Wie würde ich mich fühlen, wenn das am Times Square angeschlagen wäre? Anwälte warnen: Passen Sie auf, was Sie über Datenschutzverletzungen sagen

Cyber Security News

Blick auf Jumbotrons am Times Square. Ein Anwalt warnte vor den rechtlichen Konsequenzen, wenn man intern über eine Sicherheitsverletzung plaudert. Er sagte, wenn sich eine Person nicht wohl dabei fühlt, dass eine Nachricht am Times Square ausgestrahlt wird, dann sollte sie besser nicht kommuniziert werden. (Foto: Scott Gries/Getty Images)

Wenn Sie das Thema Kommunikation zur Reaktion auf einen Vorfall ansprechen, denken Sie vielleicht an eine Benachrichtigung über eine Sicherheitsverletzung, die auf einer Website veröffentlicht oder per E-Mail oder Brief an betroffene Kunden gesendet wird. Aber die interne Kommunikation im Zusammenhang mit Sicherheitsvorfällen ist genauso wichtig. Emotional aufgeladene, sarkastische oder übermäßig freizügige Gespräche zwischen Mitarbeitern könnten dem Arbeitgeber bei einer rechtlichen Offenlegung zum Verhängnis werden.

“Die meisten Anwälte der Kläger werfen ein sehr weites Netz aus, wenn es um die Offenlegung geht, so dass sie nach den gefürchteten ‘allen Informationen’ fragen werden, und das bedeutet, dass wir nicht nur über formelle Berichte oder überlegte Kommunikation sprechen”, sagte Ann Marie Mortimer, geschäftsführende Partnerin und Co-Leiterin der Praxis für Handelsstreitigkeiten bei Hunton Andrews Kurth LLP, am Dienstag in einer Podiumsdiskussion zur Reaktion auf Vorfälle auf der RSA Conference 2021. “Wir reden über Kommunikation, die in der Hitze des Gefechts eines Sicherheitsvorfalls stattfindet.”

Das bedeutet, dass nicht nur E-Mails, sondern auch informelle Chats über Text- oder Business-Kommunikationsplattformen gegen eine Person oder das Unternehmen verwendet werden könnten, um ein Fehlverhalten bei einem Sicherheitsvorfall zu beweisen, selbst wenn die Organisation verantwortungsbewusst gehandelt haben mag.

“Diese Off-Channel-Kommunikationsformen können echtes Gold für jemanden sein, der versucht, ein Szenario zu rekonstruieren – insbesondere, dass das Unternehmen bereits von einer Sicherheitslücke wusste oder nicht angemessen oder schnell genug reagiert hat”, so Mortimer.

“Denken Sie also daran, wenn Sie Ihr Slack oder Ihren Text oder irgendeine andere App verwenden, schreiben Sie nicht mit unsichtbarer Tinte. Diese Dinge werden in einem Rechtsstreit tatsächlich produziert werden – und obwohl es schwer ist, diese Denkweise im Moment anzunehmen, müssen Sie jetzt anfangen, sich selbst zu disziplinieren, damit eine E-Mail, die Sie in der Hitze des Gefechts abgefeuert haben, nicht zurückkommt, um Sie in einer eidesstattlichen Aussage zu verfolgen.”

Selbst wenn eine schriftliche Äußerung im Scherz gemeint war oder eine Übertreibung dessen ist, was tatsächlich passiert ist, könnten gegnerische Anwälte, die einen Zivilprozess über Sicherheit oder Datenschutz führen, Ihre eigenen Worte gegen Sie verwenden. Daher sollten Mitarbeiter um jeden Preis vermeiden, irgendetwas schriftlich festzuhalten, das so interpretiert werden könnte, dass es das Unternehmen als fahrlässig erscheinen lässt. Mortimer bezeichnete dieses Konzept als “Kommunikationshygiene”.

“Bevor Sie die Nachricht abschicken, denken Sie an sich selbst: Wie würde ich mich fühlen, wenn das in Riesenschrift aufgeblasen und mitten auf dem Times Square ausgehängt würde? Würde ich mich mit dieser Kommunikation wohlfühlen? Denn das ist der Standard, den Sie annehmen müssen”, sagte sie.

Diese Faustregel gilt nicht nur für die Kommunikation nach einer Sicherheitsverletzung, sondern auch schon vor einem Sicherheitsvorfall, fügte Mortimer hinzu. Schließlich können Anwälte in die Historie zurückblicken, um zu sehen, was das Unternehmen wusste, und wann.

“Manchmal sind es nicht die spezifischen Worte, die man benutzt, sondern der Ton; und der Ton ist oft giftig”, fügte sein Kollege Brian Levine, Managing Director bei EY Parthenon, hinzu. “Ich habe zahlreiche Fälle gesehen, in denen ein Fall ins Leere lief, er sollte abgewiesen werden… und dann wurden, aus welchen Gründen auch immer, E-Mails veröffentlicht.”

Das Ergebnis war, dass die Kläger plötzlich die Oberhand gewannen. “Jetzt wird es auf einen Vergleich hinauslaufen, denn obwohl es nur Rauch ist – es ist kein Feuer – ist der Rauch groß genug, dass die Firma nicht wirklich das Risiko eingehen will, vor Gericht zu gehen.”

Natürlich bedenkt ein typischer Mitarbeiter eines Sicherheitsteams möglicherweise nicht die rechtlichen Konsequenzen seiner Worte. Daher sollten Unternehmen ihre Mitarbeiter über diese Probleme informieren und sie darin schulen, auf das, was sie schriftlich festhalten, besser zu achten, so Mortimer.

Und es gibt sogar noch einen zweiten Grund, warum Mitarbeiter nach einem Sicherheitsverstoß auf ihre interne Kommunikation achten sollten: Der Cyberkriminelle, der die Kompromittierung durchgeführt hat, sieht möglicherweise zu. “Und das kann Ihre Fähigkeit beeinträchtigen, effektiv mit dem Kriminellen zu verhandeln”, sagte Levine. “Wenn es sich um eine Ransomware-Situation handelt, kann der Preis umso höher ausfallen, je heftiger Ihre Reaktion ausfällt.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com