Und dann ist plötzlich Krisenkommunikation gefragt
Die FAZ hat heute den Wirtschaftsteil mit dem Aufmacher “Wirtschaft im Visier der Cyber-Kriminellen” auf der ersten Seite gestartet. In dem Artikel werden zwei aktuelle Fälle des Datendiebstahls aufgeführt. Zum Einen der Austausch tausender von Kreditkarten durch die Citibank, da es offensichtlich Datenlecks bei den Kartenanbietern gegeben hat, zum Anderen der Mißbrauch von Bewerberdaten von PwC.
Bei dem Wirtschaftsprüfer sind die Daten von über 50.000 Bewerbern aus einer Bewerber-Datenbank abgegriffen worden. Laut einer Reportage des Wirtschaftsmagazin WISO sollen die Datendiebe mit mit diesen Daten versucht haben mittels Brute Force-Angriffen, Zugriff auf Online-Zahlungssysteme zu erhalten. PwC hat unverzüglich Strafanzeige gestellt und den Staatsanwalt eingeschaltet. Die Datenbank wurde gesperrt. Die Spuren führen zu einem Großrechner in China.
Die Betroffenen wurden vom ZDF per email informiert.
Dieses Beispiel zeigt einmal mehr, wie schnell ein Unternehmen in das Schlaglicht der Öffentlichkeit geraten kann und wie wichtig eine schnelle und offene Kommunikation – wie im Falle von PwC – zur Schadensbegrenzung ist.
Im zweiten Teil des Artikels wird auf die Einrichtung von Frühwarnstellen im Rahmen des “Nationalen Plans zum Schutz der Informationsinfrastrukturen” KITIS eingegangen.
Weia, das war nun wirklich kein gutes Beispiel von schneller Kommunikation. Und falls “offen” vorbehaltlos heissen soll, haben wir hier auch kein Ruhmesblatt.
Beispiele:
Hat der externe Dienstleister wirklich nicht den Datendiebstahl bemerkt oder wurde diese Information solange gedeckelt, bis es durch den Bericht von Wiso nicht mehr zu vertuschen war?
Falls die Datenbank tatsächlich schon einmal Ziel eines Angriffes war, warum hat man die Sicherheitsmassnahmen nicht verbessert, sondern beschlossen “nichts” zu tun, weil auch anscheinend “nichts” passiert ist?
Warum hat PwC gegen die eigene Datenschutzerklärung verstossen und persönliche Datenweit über den Bewerbungsprozess gespeichert?
siehe http://www.pwc.de/portal/pub/cxml/04_Sj9SPykssy0xPLMnMz0vM0Y_QjzKLd4p3dvLXL8h2VAQAwEQ1PA!!?topNavNode=49c4e38420924a4b&siteArea=49c4e38420924a4b&content=e577190a46ed946
Zitat: “Sie erteilen uns Ihre Einwilligung, dass wir Ihre personenbezogenen Daten im Rahmen des Bewerbungsverfahrens zum Zwecke Ihrer Bewerbung verarbeiten und gestatten uns die Weitergabe Ihrer Daten an Unternehmen des nationalen PwC-Konzernverbundes.”
Dort steht kein Wort von dauerhafter Speicherung der Bewerberdaten. Es wären auch weniger Datensätze entwendet worden, wenn man nicht auf Teufel komm raus alles gespeichert hätte.
Das ZDF hat die Betroffenen bereits Mittwoch/Donnerstag informiert, PWC erst am Freitag.
PWC behauptet weiterhin, dass die Passwörter verschlüsselt auf der Datenbank gespeichert wurden. Jeder, der ansatzweise etwas davon versteht, durchschaut die billige Ausrede. Es wäre dann so schlicht nicht passiert. SQL-Injection ist wirklich ein alter Hut…
So ist weder die fachliche Umsetzung, noch die Kommunikation ein gutes Beispiel.