Während Datenverletzungen bei großen Einzelhändlern wie Target und TJ Maxx im Fokus stehen, ist dies für kleine Unternehmen ein ebenso realistisches Szenario - und die Angriffe auf dieser Ebene können sich als weitaus verheerender erweisen. Experten sagen, dass Kleinunternehmer, die den Schutz der persönlichen Daten ihrer Kunden nicht zur obersten Priorität machen, bald außer Betrieb sein könnten.
"Ich weiß nicht, wie kleine und mittlere Unternehmen so viel aushalten können", sagte Will Pelgrin, President und CEO des Center for Internet Security, gegenüber Business News Daily.
Jefff Kosc, Partner der Anwaltskanzlei Benesch, Friedlander, Coplan & Aronoff LLP, sagte, Unternehmen, die die personenbezogenen Daten der Kunden wie Kreditkarten- und Sozialversicherungsnummern kompromittieren, haben eine Vielzahl von Kosten zu tragen, von denen nicht alle einen genauen Dollar haben Betrag beigefügt.
Eine der größten Kosten kommt von den Kredit- und Debitkartenfirmen, die laut Kosc weitreichende Befugnisse und Rechte in Fällen von Datenschutzverletzungen haben, insbesondere wenn festgestellt wurde, dass das Unternehmen die PCI-Vorschriften (Payment Card Industry) nicht einhält. Die PCI-Vorschriften regeln die spezifischen Sicherheitsmaßnahmen, die Unternehmen, die Kredit- und Debitkarten akzeptieren, einhalten müssen.
"Wenn es einen Verstoß gegen PCI gibt, haben sie das Recht, Geldbußen gegen Händler zu verhängen", sagte Kosc über die Kredit- und Debitkartenunternehmen. "Sie sind im Rahmen dieser Vereinbarungen auch berechtigt, betrügerische Anschuldigungen, die aufgrund des Verstoßes gegen die Datenschutzbestimmungen auf der Karte einer anderen Person erhoben werden, zu verrechnen."
Neben der Rückzahlung der Kreditkartenunternehmen fallen für Unternehmen Kosten an, die damit verbunden sind, die Verbraucher auf die Sicherheitsverletzung aufmerksam zu machen, für ihre Kreditüberwachungsdienste zu zahlen, zu untersuchen, wie die Sicherheitsverletzung aufgetreten ist, und zusätzliche Maßnahmen zu ergreifen, um sicherzustellen, dass sie nicht erneut auftritt.
Jüngste Untersuchungen des Ponemon Institute und von Symantec gehen davon aus, dass es Unternehmen 188 US-Dollar pro verlorenem Datensatz kostet.
Kosc sagte, dass viele Unternehmen in diesen Situationen auch mit einem Produktivitätsverlust konfrontiert sind, weil sich die Mitarbeiter mehr darauf konzentrieren, das Chaos zu beseitigen, als auf die normalen täglichen Aufgaben.
"Sie nehmen jeden von seiner regulären Arbeit ab, um sich mit zu befassen", sagte er.
Abhängig vom Umfang der Verletzung, sagte Kosc, dass Unternehmen potenzielle Bußgelder von der Federal Trade Commission erhalten. Als Beispiel nannte er TJ Maxx, der nach seiner Verletzung im Jahr 2007 mehr als 40 verschiedene Generalstaatsanwälte zur Zahlung von Geldbußen in Höhe von mehr als 9 Millionen US-Dollar gezwungen wurde.
Zusätzlich zu den harten Kosten erleiden Unternehmen auch einen potenziell unschätzbaren Schaden für ihren Ruf und ihr Vertrauen.
"Es gibt eine Gemeinschaft von Menschen, die eine vertrauenswürdige Beziehung zu Ihnen haben und die gefährdet werden kann", sagte Pelgrin. "Wie Sie sich von all dem erholen, kann sehr schwierig sein."
[Besuchen Sie unsere Schwestersite Business.com, um einen direkten Vergleich der besten Antivirensoftwareprogramme zu erhalten.]
Schützen Sie Ihr Unternehmen
Ein Problem ist, dass viele der Meinung sind, dass kleine Unternehmen aufgrund ihrer Größe kein Ziel von Cyberkriminellen sind.
"Wir neigen dazu zu glauben, dass es uns nicht passieren wird, weil wir zu klein sind und dass sie sich wirklich mit den größeren Unternehmen befassen, und das ist nicht der Fall", sagte er. "Jeder ist zu diesem Zeitpunkt ständigen Angriffen ausgesetzt."
Da Cyberkriminelle in den letzten Jahren so effektiv geworden sind, gibt es laut Pelgrin auch bei den besten Sicherheitsmaßnahmen keine Garantie dafür, dass Unternehmen sicher sind.
"Es gibt keine Silberkugel da draußen", sagte Pelgrin. "Das Beste, was Sie tun können, ist, so fleißig und wachsam wie möglich zu sein, um sicherzustellen, dass Sie alles in Ihrer Macht Stehende getan haben, um so sicher wie möglich zu sein."
Um Verbraucherdaten so weit wie möglich zu schützen, rät Pelgrin Unternehmen, verschiedene Schritte zu unternehmen:
- Machen Sie sich mit Ihrer Umgebung vertraut: Dies bedeutet, dass Sie eine Bestandsaufnahme Ihrer gesamten Hardware und Software sowie der jeweils ausgeführten Version vornehmen. Um sich zu schützen, müssen Sie genau wissen, was Sie besitzen. "Wie sind Ihre Vermögenswerte, wie sieht Ihre Infrastruktur aus, wie sieht Ihr Netzwerk aus?" Sagte Pelgrin. "Möglicherweise liegt eine bekannte Sicherheitsanfälligkeit vor und Sie glauben möglicherweise nicht einmal, dass sie sich in Ihrer Infrastruktur befindet. Ohne Ihr Wissen ist sie möglicherweise in Ihrer gesamten Infrastruktur vollständig aktiviert und macht Sie daher sehr anfällig für Angriffe."
- Sichern Sie Ihre Umgebung: Bringen Sie Ihre Hardware, Software und Ihr Netzwerk auf ein Höchstmaß an Sicherheit. Laut Pelgrin verfügen kleine Unternehmen beim Kauf neuer Hardware und Software nicht immer über die neuesten Sicherheitsmaßnahmen. Er sagte, es sei wichtig, dass Unternehmen jedes Gerät überprüfen und die neuesten Sicherheitspatches herunterladen. Darüber hinaus sollten alle Sicherheitseinstellungen so hoch wie möglich eingestellt werden, ohne den Betrieb zu behindern.
- Kontrollieren Sie Ihre Umgebung: Laut Pelgrin ist es unerlässlich, dass Unternehmen nicht allen Mitarbeitern vollständigen Zugriff auf ihr Netzwerk und ihre Daten gewähren. Er sagte, die Mitarbeiter sollten keinen Zugriff auf höhere Verwaltungsebenen haben, als sie benötigen, und sie sollten nicht die Möglichkeit haben, alles, was sie wollen, von einem beliebigen Ort herunterzuladen. "Die meisten Ihrer Mitarbeiter sollten keinen vollständigen Administratorzugriff auf ihre Maschinen haben", sagte Pelgrin. "Dieser administrative Zugriff sollte auf sehr wenige vertrauenswürdige Personen beschränkt sein." Darüber hinaus möchten Unternehmen sicherstellen, dass die Unternehmen und Anbieter, mit denen sie zusammenarbeiten, ein hohes Maß an Sicherheit bieten. Laut Pelgrin ist es wichtig, dass die Organisationen, die Teile Ihres Unternehmens auslagern, über die genauen Sicherheitsmaßnahmen informieren, die sie getroffen haben. "Es muss den Standards von dem entsprechen, was Sie intern beschäftigen würden", sagte er.
- Überwachen Sie Ihre Umgebung: Dies beinhaltet die ständige Selbstdiagnose der Systeme und des Netzwerks, um sicherzustellen, dass sie funktionieren und die Leistung erbringen, die sie haben sollten. "Sie müssen kein Cyber-Experte sein, um zu wissen, dass etwas nicht stimmt", sagte Pelgrin. "Ihr Darm ist ein gutes erstes Anzeichen dafür, dass etwas nicht in Ordnung ist. Dann müssen Sie sich an diejenigen wenden, die über Fachwissen verfügen, um zu diagnostizieren, ob Sie tatsächlich Opfer eines Cyber-Vorfalls wurden."
Pelgrin fordert die Unternehmen außerdem auf, jeden Monat Zeit zu investieren, um die Mitarbeiter in der Bedeutung der Cybersicherheit zu schulen und zu erfahren, wie sie sicherstellen können, dass sie nicht zu Undichtigkeiten beitragen.
"Sie möchten es für die Mitarbeiter verwirklichen, und der einzige Weg, dies zu tun, besteht darin, darüber zu sprechen und es zu üben", sagte er.
Kosc ist der Ansicht, dass ein wichtiger Schritt bei der Aufrechterhaltung des Unternehmens darin besteht, einige Mitarbeiter in der Organisation zu haben, deren Hauptverantwortung die Sicherheit ist.
"Es muss etwas sein, das jeden Tag in den Sinn kommt, denn das ist ihre Aufgabe", sagte er.
Schadensminderung
Kosc sagte, Unternehmen sollten eine klare Strategie haben, wie sie mit einem Verstoß umgehen sollen, da viele Experten der Meinung sind, dass es nicht darum geht, ob - aber wann - einer passieren wird.
"Sie wollen einen Plan haben, bevor so etwas passiert", sagte Kosc. "Wenn eine Veranstaltung stattfindet, wissen Sie, was zu tun ist und wie Sie die Haftung so weit wie möglich begrenzen können."
Ein Teil dieses Plans besteht darin, zu wissen, wen man um Hilfe bittet. Pelgrin sagte in Krisenzeiten, dass Sie keine Zeit damit verbringen müssen, herauszufinden, wer Ihnen helfen kann.
"Sie wollen diese Beziehungen im Vorfeld und an Ort und Stelle haben", sagte Pelgrin.
Versicherer sind eine relativ neue Hilfe für Unternehmen. In den letzten Jahren haben viele begonnen, eine Datenschutzversicherung anzubieten.
Lynn LaGram, stellvertretende Vizepräsidentin für Small Commercial Underwriting bei The Hartford, sagte, sie biete seit 2011 eine Data-Breach-Versicherung an und ihre Deckung besteht aus zwei Teilen.
Die erste deckt die Antwortkosten ab und kann zum Beispiel für die Benachrichtigung von Kunden nach einem Verstoß, die Einrichtung einer Kreditüberwachung für betroffene Kunden, die Einstellung einer PR-Firma zur Behebung von Reputationsschäden und die Einstellung von Rechts- und Forensikexperten zur Beurteilung, ob ein Verstoß vorliegt, bezahlt werden auftreten und woher es kam.
Laut LaGram können Unternehmen über The Hartford eine Antwortabdeckung im Wert von 10.000 bis 100.000 US-Dollar erhalten.
Der zweite Teil deckt die Kosten ab, die kleinen Unternehmen entstehen können, wenn Verbraucher, denen Informationen gestohlen wurden, Klagen gegen sie erheben.
"Dies umfasst bürgerliche Anerkennungen, Vergleiche oder Urteile, zu deren Zahlung der Inhaber eines Kleinunternehmens aufgrund eines Verstoßes gegen die Datenschutzbestimmungen gesetzlich verpflichtet wäre", sagte LaGram.
Kosc sagte, die meisten zivilrechtlichen Klagen gegen Unternehmen, die Daten verloren haben, seien zum jetzigen Zeitpunkt ineffektiv, da die Verbraucher in vielen dieser Situationen nicht nachweisen können, dass die Diebe ihre gestohlenen Informationen in irgendeiner Weise verwendet haben.
"Es gab bisher nicht viele, die erfolgreich waren, weil sie einen tatsächlichen Schaden nachweisen müssen", sagte Kosc. "Bis Sie eine tatsächliche Verletzung feststellen können, kann (ein Gericht) Ihnen keinen Schadenersatz zusprechen."
Während kleine Unternehmen ursprünglich nur schleppend eine Datenschutzversicherung abgeschlossen haben, haben laut LaGram mehr von ihnen - insbesondere im Hinblick auf die im vergangenen Jahr bekannt gewordenen Fälle - diese Versicherung in ihr Schutzarsenal aufgenommen.
"Datenschutzverletzung ist eine unserer meistverkauften optionalen Deckungen", sagte sie.
Reparieren Sie Ihren Ruf
Damit Unternehmen nach einem Datenverstoß ihre Reputation verbessern und ihr Vertrauen wieder aufbauen können, ist es nach Ansicht von Pelgrin unabdingbar, dass sie im Vorfeld mit den Kunden Kontakt aufnehmen, unabhängig davon, was die staatlichen Gesetze vorschreiben.
"Ich glaube fest daran, dass es nicht darum geht, ob schlimme Dinge passieren, sondern wie man reagiert, wenn schlimme Dinge passieren", sagte er. "Das zeigt die Qualität des Unternehmens und das zeigt die Qualität der Personen, die für dieses Unternehmen arbeiten."
Pelgrin sagte, das letzte, was ein Unternehmen möchte, ist, dass das Wort des Verstoßes ein halbes Jahr nach seinem Auftreten herauskommt und die Kunden glauben, dass sie nichts dagegen unternommen haben, weil sie es nicht mussten.
"Dann sind Sie in der Lage zu rechtfertigen, warum Sie an diesen Informationen festgehalten haben", sagte Pelgrin.
Der Schlüssel warnt die Kunden, sobald die Informationen über den Verstoß konkret sind.
"Sie wollen den Menschen keine Angst einjagen", sagte Pelgrin. "Sie müssen wirklich wissen, was passiert ist, wenn Sie die Informationen geben. Es ist sehr klar, dass dies das ist, was wir wissen. Dies ist das, was passiert ist, und dies ist, was wir empfehlen, um es zu mildern."
LaGram sagte, dass kleine Unternehmen verstehen müssen, dass dies zweifellos mit ihnen geschehen könnte.
