Sicherheitsbrüche gesetzlich offenlegen?
Kalifornien – ein aufschlussreiches Beispiel

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Das Kalifornische Recht fordert von den Unternehmen, Sicherheitsbrüche offen zu legen, bei denen Kundendaten betroffen sind. Werden die Unternehmen diesseits des großen Teiches davon profitieren, wenn europäische Staaten diesem Beispiel folgen?

Sicherheitsbrüche gesetzlich offenlegen?

Die Liste der Firmen, die das Opfer von Datendiebstahl werden und dann damit an die Öffentlichkeit gehen, nimmt weiter zu. Bei dem letzten Fall, der vom Sicherheitspersonal von MasterCard aufgedeckt wurde, ging es um einen Sicherheitsbruch bei einem der Datenverarbeitungs-Dienstleister für das Kreditkartenunternehmen, nämlich CardSystems Solutions (wir berichteten). Laut MasterCard haben es Sicherheitsmängel im Datenverarbeitungssystem des Dienstleisters einer unbefugten Person gestattet, sich Zugang zu den Kartendaten zu verschaffen – wobei 40 Millionen Nutzer von MasterCard, Visa und American Express in Gefahr gebracht worden sind.

Cardsystems unterliegt jetzt der wachsamen Prüfung des FBI und der Regulierungsbehörde für das Bankwesen des Federal Financial Institutions Examination Councils (FFIEC) in den USA. Diese Behörden führen gesonderte Untersuchungen durch, um festzustellen, ob die Computersysteme und internen Kontrollsysteme von Cardsystems den Sicherheitsrichtlinien der Regierung entsprochen haben.

Behörden zwingen Unternehmen zur Offenheit
Dies muss für jedes Unternehmen eine beängstigende Aussicht sein, da die Untersuchungen bisher unbekannte Schwachpunkte oder andere Verstöße aufdecken könnten. Auch werden sie wahrscheinlich den tagtäglichen Betriebablauf beeinflussen und Druck auf die Mitarbeiter und andere Ressourcen ausüben, wenn diesen Behörden Hilfestellung beim Abruf der erforderlichen Informationen geleistet werden muss.

Der Fall Cardsystems schließt sich an die Informationen an, die von der Abrechnungsstelle von Choice Point, der Bank von Amerika und den Universitäten von Kalifornien und Stanford kamen, die ebenfalls über kürzliche Sicherheitsbrüche berichteten. Sogar die Federal Deposit Insurance Corporation (FDIC), ein von der Regierung geförderter Versicherungsfonds, wurde nicht verschont – ein Fall der umso peinlicher war, da diese Behörde eingesetzt wurde, um” das öffentliche Vertrauen in das amerikanische Finanzsystem zu bewahren und zu fördern”.

Bemerkenswert daran ist, dass all diese Organisationen in den USA angesiedelt sind. Einige mögen annehmen, dass Unternehmen in den USA wesentlich lockerer sind, wenn es darum geht, die Daten ihrer Kunden zu schützen und deshalb öfter zum Opfer von Sicherheitsbrüchen werden. Oder aber, dass unsere amerikanischen Kollegen weniger um ihr öffentliches Ansehen und den potentiellen Schaden für die Aktienkurse besorgt sind, der aus solchen Nachrichten über Sicherheitsbrüche entstehen könnte.

Schaden macht klug – Klugheit in Gesetzesform?
In Wirklichkeit sieht die Realität so aus, dass die Gesetzgebung in einigen amerikanischen Bundesstaaten die Unternehmen zwingt, Sicherheitsbrüche bekannt zu geben, wenn darin Kundendaten involviert waren. Der Security Breach Information Act wurde 2003 erlassen, nachdem in einen Computer der Landesregierung von Kalifornien eingebrochen wurde, der Informationen über Lohn und Gehalt von 200 000 Mitarbeitern gespeichert hatte. Das Gesetz zwingt die Unternehmen, Einbrüche in das IT-Sicherheitssystem zu melden, wenn es dabei zur Enthüllung von personenbezogenen Daten eines Einwohners von Kalifornien gekommen ist, egal ob die Firma ihren Sitz in dem Bundesstat hat oder nicht.

Da andere Bundesstaaten daran arbeiten, in diesem Jahr ähnliche Rechtsvorschriften einzuführen, besteht die Vermutung, dass das Gesetz in Zukunft in den USA landesweit in Kraft gesetzt werden wird. Aber während die USA das Problem der Sicherheitsbrüche anpackt und die Unternehmen zwingt, sauber zu werden – Kalifornien ist schon auf dem Wege ein Schlupfloch zu stopfen, so dass die Offenlegung von Daten durch Diebstahl von Backup-Bändern oder Papier- aufzeichnungen ebenfalls gemeldet werden müssen – die hiesigen Regierungen nur sehr langsam reagieren.

Wir müssen noch ähnliche Gesetze durchbringen, um die britische, deutsche oder französische (oder vielleicht auch die italienische oder portugiesische) Öffentlichkeit insofern zu beruhigen, dass im Falle von Firmen, die beim Schutz von personenbezogenen Informationen versagen, diese Vorfälle nicht mehr unter den Teppich gekehrt werden dürfen.

Sorgfalt und Security-Investitionen nur durch Angst vor Gesetzen?
Aber dies könnte sich schnell ändern. Wenn das amerikanische Gesetz landesweit eingeführt wird, ist die Wahrscheinlichkeit hoch, dass eine europäische Version folgen wird. Auch wenn die Firmen in Europa nicht gerade begeistert sein werden, wenn sie mit Cardsystems in einem Boot sitzen und strenge Überprüfungen durchstehen müssten, so könnten sie doch dazu ermutigt werden, bezüglich der Sicherheit etwas mehr Sorgfalt walten zu lassen. Immerhin könnte es für die IT-Manager leichter werden, Mittel für die häufig erbetenen Verbesserungen im Sicherheitsbereich zur Verfügung gestellt zu bekommen – was bis jetzt bei den meisten Unternehmensleitungen auf taube Ohren stieß.