BLACK HAT USA: Wenn ein Unternehmen Opfer eines Cyberangriffs wird, stehen Führungskräfte vor einem Tsunami an Herausforderungen: Eindämmung eines Verstoßes, Behebung, Information von Kunden und Stakeholdern, Identifizierung der Verantwortlichen und Durchführung einer forensischen Analyse des Vorfalls – um nur einige zu nennen .
Es sind jedoch nicht nur die realen Probleme, denen sich Unternehmen heute stellen müssen: Die rechtlichen Auswirkungen eines Sicherheitsvorfalls sind wichtiger denn je zu berücksichtigen.
Im Gespräch mit Teilnehmern von Black Hat USA in Las Vegas sagte Nick Merker, Partner der in Indianapolis ansässigen Anwaltskanzlei Ice Miller LLP, dass er, bevor er Anwalt wurde, als Informationssicherheitsexperte gearbeitet habe – und diese Erfahrung ermöglichte ihm den Übergang in die Rechtsabteilung Feld durch eine Cybersicherheitslinse.
Nachdem er an der rechtlichen Seite von über 500 Sicherheitsvorfällen beteiligt war, darunter alles vom Diebstahl eines Laptops bis hin zu größeren Ransomware-Vorfällen, sagte Merker, dass viele der Fallstricke, die er erlebte, „mit einem einfache Unterhaltung.”
Wenn Anwälte in einen Cybersicherheitsvorfall einbezogen werden, müssen sie Bereiche wie Datenschutzstandards (wie HIPAA oder DSGVO), Versicherungsschutz, Haftung, Beweissicherung und die Möglichkeit von Klagen und Sammelklagen berücksichtigen.
Robuste IT-Systeme reichen nicht mehr aus, um sich vor finanziellen und Reputationsschäden durch Cyberangriffe zu schützen, und es liegt an den Rechtsteams, den Opfern zu helfen, im Nachgang die richtigen Entscheidungen zu treffen.
Laut Merker finden sich während eines Cybersicherheitsvorfalls “IT-Experten und Sicherheitsleute, Leute, die keine Anwälte sind, [oft] in einer seltsamen Lösung wieder, bei der sie wie ein Anwalt denken oder zumindest einen haben müssen.”
Eines der Hauptprobleme, die Unternehmen berücksichtigen müssen, ist das Anwaltsgeheimnis. Dadurch soll sichergestellt werden, dass ein Mandant, der sich von einem Anwalt beraten lassen möchte, sagen kann, was er will, und die Vertraulichkeit wahren – und der Anwalt kann nicht gezwungen werden, gegen ihn auszusagen.
Es gibt jedoch Missverständnisse bezüglich dieses Konzepts – nicht alles, was Sie sagen, ist privilegiert. Es kann sich um privilegierte Kommunikation handeln, aber das bedeutet nicht, dass der Gegenstand privilegiert ist, wie etwa die Offenlegung von Fakten im Zusammenhang mit einer Datenschutzverletzung oder einem Cyberangriff.
“Dies bedeutet nicht, dass die einem Sicherheitsvorfall zugrunde liegenden Faktoren privilegiert sind”, sagte der Anwalt. “Das ist eine wichtige Sache, über die man nachdenken sollte.”
Wenn Sie die Berechtigung behalten möchten, müssen Sie “aufschreiben” und sicherstellen, dass zwischen Ermittlungen, Berichten und forensischen Aktivitäten definierte Grenzen bestehen. Insbesondere wenn Sie möchten, dass Untersuchungen privilegiert sind, sollten diese getrennt und getrennt von normalen geschäftlichen Untersuchungen durchgeführt werden.
Ein “zu 100 Prozent separates Team sollte vorhanden sein” und alle Berichte zu einem Vorfall sollten ” nur zur Prozessvorbereitung und nicht als Geschäftsergebnisbericht verwendet”, kommentierte Merker.
Darüber hinaus ist zu beachten, dass Unternehmen auf Privilegien verzichten können, aber nicht unbedingt die Rosinen auswählen können, auf welche Bereiche verzichtet werden soll. Es kann in einigen Rechtsordnungen ein “Alles oder nichts”-Ansatz sein, und anstatt “Ihren Kuchen zu haben und ihn auch zu essen”, können Versuche, dies zu tun, weitere rechtliche Herausforderungen mit sich bringen.
Als Beispiel wird ein Dokument mit redaktionellen Änderungen vor Gericht eingereicht, während das vollständige Dokument ohne redaktionelle Änderungen den Aufsichtsbehörden zur Verfügung gestellt wurde. Es kann sein, dass dieser Versuch, Privilegien teilweise zu nutzen, fehlschlagen kann.
Darüber hinaus sollten privilegierte Informationen innerhalb geschützter Mauern bleiben. Der Anwalt sagt, dass die Weitergabe von Informationen, etwa per E-Mail oder durch den Wasserkühler, zu einer Ablagerung führen und als Privilegierungsverzicht gewertet werden könnte.
Ein weiterer rechtlicher Anlass betrifft die jüngste Warnung des OFAC vor möglichen Sanktionen bei der Genehmigung von Ransomware-Zahlungen – insbesondere wenn jemand als Teil einer kriminellen Kette bezahlt, die in einem Gebiet mit wirtschaftlichen Einschränkungen wie dem Iran oder Kuba landet. Dies kann eine individuelle oder unternehmerische Haftung nach sich ziehen und schwere Strafen nach sich ziehen – oder sogar eine Gefängnisstrafe nach sich ziehen.
Wenn Sie sich in einem Ransomware-Ereignis befinden und das Lösegeld zahlen müssen, um wieder online zu gehen, sagt Merker Ihnen sollte über ein risikobasiertes Compliance-Programm verfügen; eine solide Struktur und Risikobewertungen dafür, ob Sie einen Bedrohungsakteur bezahlen oder nicht, und Sie sollten sofort die Strafverfolgungsbehörden einschalten. Dies könnte ein wesentlicher Faktor sein, der das letztendliche Ergebnis bestimmt, stellte der Rechtsexperte fest.
“[Auch] Sie möchten schnell mit uns in Kontakt treten”, fügte Merker hinzu.
Merker betonte, dass Unternehmen in einer Vorfallssituation häufiger “einen Vorfallreaktionsplan verwenden müssen”, und sagte, dass die Dokumentation ein Hauptaugenmerk sein sollte. Zeitpläne, Protokolle, wichtige Entscheidungen und Statuszusammenfassungen sollten aufbewahrt werden, da Aufsichtsbehörden – oder Kläger – Fragen stellen und Sie wissen müssen, “was Sie getan haben und warum Sie es getan haben”.
“Man muss eine Geschichte darüber aufbauen, was man als Unternehmen tatsächlich gemacht hat”, sagt Merker. „Dies wird auch die Verwahrungskette schützen [und] Sie möchten sicherstellen, dass Sie nicht versehentlich auf Privilegien verzichten.“
Frühere und verwandte Berichterstattung
Black Hat: Wenn Sie mit Penetrationstests a Akte der Verhaftung von Straftaten
Anklage gegen das Sicherheitsteam von Coalfire fallengelassen, das während eines Pen-Tests in das Gericht eingebrochen war
Cybersicherheitsfirmen kämpfen gegen DMCA-Regeln wegen gutgläubiger Forschung
Hast du einen Tipp? Holen Sie sich sicher über WhatsApp in Kontakt treten | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Rechtliche Sicherheit TV-Datenverwaltung CXO-Rechenzentren 