#RSAC: Brauchen die USA ein nationales Gesetz zur Meldung von Sicherheitsverletzungen?

Cyber Security News

Wenn eine Sicherheitsverletzung in den USA auftritt, gibt es heute keine einzelne Behörde oder ein nationales Gesetz zur Meldung von Sicherheitsverletzungen, das befolgt werden muss. Das könnte sich jedoch in naher Zukunft ändern, so eine Expertenrunde, die auf der RSA-Konferenz 2021 am 18. Mai sprach.

Luke Dembosky, Partner bei der Anwaltskanzlei Debevoise & Plimpton LLP, kommentierte, dass der aktuelle Stand der Berichterstattung über Sicherheitsverletzungen in den USA ein Flickenteppich von Gesetzen und Richtlinien ist, die je nach Gerichtsbarkeit variieren. Er wies darauf hin, dass jeder einzelne Bundesstaat die Regeln festlegt, die bestimmen, ob eine Organisation im Falle einer Datenschutzverletzung den staatlichen Behörden sowie den betroffenen Personen Bericht erstatten muss.

“Es ist eine große Herausforderung für Unternehmen, die grenzüberschreitend tätig sind, herauszufinden, was die verschiedenen potenziellen Meldepflichten für Datenschutzverletzungen sind”, sagte Dembosky.

Der (Solar)Wind, der das nationale Gesetz zur Meldung von Datenschutzverletzungen vorantreibt

Adam Hickey, stellvertretender stellvertretender Generalstaatsanwalt, Abteilung für nationale Sicherheit im US-Justizministerium, erklärte, dass es in den letzten Jahren eine Reihe von hochkarätigen Datenschutzverletzungen gegeben hat, die kritische Infrastrukturen in verschiedenen Sektoren betroffen haben. Ohne einen einheitlichen Berichtsrahmen erhält die Bundesregierung nicht immer alle Daten und Erkenntnisse, die sie benötigt.

“Wir stehen vor der Herausforderung, den Überblick über die Geschehnisse zu behalten”, sagte Hickey.

Zu den jüngsten hochkarätigen Vorfällen von Datenschutzverletzungen, die während des Panels diskutiert wurden, gehörte die SolarWinds-Datenverletzung. Tonya Ugoretz, stellvertretende stellvertretende Direktorin beim FBI, bemerkte, dass oft, wenn es einen Vorstoß für eine Gesetzgebung gibt, um eine bestimmte Lücke zu schließen, wie bei dem nationalen Gesetz zur Meldung von Datenschutzverletzungen, dieser Vorstoß durch etwas ausgelöst wird, das nicht passiert ist, durch jemanden, der keine Maßnahmen ergriffen hat. Das ist bei dem SolarWinds-Vorfall nicht passiert.

Ugoretz sagte, dass der Vorfall bei SolarWinds schnell vom Sicherheitsanbieter FireEye gemeldet wurde, der selbst Opfer eines Verstoßes war.

“Sie [FireEye] haben das Richtige getan”, sagte Ugoretz. “Fast sofort, als sie bemerkten, dass sie das Opfer dieses sehr raffinierten Eindringens waren, haben sie sich an die Regierung gewandt.”

Ein Teil der Art und Weise, wie man demonstriert, dass man etwas ernst nimmt und alles tut, was man als Unternehmen tun kann, ist zu sagen: Ich arbeite mit den Strafverfolgungsbehörden zusammen, um das Problem anzugehen.Adam Hickey

Sie fügte hinzu, dass diese Art der schnellen Benachrichtigung nicht immer passiert und dass die Tatsache, dass dies der Fall war, dazu beigetragen haben könnte, noch mehr Datenverluste zu verhindern, was ein Thema war, das Hickey wiederholte. Hickey sagte, dass dank FireEye, das die Hand hob und sagte: “Dies geschieht in meinem Netzwerk”, die Bundesregierung in der Lage war, schnell zu handeln, um zu untersuchen und zu helfen, das Risiko zu begrenzen.

Warum ein nationales Gesetz zur Meldung von Datenverstößen erforderlich ist

Hickey betonte, dass ein nationales Gesetz zur Meldung von Datenschutzverletzungen notwendig ist, um den Strafverfolgungsbehörden Transparenz zu verschaffen und Informationen zu verbreiten, damit potenzielle Opfer geschützt werden können.

Generell, so Hickey, sind Unternehmen heute aus mehreren Gründen eher bereit, mit der Regierung in Kontakt zu treten und mit den Strafverfolgungsbehörden zusammenzuarbeiten als jemals zuvor.

“In der Vergangenheit war eine Datenpanne eine Art Schandfleck, und es gab einen Schamfaktor, so dass man nicht wollte, dass es herauskommt”, sagte Hickey. “Jetzt gibt es eine Art trauriges Verständnis dafür, dass dies ein Teil der Sterblichkeit von Computernetzwerken ist.”

Mit der Erkenntnis, dass Datenschutzverletzungen passieren, so Hickey, hat sich die Aufmerksamkeit der Unternehmen nicht nur auf die Verteidigung, sondern auch auf die Widerstandsfähigkeit und Reputation gerichtet.

“Ein Teil der Art und Weise, wie man demonstriert, dass man etwas ernst nimmt und alles tut, was man als Unternehmen tun kann, ist zu sagen, ich arbeite mit den Strafverfolgungsbehörden zusammen, um das Problem anzugehen”, kommentierte Hickey.

Wie das nationale Gesetz zur Meldung von Datenschutzverletzungen aussehen sollte

Ein wichtiges Ziel für ein potenzielles nationales Gesetz zur Meldung von Sicherheitsverletzungen, über das sich alle Diskussionsteilnehmer einig waren, war die Idee, dass es die Meldung von Sicherheitsverletzungen einfacher und nicht schwieriger machen sollte als das derzeitige Patchwork-Modell.

Ugoretz betonte, dass ein nationaler Standard für die Meldung von Sicherheitsverletzungen den Unternehmen weniger Kopfzerbrechen bereiten wird, was besonders in dem Moment wichtig ist, in dem sie von einem Einbruch betroffen sind. Sie wünscht sich ein klares und präzises Gesetz, das Opfern und Strafverfolgungsbehörden dabei hilft, herauszufinden, was passiert ist, und weitere Risiken zu vermeiden.

“Wir denken an jeden dieser Einbrüche, als wäre es ein Mord, der von einem Serienmörder verübt wird, bei dem derjenige, der dahinter steckt, wieder zuschlagen wird, und er hinterlässt Hinweise, an jedem Tatort”, sagte Ugoretz. “Dieses Meldegesetz wird uns helfen, diese Hinweise aufzugreifen und sie mit anderen zu teilen, bevor sie dann zu weiteren Opfern werden.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com