Die fünf Phasen der Trauer: Umgang mit einer Datenschutzverletzung
Startseite » Security Boulevard (Original) » Die fünf Phasen der Trauer: Umgang mit einer Datenpanne
Sind Sie Opfer einer Datenpanne geworden? Du bist nicht allein.
Als Experte für Incident Response (IR) habe ich viele verschiedene Arten von Unternehmensmitarbeitern kennengelernt, vom IT-Personal bis zur Führungsebene. Leider war es wahrscheinlich der schlimmste Tag überhaupt, und in unserer Welt ist es höchstwahrscheinlich auf Phishing oder Ransomware zurückzuführen. Laut dem Verizon Data Breach Investigations Report (2023 DBIR) haben sich die durchschnittlichen Kosten pro Ransomware in den letzten zwei Jahren auf 26.000 US-Dollar mehr als verdoppelt, wobei 95 % der Vorfälle, bei denen ein Schaden entstand, zwischen 1 und 2,25 Millionen US-Dollar kosteten.
Viele erfahrene Mitarbeiter der Strafverfolgungsbehörden teilen die gleiche Meinung, insbesondere diejenigen, die mit schweren Straftaten befasst sind. Wie diese Einsatzkräfte betreten wir einen aktiven Tatort. Die Emotionen sind hoch, die Beteiligten sind gestresst und es fällt ihnen schwer zu verstehen, was passiert ist, warum und, was noch wichtiger ist, wie sie den Betrieb wieder aufnehmen können.
Während die Kunden die Hauptopfer von Sicherheitsvorfällen sind, gefolgt vom Unternehmen, sind auch die Informationssicherheitsteams an vorderster Front Opfer. Das Gefühl der Niederlage, des Verlusts, des Versagens der Aufsicht und das Wissen, dass sie dadurch möglicherweise arbeitslos werden könnten, sind harte Realitäten, mit denen Teams konfrontiert sind, insbesondere wenn Budgetentscheidungen ohne ihr Mitwirken getroffen wurden oder wenn das Unternehmen keinen Geschäftskontinuitätsplan hatte. Oftmals durchlaufen Opfer die gleichen fünf Phasen der Trauer wie Opfer anderer Straftaten.
Die fünf Phasen der Trauer – Verleugnung, Wut, Feilschen, Depression und Akzeptanz – wurden von Elisabeth Kübler-Ross in einem von ihr veröffentlichten Buch mit dem Titel „Über Tod und Sterben“ entwickelt. Das Modell wurde verwendet, um todkranke Menschen zu beschreiben, die vor dem Tod standen, wurde aber schnell als Denkweise über Trauer im Allgemeinen übernommen. Nachdem wir viele Kunden durch Datenschutzverletzungen bis zur Behebung geführt haben, haben wir das „Fünf Phasen der Trauer“-Modell in Aktion gesehen.
Wenn wir dieses Modell aus der Perspektive der Informationssicherheit betrachten, haben wir die fünf Phasen der Trauer bei Vorfallreaktionen beschrieben und erläutert, wie man sie durchläuft, um ein besseres Ergebnis zu erzielen.
„Das ist uns auf keinen Fall passiert.“
„Ich kann das wirklich nicht glauben.“
Dies sind nur einige Zitate, die wir von Incident-Response-Kunden (IR) in den frühen Phasen nach einem Verstoß gehört haben. Obwohl es wichtig ist, diese hässliche Wahrheit anzuerkennen und Mitgefühl für die aktuelle Situation zu haben, sollten Sie keine Zeit verlieren. Sie müssen schnell handeln.
Seien Sie sich darüber im Klaren, dass der Bedrohungsakteur gesund und munter ist. Jetzt ist es an der Zeit, voranzukommen.
„Wie konntest du das zulassen?“
In diesem Stadium setzt die Realität ein und die Leute können wütend werden. Es könnte Ärger gegenüber dem Management geben, weil es in den letzten Jahren aus Budgetgründen an geeigneten Käufen gefehlt hat, oder Ärger gegenüber Dritten wegen der Misswirtschaft mit den Informationen des Unternehmens, auch Schuldzuweisungen genannt.
Die Realität: Diese Phase ist höchst unproduktiv und die nutzloseste im gesamten Prozess. Nicht nur, dass das Geschäft bereits gestört ist, sondern das Problem könnte durch den Versuch einer Person, Vergeltung zu üben, noch verschärft werden.
In diesem Szenario ist es unerlässlich, tief durchzuatmen, langsamer zu werden und sich zu konzentrieren. Sie möchten nicht, dass jemand mit den Schlüsseln zum Königreich die Tür verlässt.
In dieser Phase müssen Sie alle daran erinnern, dass Sie alle hier sind, um gemeinsam eine Aufgabe zu erledigen. Konzentrieren Sie das Gespräch wieder darauf, den Ärger so schnell wie möglich zu überwinden.
Verhandlungen können zwei verschiedene Formen annehmen. Einerseits verhandeln die Mitarbeiter möglicherweise intern, indem sie denken: „Vielleicht werden alle meine Probleme behoben, wenn ich diese Antivirensoftware herunterlade.“
Das Schwingen eines Zauberstabs wird nicht alle Ihre Probleme lösen. Wenn Sie beispielsweise Opfer von Ransomware geworden sind, sind die Bedrohungsakteure bereits eingebrochen. Tatsächlich befinden sie sich seit mindestens 24 Stunden in Ihrem Netzwerk; in manchen Fällen Monate, wenn nicht Jahre. Die Einführung von Ransomware ist eine der letzten Phasen einer Datenpanne; Sie haben gerade ihren Angriff geplant und beschlossen, zu explodieren, als Sie es am wenigsten erwartet hatten.
Andererseits ist es die Kehrseite der Medaille, mit böswilligen Akteuren zu verhandeln, um Ihr Unternehmen wieder online zu bringen. Verhandlungen im Zusammenhang mit Ransomware sind der Grund dafür, dass ganze Ökosysteme rund um Versicherungsanbieter, Koordinatoren von Verstößen und Verhandlungsführer für Ransomware existieren, um dem Unternehmen dabei zu helfen, seine Dienste wiederherzustellen oder tragfähige Wege zu finden, um wieder ins Geschäft zu kommen.
Wenn Ihr Unternehmen Opfer von Ransomware wird, können wir nicht genug betonen, wie wichtig es ist, mit einem Expertenteam zusammenzuarbeiten, das Sie bei der Beseitigung, Wiederherstellung und Wiederherstellung gestohlener, gelöschter oder verschlüsselter Daten unterstützt. Das Letzte, was Sie wollen, ist, dass der Bedrohungsakteur noch tiefer vordringt, als er es bereits getan hat, was möglicherweise dazu führt, dass Sie ein höheres Lösegeld zahlen und ein größeres Risiko für Ihr Unternehmen darstellen.
„Ich wünschte, wir hätten die Dinge anders gehandhabt.“
„Es tut mir leid, dass das unter unserer Aufsicht passiert ist.“
Depressionen treten normalerweise zwischen der 48. und 72. Stunde auf. Dann wird klar, dass die IT-Mitarbeiter die Hauptlast des Sturms tragen werden, insbesondere wenn die Organisation nie einen ordnungsgemäßen Plan zur Geschäftskontinuität und Notfallwiederherstellung erstellt hat.
In dieser Phase können die Mitarbeiter emotional und geistig müde werden. Die Produktivität nimmt ab und Zweifel machen sich breit. Darüber hinaus benötigen die Menschen regelmäßig Schlaf und Nahrung, was berücksichtigt werden muss.
Die Realität: Du wirst das durchstehen. Anstatt in der Depressionsphase zu verharren, konzentrieren Sie sich darauf, die Prioritätenliste in Angriff zu nehmen, um das Geschäft wieder online zu bringen.
Wie die Wutphase kann diese Phase sehr unproduktiv und/oder am wenigsten produktiv sein. Der Weg zur Sanierung kann lang sein, aber am Ende des Tunnels gibt es Licht. Man muss sich nur weiter durchsetzen, um es zu sehen.
Zu gegebener Zeit werden sie die Depressionsphase überwinden und die letzte Phase erreichen – die Akzeptanz.
„Wir haben einen langen Weg vor uns. Wie werden wir das angehen?“
„Wie verhindern wir, dass so etwas jemals wieder passiert?“
Die meisten, wenn nicht jedes betroffene Unternehmen erreicht schließlich Akzeptanz und der Geschäftsbetrieb wird schließlich wieder aufgenommen. Aus der Depressionsphase herauszukommen und Akzeptanz zu finden, kann für Unternehmen ein großer Meilenstein sein.
Je schneller Sie das vorliegende Problem akzeptieren, desto schneller kann Ihr Unternehmen Lösungen finden und wieder mit der Arbeit beginnen.
Datenschutzverletzungen sind zu häufigen Ereignissen geworden, die sich auf vielfältige Weise auf Unternehmen auswirken. Sie können aufgrund von Produktivitätseinbußen, Geschäftsverlusten während Ausfallzeiten, Anwaltskosten und Sanierungskosten zu erheblichen Umsatzeinbußen führen.
Diese Auswirkungen könnten noch schlimmer sein, wenn Ihr Unternehmen kritische Infrastrukturen betreibt. Versorgungseinrichtungen, die für das Überleben der Menschheit von grundlegender Bedeutung sind, wie Strom, Wasser und Energie, könnten beeinträchtigt werden, und die allgemeine Bevölkerung könnte negativ betroffen sein.
Der Bericht „Cost of a Data Breach“ von IBM ergab, dass die durchschnittlichen Gesamtkosten einer Datenschutzverletzung um fast 10 % auf 4,24 Millionen US-Dollar gestiegen sind, den höchsten jemals verzeichneten Wert. Als vermutet wurde, dass Remote-Arbeit ein Grund für den Verstoß war, waren die Kosten sogar noch höher und beliefen sich auf 4,96 Millionen US-Dollar.
1. Führen Sie eine Tischübung durch.
Es gibt nichts, was Ihr Team besser auf einen realen Angriff vorbereiten könnte als ein simuliertes Ereignis. Diese simulierten realen Cybersicherheits- und physischen Sicherheitsvorfallszenarien schulen Führungskräfte und Mitarbeiter in der Erkennung von Sicherheitsverletzungen und testen den Reaktions- und Bereitschaftsplan Ihres Unternehmens.
2. Erstellen Sie einen Geschäftswiederherstellungs- und Kontinuitätsplan und halten Sie ein Backup bereit.
Ein funktionierender Business-Continuity- und Disaster-Recovery-Plan ist für Unternehmen jeder Größe von entscheidender Bedeutung. Wenn Sie einen Plan haben, der im Falle eines Verstoßes umgesetzt werden kann, müssen Sie sich weniger Sorgen machen und haben mehr Zeit für die Rückkehr zur gewohnten Geschäftstätigkeit. Dieser Plan kann sogar direkt in das Design Ihres Backup-Prozesses integriert werden, sodass ein Kollege in Ihrem Team für den Fall, dass Sie ihn nicht ausführen können, die Datenspeicherung und das Backup richtig verwalten kann.
3. Investieren Sie in einen Penetrationstest.
Mithilfe verschiedener Tools und Techniken untersuchen Pentester externe und über das Internet zugängliche Systeme sowie intern zugängliche Systeme auf Schwachstellen in den Bereichen Patching, System- und Dienstkonfiguration und Authentifizierung. Durch einen Penetrationstest kann Ihr Unternehmen Informationen sammeln, um zu verstehen, wo Bedrohungen liegen, und eine Roadmap zur Behebung mit strategischen Empfehlungen anbieten, die bei der künftigen Lösung systemischer Probleme hilft. Diese Methode misst auch die Wirksamkeit Ihrer Lösungen und die Qualität der Sicherheitssichtbarkeit Ihres SOC.
1. Führen Sie eine Tischübung durch.2. Erstellen Sie einen Geschäftswiederherstellungs- und Kontinuitätsplan und halten Sie ein Backup bereit.3. Investieren Sie in einen Penetrationstest.