Der Umgang mit einem Cybervorfall ist eine unglaublich stressige Zeit für Kunden und Anwälte. Es gibt nicht nur den Stress, sich mit der ersten Sicherheitsverletzung zu befassen, sondern auch den Druck, in kurzer Zeit zu überprüfen, welche Daten gefährdet waren. Wenn Sie sicherstellen, dass Ihnen erfahrene Fachleute für Cybervorfälle zur Verfügung stehen, die sich um das Projekt kümmern, können Sie einen Teil dieses Stresses abmildern. Bevor es zu einem Vorfall kommt, ist es wichtig, das richtige Team zusammenzustellen, das sowohl beratend als auch wiederholend zwischen dem Anwalt, dem Kunden und dem Dienstanbieter tätig ist. Dieser Teamansatz ist unerlässlich, um die besten Ergebnisse auf möglichst kosteneffiziente und zeitnahe Weise zu erzielen.

Um die spezifischen Überlegungen zur Bearbeitung von Cybervorfällen nach einer Datenschutzverletzung zu verstehen, ist es am besten, sich vor Augen zu führen, welche Leistungen erbracht werden müssen und wie diese erstellt werden sollen. Es handelt sich dabei um eine de-duplizierte Liste aller möglicherweise betroffenen Personen, ihrer Adressen und aller gefährdeten personenbezogenen Daten, die auf dem Dokument und/oder in den Benachrichtigungsschreiben angegeben werden müssen. Diese PI werden aus den überprüften Elementen extrahiert. Die primären Überlegungen unterscheiden sich deutlich von denen in regulären eDiscovery-Projekten und bestimmen den Verarbeitungs- und Workflow-Ansatz für Cyber-Review-Angelegenheiten.

Erstverarbeitung

Wie bei jedem elektronischen Datenprojekt besteht die beste Möglichkeit zur Kostensenkung darin, den Überprüfungssatz auf die kleinstmögliche Grundgesamtheit zu reduzieren. Bei der globalen Deduplizierung werden exakte Duplikate aus dem Überprüfungssatz entfernt. Obwohl diese Datensätze von der Hosting-Umgebung zurückgehalten werden, werden sie nicht gelöscht und können bei Bedarf jederzeit wieder eingespielt werden.

Da gängige computergenerierte Dateitypen keine PI-Informationen enthalten, können sie entfernt (oder de-NISTed) werden, um die Grundgesamtheit zu verringern. Beim De-NISTing wird eine vom National Institute of Standards and Technology (NIST) veröffentlichte Liste als Ausgangspunkt für den Ausschluss von Dateitypen verwendet. Es ist von entscheidender Bedeutung, alle verbleibenden Dateitypen mit Beratung zu analysieren, um zusätzliche, für den Datensatz spezifische Dateitypen zu identifizieren, die ebenfalls entfernt werden können.

Einige Dateien, wie z. B. reine Bild-PDFs, enthalten keinen extrahierbaren Text. Einige dieser Dateien können mit OCR bearbeitet werden, um die Anzahl der möglichen Suchbegriffstreffer zu maximieren. Multimediadateien oder Bilder eignen sich unter Umständen nicht für OCR, sollten aber dennoch berücksichtigt werden, da es sich bei einer MP3-Datei um eine Aufnahme eines Telefongesprächs und bei einem Bild um einen Reisepass handeln kann. Da diese Dateien nicht in die Durchsuchungsberichte aufgenommen werden, ist es wichtig, ihre besondere Behandlung im Voraus zu besprechen.

Data Mining - Erstes Culling

Nach der Verarbeitung und vor der Erstellung von Berichten über Suchbegriffe kann eine erste Auslese die Population weiter reduzieren. Die Analyse von E-Mail-Domänen mit Ratschlägen kann E-Mails von bestimmten Absendern aufdecken, die keine PI enthalten. So kann zum Beispiel ein ESPN-Newsletter sicher aus dem Ausgangsdatensatz entfernt werden. Eine Stichprobe in dieser Phase kann auch zusätzliche Blöcke entfernbarer Daten aufdecken, wie z. B. automatisch generierte Antworten von IT-Abteilungen und Nachrichten ohne Antwort. Es ist wichtig, mit den Anwälten zu besprechen, was entfernt werden kann, da dies von Fall zu Fall unterschiedlich ist.

Anwendung von Suchbegriffen

Suchbegriffe, die für ein Gerichtsverfahren verwendet werden, können spezifisch für eine rechtliche Frage sein. Cyber-Suchbegriffe werden jedoch so formuliert, dass sie die Arten von Objekten erfassen, die am ehesten PI enthalten. Das Team kennt zwar vielleicht ein paar tatsächliche Sozialversicherungsnummern (SSN), möchte aber alle möglichen SSNs finden. Dies lässt sich am besten durch eine Suche mit „regulären Ausdrücken“ in Kombination mit einer Stichwortsuche erreichen. Die Suche nach bekannten SSNs ODER „Sozialversicherungsnummer“ oder ###-##-#### wird diese Aufgabe erfüllen.

Ein Prüfer muss sowohl einen Namen als auch den zugehörigen PI in demselben Dokument finden, um ihn in die Benachrichtigungsliste aufzunehmen. Ein Name in einer E-Mail mit dem PI in einem Anhang gilt nicht als meldepflichtig. Daher enthalten die Trefferberichte für Suchbegriffe nur einzelne Datensätze, nicht aber ganze E-Mail-Familien.

Besonderes Augenmerk sollte auf Begriffe gelegt werden, die eine hohe Anzahl eindeutiger Treffer aufweisen, d. h. bei denen nur ein Begriff in einem Dokument vorkommt. Es ist wichtig zu beachten, dass sich die Suche auf einzelne Datenelemente bezieht, während (wie oben erwähnt) der eventuelle Eintrag in die Benachrichtigung eine Kombination aus Name und Datenelement desselben Elements erfordert. Das bedeutet, dass viele Dokumente in der überprüften Population keine meldepflichtigen PI enthalten werden. Die Konzentration auf die eindeutigsten Begriffe ist der beste Weg, einen Begriff zu entfernen oder zu optimieren, um die Gesamtpopulation der Überprüfungen zu reduzieren.

Da es viele Suchrunden geben kann, ist ein beratender, iterativer Ansatz erforderlich, um die gewünschten Ergebnisse zu erzielen. Zu den Wiederholungen können Stichproben von Begriffstreffern, Berichte über den Kontext und die Sicherstellung gehören, dass sowohl der Endkunde als auch sein Rechtsbeistand alle themenspezifischen Informationen weitergeben, um die Identifizierung des endgültigen Prüfsatzes zu unterstützen.

Sekundäres Culling - E-Mail-Threading und De-Duplizierung auf Elementebene

Nach der endgültigen Festlegung der Suchbegriffe kann die Grundgesamtheit durch sekundäre Ausleseverfahren weiter reduziert werden. Nur die umfassendste E-Mail in einem Thread muss überprüft werden, um alle potenziellen PI zu erfassen. Anhänge können anhand ihrer Verarbeitungs-Hash-Werte de-dupliziert werden. Dieser Schritt unterscheidet sich deutlich von standardmäßigen eDiscovery-Workflows, bei denen die Beziehungen zwischen E-Mail-Familien intakt gehalten werden sollten. Da der PI nur einmal identifiziert werden muss, besteht keine Notwendigkeit, doppelte Anhänge zu überprüfen.

Endgültige überprüfbare Menge

Die endgültige überprüfbare Menge ist ein Produkt aus:

• Datensuche und -auslese durch Experten für Cybervorfälle
• Enge Absprache mit Anwälten und Kunden, um die besonderen Merkmale jedes Datensatzes zu ermitteln
• Suchbegriffe für Cybervorfälle als Grundlage für einen iterativen, gemeinschaftlichen Prozess.

Dieser gestraffte Datensatz wird dann an das Prüfungsmanagementteam weitergeleitet und die manuelle Prüfung beginnt.

Schlussfolgerung

Das gängige Sprichwort in Bezug auf Cybersicherheitsrisiken lautet: „Es kommt nicht darauf an, ob, sondern wann eine Sicherheitslücke entsteht.“ Um das „Wann“ zu vermeiden, ergreifen Unternehmen auf der ganzen Welt Maßnahmen, um ihre Netzwerke gegen unbefugten Zugriff zu schützen. Die Vorbereitung der Reaktion ist der nächste Schritt zur Risikominderung. Ein Reaktionsplan sollte eine enge Zusammenarbeit zwischen Anwälten, Kunden und Fachleuten für Cyber-Projekte beinhalten, die programmatische Maschinenleistung, menschliche Erfahrung und Fallwissen nutzen, um die Daten zu identifizieren, die am ehesten persönliche Informationen enthalten.

Weitere Informationen zum Umgang mit Überprüfungen von Cybervorfällen finden Sie unter Tipps zum Umgang mit einer Überprüfung von Cybervorfällen.

Von Jason Schroeder, Client Services Manager für das Cyber Incident Response Team von Epiq. Jason bringt seine jahrzehntelange eDiscovery-Erfahrung in allen Phasen der eDiscovery in diese Führungsrolle ein.