Der Schrecken eines jeden CISO:
Verdacht auf Datenabfluss

Meine Erfahrungen mit solchen Situationen

Trotz umfangreichen Sicherheitsmassnahmen kommt es manchmal zu Datenabflüssen. Datenabflüsse (englisch data leakage) sind gemäss MELANI (Kapitel 3.1) Sicherheitsvorfälle, bei denen sich unbefugte Drittpersonen Personendaten, Geschäftsgeheimnisse oder andere Daten beschaffen, die nicht für sie bestimmt sind. Der Begriff Datenabfluss ist dabei sehr offen definiert und beinhaltet neben Datendiebstahl und Spionage auch Datenpannen, bei welchen Daten unabsichtlich zugänglich gemacht werden.

Als CISO musste ich mehrfach unbeabsichtigte Datenabflüsse aus unseren Anwendungen untersuchen – zum Glück stellte sich in jedem Fall heraus, dass es sich nicht um Verletzungen des Datenschutzgesetzes handelte. Ich beschreibe hier zur Illustration zwei meiner Erfahrungen.

Das erste Beispiel: Google wusste mehr als wir

Eine Mitarbeiterin informierte mich darüber, dass sie mit ihrem privaten Computer bei einer Google-Suche ein Sitzungsprotokoll entdeckt hatte, von dem sie annahm, dass es nicht öffentlich publiziert worden war. Unsere Nachforschungen ergaben, dass eine falsche Konfiguration eines Testrechners dazu führte, dass dieser für einige Tage aus dem Internet erreichbar war. Diese kurze Zeit reichte, damit Google die Daten in sein Verzeichnis aufnahm und in die Trefferliste integrierte. Dank der Aufmerksamkeit der Mitarbeiterin entdeckten wir diesen Datenabfluss und konnten ihn beheben. Ohne sie wäre er unerkannt geblieben oder von Dritten erkannt worden.

Das zweite Beispiel: Die Analyse eines Datenabflusses ist aufwändig

Unbeabsichtigte Datenabflüsse sind häufig die Folge von Programmierfehlern. In einem Fall entdeckten wir einen solchen Fehler, der einen Datenabfluss verursachte, erst nach 3 Monaten. Natürlich brach sofort Hektik aus: Zuerst mussten wir den Programmierfehler beheben, der den Datenabfluss ermöglicht hatte, um den Schaden nicht noch grösser werden zu lassen. Das gelang uns zum Glück bereits nach einem Arbeitstag. In einem zweiten Schritt analysierten wir mehrere Hunderttausend Zeilen Text in Protokolldateien, um das Schadensausmass zu eruieren. Dazu mussten wir unzählige Protokolldateien der vorangegangenen drei Monate untersuchen. Normalerweise wurden Protokolldateien bei uns nach 3 Monaten gelöscht. Wir stoppten deshalb alle Löschungen, wobei allerdings eine Datei vergessen ging. Diese Datei mussten wir dann aus einer Datensicherung wiederherstellen, was uns weitere 2 Arbeitstage kostete, bevor wir endlich mit der Analyse beginnen konnten. Unterdessen waren seit der Entdeckung des Datenabflusses 3 Arbeitstage oder 72 Stunden vergangen…

Die EU fordert im EU-DSGVO, dass spätestens 72 Stunden nach dem Erkennen eines Datenabflusses die Situation analysiert wird und die zuständigen Behörden informiert werden. Gemessen an diesem Zeitplan waren wir also hoffnungslos im Rückstand.

Nach 6 Arbeitstagen konnten wir uns das erste Mal ein präzises Bild des Datenabflusses machen und beruhigt erkennen, dass keine schützenswerten Daten abgeflossen waren. Die vollständige Entwarnung konnten wir nach 10 Arbeitstagen geben. Während dieser 10 Arbeitstage arbeiteten 12 Personen mit ca. 36 Tagen Aufwand mit. Verzögerungen anderer Arbeiten und Projekte waren die Folge.

Mein Fazit aus diesen Ereignissen:

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).