Ein Cybersicherheitsvorfall ist für das Team eines Unternehmens ein stressiges und beängstigendes Ereignis. Wenn es darum geht, Cyber-Pläne aufzustellen, müssen sich Unternehmen auf den schlimmsten Fall vorbereiten, da es nicht mehr darum geht, ob eine Sicherheitsverletzung eintritt, sondern wann sie eintritt. Es müssen nicht nur Richtlinien zur Verhinderung von Sicherheitsverstößen vorhanden sein, sondern es ist auch hilfreich und beruhigend, einen umfassenden Überblick über die Schritte zu haben, die der Rechtsbeistand eines Unternehmens unternehmen wird, um die durch den Vorfall verursachten Probleme zu analysieren und zu beheben. Nachfolgend finden Sie Tipps, wie Sie eine Überprüfung des Datenschutzes bei Cybervorfällen am besten handhaben, vom Beginn des Vorfalls bis zur Benachrichtigung und danach.

Bestimmen Sie den Umfang des Vorfalls

Wenn ein Vorfall eintritt, ist die erste Sorge eines jeden Unternehmens die Aufrechterhaltung des Geschäftsbetriebs und der Datenintegrität (und sollte es auch sein). Die nächste Priorität muss sein, zu ermitteln, wessen persönliche Daten potenziell betroffen sind. Bei Cybervorfällen, die sich auf strukturierte Daten beziehen, kann dies eine einfachere Aufgabe sein, da Berichte aus Datenbanken oder HR-Systemen gezogen werden können, um die Benachrichtigungsliste zu erstellen. Wenn jedoch unstrukturierte Daten betroffen sind - sei es bei einer Kompromittierung von Geschäfts-E-Mails oder einem Ransomware-Vorfall - kann es schwieriger sein, herauszufinden, wer benachrichtigt werden muss.

Die erste Phase in diesen Szenarien mit unstrukturierten Daten besteht darin, den Gesamtumfang des Vorfalls zu ermitteln - auf welche Daten zugegriffen wurde und welche nach potenziell sensiblen Daten durchsucht werden müssen. In dieser Phase arbeiten interne und/oder externe Anwälte in der Regel mit Datenexperten zusammen, um festzustellen, auf welche Daten die Bedrohungsakteure zugegriffen haben und welche Arten von Informationen sich in diesen Daten befinden.

Persönliche Informationen (PI) definieren

Bevor das Team mit der Cyber-Überprüfung beginnt, muss es wissen, wonach es suchen soll. Dies bedeutet, dass sowohl der Auslöser für die Erfassung als auch die zu erfassenden Daten definiert werden müssen. Die Rechtsabteilung hat mehrere Überlegungen anzustellen, wenn sie festlegt, was in diesen Daten als PI gilt: welche Gesetze und Vorschriften für das Unternehmen und die PI der Personen gelten; was extrahiert werden muss und was mit einem Ja/Nein-Flag identifiziert werden kann und was im Benachrichtigungsschreiben mitgeteilt werden muss.

Bestimmen, welche Dokumente PI enthalten könnten

Sobald der Anwalt PI für den offengelegten Datensatz definiert hat, sollte er mit seinem Kunden und externen Anbietern zusammenarbeiten, um zu entscheiden, welche Dokumente innerhalb der Daten wahrscheinlich PI enthalten. Um diese Entscheidung treffen zu können, müssen die Anwälte die typischen Arten von Inhalten kennen, die an den einzelnen exponierten Stellen enthalten sind. Ein Datenverarbeitungsanbieter kann den Text und die Metadaten durchsuchen, z. B. mit den Suchbegriffen „Sozialversicherungsnummer“ oder Ausdrücken wie ###-##-####, um einen Überblick über den Inhalt zu erhalten. Die Anwälte sollten auch die Dateinamen und Dateitypen von Nicht-Text-Dokumenten analysieren, um festzustellen, ob sie wahrscheinlich PI enthalten. Diese Schritte verfeinern den Kreis der zu überprüfenden Dokumente und helfen dem Team, einen Zeitplan und ein Budget für die Überprüfung zu erstellen.

Überprüfung der Dokumente, um PI zu finden und zu erfassen

Sobald die zu überprüfenden Dokumente identifiziert sind, werden die Daten extrahiert, um eine Benachrichtigungsliste zu erstellen. Bei diesen unstrukturierten Daten arbeitet die Rechtsabteilung häufig mit einem Prüfdienstleister zusammen, um diese Informationen effektiv und effizient zu erfassen. Die Rechtsabteilung teilt dem Überprüfungsanbieter die Entscheidungen darüber mit, was in dieser Angelegenheit als PI gilt, die relevanten Auslöser und alle anderen wichtigen Informationen. In den meisten Fällen müssen die Prüfungsteams innerhalb eines kurzen Zeitrahmens arbeiten, was bedeutet, dass eine frühzeitige Planung, die Entnahme von Dokumenten und eine ständige Kommunikation zwischen der Rechtsabteilung und den Prüfungsteams unabdingbar sind.

Erstellen Sie die Benachrichtigungsliste

Nachdem das Team die Überprüfung der Dokumente abgeschlossen hat, konsolidieren die Rechtsberater und der Überprüfungsanbieter die aufgezeichneten Einträge zu einer Liste von Personen mit Kontaktinformationen und allen identifizierten PI für jede Person.

In dieser Phase der Datennormalisierung und -entdopplung stellt das Team fest, ob es sich um eindeutige oder doppelte Einträge handelt: welche Einträge beziehen sich auf dieselbe Person und welche auf verschiedene Personen mit ähnlichen Namen. So muss das Team beispielsweise entscheiden, ob eine Jennifer Smith auf einem Dokument mit einer Finanzkontonummer und eine Jennifer Smith mit einer Sozialversicherungsnummer auf einem anderen Dokument konsolidiert oder als separate Einträge belassen werden sollen. Um die Einträge in der Benachrichtigungsliste korrekt zu konsolidieren, sollten die Anwälte einen Anbieter mit effektiven und vertretbaren Prozessen wählen, die speziell für diese Art der Deduplizierung entwickelt wurden.

Analysieren der Meldungsliste

Mit der Benachrichtigungsliste in der Hand arbeiten die Anwälte und das Unternehmen daran, die Beziehung der verschiedenen betroffenen Personen zum Unternehmen zu ermitteln. Handelt es sich beispielsweise um Mitarbeiter, Kunden oder Auftragnehmer? Die Rechtsberater bestimmen auch, welche Gesetze und Vorschriften anwendbar sind. Die Art der gefährdeten PI, der Standort des Unternehmens und die aktuelle Adresse der betroffenen Person können darüber entscheiden, ob die betroffene Person benachrichtigt werden muss, welche Art von Benachrichtigung (z. B. Postwurfsendung, öffentliche Bekanntmachung) die Person erhalten muss und wie ausführlich das Schreiben sein muss.

Benachrichtigung und Dienstleistungen nach der Benachrichtigung

Der Anwalt gibt die endgültige Benachrichtigungsliste und die Anweisungen an einen Benachrichtigungsanbieter weiter, der die aufgedeckten Sozialversicherungsnummern validiert und Kontaktinformationen für die Personen mit aufgedeckten PI recherchiert. Er versendet Mailings an die Personen mit den Kontaktinformationen, richtet ein Callcenter ein, um Anfragen von benachrichtigten Personen zu bearbeiten, und richtet (falls erforderlich) Kreditüberwachungsdienste ein.

Benachrichtigung der Aufsichtsbehörden

Je nachdem, welche Gesetze und Vorschriften gelten, müssen die Anwälte die Aufsichtsbehörden möglicherweise schon in der Anfangsphase informieren. Zu diesem Zeitpunkt benachrichtigen die Anwälte jedoch in der Regel die Aufsichtsbehörden auf Landes-, Bundes- und anderer Ebene, dass das Unternehmen Opfer eines Cybervorfalls geworden ist, und informieren sie über die Schritte, die zur Benachrichtigung der betroffenen Personen und zur Behebung möglicher Schäden unternommen wurden.

Letzte Schritte

Auch wenn die Benachrichtigung und die Nachverfolgung die letzten Schritte sind, kommt es gelegentlich vor, dass sich Personen an das Callcenter wenden und nach Details über ihre gefährdeten PI fragen. In solchen Fällen koordiniert der Berater mit dem Kunden und den Anbietern, um die angeforderten Informationen oder die Quelldokumente der PIs zu finden und zu liefern.

Unternehmen werden oft unvorbereitet getroffen, wenn sie feststellen, dass sie Opfer eines Cybervorfalls geworden sind. Wie bei anderen potenziellen Krisen ist es am besten, schon vor dem Eintreten des Ereignisses über eine Reaktionsstrategie nachzudenken. Zu wissen, was zu erwarten ist, kann helfen, einen Teil des Stresses abzubauen. Es ist wichtig, einen Reaktionsplan zu entwickeln, einschließlich der Identifizierung potenzieller Partner in diesem Prozess, bevor ein Vorfall eintritt. Ein guter Reaktionsplan kann schnell und effizient die folgenden Fragen beantworten: (1) wie wird die Situation gelöst, (2) wer überwacht die einzelnen Schritte, (3) welche persönlichen Daten befinden sich im Netzwerk und (4) wo werden diese Daten gespeichert. Der beste Tipp für die Überprüfung der Cyber-Response ist also, sich vor dem Eintreten des Ereignisses Zeit zu nehmen, um über diese Fragen nachzudenken, damit eine methodischere und umfassendere Reaktion möglich ist.

Bei Tom Morse, Senior Review Manager bei Epiq. Tom Morse ist zugelassener Anwalt in New York und arbeitet seit über sieben Jahren bei Epiq, davon vier Jahre in der Cyber Incident Response Group.