Verantwortungsvoller Umgang mit Daten - auch nach einem Security Incident

Man will es kaum glauben, aber man kann im Falle von Datendiebstahl auch gute Presse bekommen. Es kommt darauf an, wie man sich in so einem Fall verhält.
An der University of Connecticut wurde auf einem Rechner, auf dem sich persönliche Daten tausender Studenten und Mitarbeiter befanden, ein Rootkit entdeckt. Das anschließende Vorgehen der Verantwortlichen wurde positiv aufgenommen, viele weitere Institutionen wollen das Procedere übernehmen.

Auf dem Rechner waren unter anderem die Sozialversicherungsnummern der Personen gespeichert - eine Tatsache, die anderen Institutionen bei so einem Vorfall das Genick gebrochen hat. Eigentlich sollte ein solcher Einbruch nicht passieren - aber falls doch, ist ein Vorgehen in dieser Art sicher nicht schlecht:

- Keine Panik, besonnenes Vorgehen und Schadensanalyse. Dies hat in diesem Fall wohl gezeigt, daß das Rootkit faktisch nicht genutzt wurde.
- Problem kommunizieren - und zwar in einer sachlichen, allgemeinverständlichen Art. Das beugt wohl der Panikmache seitens der Presse und bei den Betroffenen vor.
- Die Betroffenen aktiv informieren anstatt sie die Nachricht aus der Presse erfahren zu lassen.
- Die Betroffenen nicht im Regen stehen lassen. Hier wurde beispielsweise ein Portal für die Betroffenen eingerichtet, das sie über den Stand der Ermittlungen informiert, aber auch Informationen für den "Fall der Fälle" bietet. So findet man hier beispielsweise genaue Informationen, wie vorzugehen ist, wenn man den Verdacht hat, daß jemand die eigenen persönlichen Daten für das Anlegen von Konten oder Kreditkarten mißbraucht.
- Und natürlich: Lessons learned. Beim nächsten Mal besser machen, und andere an dem Wissen teilhaben lassen. Hier ist nicht nur die Rechnersicherheit direkt gemeint, man denkt wohl auch am dortigen Campus darüber nach, wie man datensparsamer arbeiten kann oder wo sich die Sozialversicherungsnummer als Identifikation vermeiden läßt.

comments powered by Disqus