verteidigung gestärkt werden kann, um die Fähigkeit der Organisation zu stärken, zukünftigen Angriffen standzuhalten. 

Die Überprüfung zielt darauf ab, die gesamte Spanne des Vorfalls zu erfassen und umfasst in der Regel einen dreistufigen Prozess, so der Branchenverband CREST. Die Überprüfung beschreibt alle Schritte, die während der IR unternommen wurden, und es folgt die formelle Dokumentation aller gewonnenen Erkenntnisse, die allen Interessengruppen zur Verfügung gestellt werden. In der letzten Phase wird dann der IR-Plan selbst überarbeitet und aktualisiert. Theoretisch sollte dies dann zu Verbesserungen führen, die dazu beitragen, das Risiko eines erneuten Auftretens zu mindern, die Erkennungszeit zu verkürzen, die Diagnose, Priorisierung und Ressourcenzuweisung zu verbessern. 

Langfristige Auswirkungen

Diese Art der Reinigung ist von entscheidender Bedeutung, da Verstöße viel Zeit kosten können. Untersuchungen zu den Auswirkungen einer Datenschutzverletzung auf den Aktienkurs ergaben, dass die Auswirkungen kumulativ sein können und den Wert des Unternehmens erheblich schmälern, sodass der Aktienkurs nach einem Jahr im Durchschnitt um 8.6 Prozent fällt und nach zwei Jahren weiter auf 11.3 Prozent und 15.6 Prozent fällt nach drei Jahren, auch wenn die Auswirkungen der Datenschutzverletzung selbst geringer geworden sind. Die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 sollen 4.35 Millionen US-Dollar betragen, aber Unternehmen mit einem IR-Team, die den IR-Plan regelmäßig testen, sparen laut IBMs Cost of a Data Breach Report 2.66 schätzungsweise 2022 Millionen US-Dollar ein. 

Die Verringerung der Wahrscheinlichkeit weiterer Verstöße liegt daher sehr im Interesse der Geschäftsleitung. Aber laut der ISC(2) Cybersecurity Workforce Study 2022 liegt der Fokus der Unternehmen in der Regel überwiegend auf der Leistung des Sicherheitsteams selbst, wobei 40 Prozent angaben, dass sie sich einer verstärkten Prüfung ausgesetzt fühlten, und 41 Prozent berichteten von einer Zunahme der Arbeitsbelastung nach der Verstoß. Interessanterweise wurde dann tendenziell nur sehr wenig investiert, wobei nur 20 Prozent sagten, dass ein bekannter Verstoß zu weiteren Ausgaben führen würde, und nur 16 Prozent zur Einstellung von mehr Personal. Und, etwas besorgniserregend, gaben 8 Prozent an, dass überhaupt keine Änderungen vorgenommen wurden.

Folglich führt diese Art von Missmanagement nach einem Verstoß tendenziell zu einer weiteren, weniger gut dokumentierten Auswirkung – der Fluktuation der Belegschaft. Das Sicherheitsteam fühlt sich unterversorgt und überfordert und ist einem höheren Burnout-Risiko ausgesetzt. Derselbe Bericht fand eine negative Kultur, Burnout und Stress belegten nach Gehalt und Karrierefortschritt den dritten bzw. vierten Platz als die Hauptgründe für die Kündigung von Cybersicherheitsmitarbeitern. Dies ist besorgniserregend, da Sie in einer Zeit, in der der Fachkräftemangel zunimmt, wirklich keine wertvollen Ressourcen für die Cybersicherheit verlieren möchten. (Die Umfrage ergab, dass die Lücke bei den Fähigkeiten im Bereich Cybersicherheit im Laufe des Jahres um 73 Prozent gestiegen ist, was 56,811 unbesetzten Stellen im Vereinigten Königreich entspricht, während das Ministerium für Kultur, Medien und Sport einen jährlichen Mangel von 14,000 Berufsanfängern prognostiziert.)

Natürlich ist die Überprüfung von Datenschutzverletzungen auch eine regulatorische Verpflichtung. Das Information Commissioner's Office (ICO) gibt an, dass Sicherheitsverletzungen analysiert werden sollten, um eine Wiederholung zu verhindern, dass Art, Umfang und Kosten der Sicherheitsverletzung überwacht werden sollten und dass Trendanalysen im Laufe der Zeit durchgeführt werden sollten, um das Verständnis zu erleichtern. Es wird auch ein Bewusstsein für die gewonnenen Erkenntnisse und Beweise dafür wünschen, dass die ergriffenen Maßnahmen wirksam waren. 

Da der ISC(2)-Bericht zeigt, dass nur wenig in Maßnahmen investiert wird, die eine Wiederholung verhindern würden, ist klar, dass einige Unternehmen vom ICO als nicht konform angesehen werden und nicht in der Minderheit sind. Die OWASP Top 10 Privacy Risks platziert die unzureichende Reaktion auf Datenschutzverletzungen an dritter Stelle der Liste und veröffentlichte in diesem Jahr ihre Gegenmaßnahmen. Zu den als „unzureichend“ eingestuften Maßnahmen gehörte das Nichtbenachrichtigen betroffener Parteien über den Verstoß, das Versäumnis, die Situation durch Behebung der Ursache zu beheben, und/oder das Nichtbemühen, das Datenleck einzudämmen. 

Ursache und Wirkung

Dabei ist es wichtig zu erkennen, dass viele dieser Mängel nicht auf die Technologie, sondern auf eine schlechte Sicherheitskultur zurückzuführen sind. Tatsächlich kann der Verstoß selbst oft ein Hinweis auf systemische Probleme oder einen Betriebsausfall sein. Wenn die Sicherheit nicht in der gesamten Organisation und ihren Geschäftsprozessen verankert ist, trägt das Sicherheitsteam die alleinige Verantwortung und ist zum Scheitern verurteilt.

Was können Unternehmen also tun, um ihre Reaktion nach einem Verstoß zu verbessern, die Arbeitsmoral und die Mitarbeiterbindung zu steigern? In Wirklichkeit sollte jede schwerwiegende Datenschutzverletzung nicht nur zu Änderungen des IR-Plans, sondern auch zu Änderungen an Richtlinien und Verfahren und möglicherweise zu weiteren Investitionen in Ressourcen führen, seien es Menschen oder Technologien.  

Das Cybersicherheitsteam muss mit den notwendigen Ressourcen ausgestattet werden, um Wiederholungen zu verhindern, aber es muss auch unterstützt werden, und damit dies geschehen kann, sollte die Sicherheit als gemeinsame Verantwortung im gesamten Unternehmen betrachtet werden. Regelmäßige Audits, sowohl intern als auch extern, z. B. durch einen Penetrationstest, können eine fortlaufende Bewertung der Wirksamkeit des IR-Plans liefern und für eine gewisse Objektivität sorgen. Und der IR-Plan selbst sollte als „lebendes Dokument“ betrachtet und regelmäßig im Einklang mit allen Änderungen im Geschäft aktualisiert werden, wie z. B. neue Leute, Akquisitionen, Serviceangebote usw. 

Allerdings müssen wir auch die Kultur der Schuldzuweisungen ausmerzen. Die Geschäftsleitung muss sich die Analyse des Cybersicherheitsteams anhören und wertschätzen und prüfen, wo Investitionen getätigt werden können, um Risiken effektiv und effizient zu reduzieren. Ohne Unterstützung von der Basis besteht die Gefahr, dass das Team desillusioniert und desillusioniert wird, was dazu führt, dass es in den nächsten Jahren stillschweigend aufhört oder es verlässt. Daher geht es bei jeder Investition nach einem Verstoß nicht nur darum, die Wahrscheinlichkeit eines erneuten Auftretens zu verringern, es ist eine Investition in das Team selbst und dient als Anerkennung und Bestätigung seiner Bemühungen und kann durchaus den Unterschied zwischen Bleiben oder Gehen ausmachen.