Data Breach Notification: Meldepflicht nach Hackerangriff ?

Derzeit liegt ein Gesetz zur Begutachtung im europäischen Parlament, dass Service-Anbieter verpflichten soll, Security-Vorfälle öffentlich bekannt zu geben, wenn personenbezogene Daten betroffen sind. Damit werden Ihre Kunden - im Fall des Falles - natürlich sofort zum Mitbewerb wechseln.....(von eventuellen Schadenersatzansprüchen gar nicht zu sprechen).

Keine Frage - der Schutz des Konsumenten steht im Vordergrund - aber WER nutzt den Dienst eines Unternehmens, wenn eine Security-Vorfall publiziert wird? Wer benutzt gerne eine Kreditkarte, wenn der Hauptserver des Instituts kompromittiert wurde?

Und was ist ein Service? Dieser Begriff hat eine sehr weite Bedeutung - und welches Unternehmen hat KEINE personenbezogenen Daten in seinem Zugriff - meist online im LAN?

Damit sind wohl 99% der österreichischen Unternehmen betroffen, ohne es zu wissen - wie es bei manchen Gesetzen ist - und erst im Ernstfall (oder wenn es der "böse" Mitbewerb öffentlich Kund tut), gibt es ernste Probleme! Für diese Art der Legislatur habe ich für mich den Begriff "Prophylaktische Gesetzgebung" geprägt, diese ist seit einiger Zeit aus den USA bekannt, ist aber nicht nachahmenswert und sollte in der EU ausbleiben!

Doch der Reihe nach....

Begonnen hat es - wie andere Dinge auch - in den USA nach 9/11. Von 2002 - erstes Gesetz in Kalifornien: "California Civil Code" - bis zum 16. September 2008 haben 44 Bundesstaaten ihre State Security Breach Notification Laws ratifiziert. (www.ncsl.org/programs/lis/cip/priv/breachlaws.htm).

Bereits am 28. Mai 2008 hat Andrea Pirotti, der Chef der ENISA (European Network and Information Security Agency), ein ähnliches Vorgehen für die europäische Union gefordert:

"ENISA calls for the EU to introduce mandatory reporting on security breaches and incidents for business, just as the US has already done".

www.enisa.europa.eu/pages/02_01_press_2008_05_27_Bxl.html

Im Juni 2008 wurde ein Artikel veröffentlicht mit dem Titel "Breach-notification laws not working?" (www.securityfocus.com/news/11524). Wissenschaftler der Carnegie Mellon University haben die Sinnhaftigkeit des Gesetzes analysiert - das scheint aber bis zur ENISA nicht vorgedrungen zu sein.

Im Gegensatz zu der amerikanischen Gesetzgebung ist bei der EU noch offen, ob auch die BETROFFENEN nach einem Vorfall zu informieren sind oder nur dafür zuständige Regierungsstellen, die dann über die Weitergabe der Information entscheiden.

Speziell trifft dieses Gesetz die Vielzahl von Service-Dienstleistern im Bereich Outsoursing: Von einer Firma-X besteht eine Remotezugang für die Servicierung eines Servers beim Kunden, der Dienstleister erhält ungebetenen Besuch auf seiner Website, wo Kunden einen LOGIN-Account besitzen. Was nun?

Eine weitere Frage, die sich mir stellt, ist die Frage der Durchführung dieses Gesetzes: wie kann der Staat überprüfen, ob ich meiner Meldepflicht nachgekommen bin? Den Gedanken, wie die Umsetzung erfolgen könnte, möchte ich hier nicht verfolgen.

Zusammenfassend ist festzustellen, dass die Steigerung des Securitylevels der Unternehmen oberstes Ziel in der Wirtschaft der EU sein muss! Reine - nicht exekutierbare - Gesetzgebung ist dafür zu wenig (und eigentlich unnötig) - im Gegenteil, statt Motivation entsteht Verunsicherung: es gibt kaum ein Unternehmen, das KEINE personenbezogene Daten in irgendeiner Form gespeichert hat, ob in der Buchhaltung oder für pdf-Downloads auf der Kunden-Website.

Der Webserver wird gehackt? Fällt das schon unter die Meldepflicht? In Deutschland ist der BESITZ von Hackersoftware bereits verboten (trifft vor allem Securityfirmen, die keine Tests mehr ausführen dürfen und sicher nicht die Hacker, die meistens im Ausland sitzen). Im nächsten Schritt wird man als Unternehmen gesetzlich "bestraft", wenn man zufällig (oder auch nicht) Ziel eines konzentrierten Profi-Hackerangriffs wird, während der Mitbewerb - mit vielleicht weit geringerem Securitylevel - ungeschoren davonkommt. Viele Gesetze werden anscheinend ohne Berücksichtigung der wirtschaftlichen Folgen verabschiedet.

Sollten Sie Fragen zu diesem Thema oder anderen Securityfragen haben, senden Sie eine kurze E- Mail an die Redaktion.