Ein Kommentar von Jürgen Venhorst, Country Manager DACH bei Netwrix
Wie einem kürzlich erschienenen Bericht der US-Nachrichtenseite „The Daily Beast“ zu entnehmen ist, macht das US-Unternehmen Clearview AI mit einem erneuten veritablen Skandal Schlagzeilen – diesmal mit einem Leck in der firmeneigenen IT-Infrastruktur. Unbekannten gelang es, einen vollumfänglichen Auszug der Clearview AI Kunden zu extrahieren. Darunter befinden sich laut Angaben des Unternehmens über 600 Behörden aus dem Strafvollzug, größtenteils aus den USA und Kanada. Die entwendete Kundenliste enthält neben den jeweiligen Behörden auch die Anzahl ihrer Kundenaccounts sowie eine Auflistung aller getätigten Suchanfragen.
Erst zwei Wochen zuvor wurde eine Sammelklage in den USA eingereicht, in welcher der Firma die unrechtmäßige Aneignung, biometrischer Analyse sowie die Archivierung von drei Milliarden frei zugänglicher Gesichtsbilder aus dem Netz vorgeworfen wird.
Mit diesem neuen Vorfall stehen nun nichtmehr nur die Persönlichkeitsrechte der unfreiwillig archivierten Personen im Fadenkreuz. Das Datenleck und die entwendete Kundenliste samt ihrer Suchanfragen sind eine Datenschutzkatastrophe, wie sie die betroffenen Behörden wohl noch nie zuvor erlebt haben. Bei den Suchanfragen handelt es sich nämlich größtenteils um ermittlungsrelevante Daten.
Zwar bergen vertrauliche Daten von Unternehmen keine vergleichbare soziale Sprengkraft; dafür sind sie oftmals hochgradig lukrativ. Betriebsgeheimnisse wie Baupläne bei High-Tech Unternehmen sind wertvolle Besitztümer, die sich im Darknet für gutes Geld an den Höchstbietenden verkaufen lassen. Selbst im Falle, dass die Unternehmensdaten keinen Verkaufswert bieten, lässt sich mit einem Ransomwareangriff auf ungesicherte IT-Infrastrukturen viel Geld verdienen. Es ist deshalb entscheidend, die Zugänge zum Unternehmensnetzwerk nicht nur gegen Unbefugte abzudichten, sondern auch die berechtigten Zugänge mit funktionsgerechten Zugriffsrechten auszustatten. Mit einem durchdachten Zugriffsmanagement lassen sich verdächtige Aktivitäten im System frühzeitig erkennen und unterbinden.
Nicht ohne Grund unterliegen Unternehmen deshalb strengen Regeln was den Datenschutz angeht, insbesondere von personenbezogenen Daten. Bei derart signifikanten Verstößen gegen die DSGVO, wie sie im Falle Clearview AI begangen wurden, kennt das EU-Recht nämlich keine Gnade. Wäre dieser Vorfall in Europa passiert, könnte er für das entsprechende Unternehmen existenzbedrohende Folgen haben. Es ist vorstellbar, dass die europäischen Gesetzeshüter bei einem vergleichbaren Verstoß in der EU ein Exempel am verantwortlichen Unternehmen statuieren würden. Die Strafzahlungen können in einem solchen Fall bis zu zehn Prozent des Jahresumsatzes betragen. Eine engagierte und gutbesetzte IT-Abteilung ist für die Vermeidung von Datenlecks ebenso wichtig, wie eine durchdachte IT-Sicherheitsstrategie und ein lückenloses Konzept für die Datenverwaltung.
Es ist in vielerlei Hinsicht Teil der betrieblichen Fürsorge, die eigene IT-Infrastruktur über jeden Zweifel erhaben abzusichern. Selbst wenn ein Unternehmen keine wertvollen Forschungsergebnisse digital verwaltet, so hat ein jedes von ihnen personenbezogene Daten von Mitarbeitern, Kunden und Geschäftspartnern. Diese wollen unter Berücksichtigung der Compliance auch angemessen geschützt werden, am besten mit einer Auditierungssoftware. Eine solche Lösung hätte verhindert, dass die Clearview AI Kundenliste von Unberechtigten hätte abgerufen werden können.
Neben einer zuverlässigen und stets aktualisierten Anti-Malware Applikation ist es auch entscheidend nachweisen zu können, dass die gespeicherten Daten ihrer Sensibilität entsprechend abgesichert sind und nur von den Personen eingesehen und abgerufen werden können, die dafür auch die Befugnis haben. Es empfiehlt sich deshalb seine Daten stets in organisierter und klassifizierter Form abzulegen und zu archivieren. Nur so kann gewährleistet werden, dass der Überblick behalten wird und die Zugriffsrechte angemessen verwaltet werden können. Das ist zum einen wichtig, damit man wertvolle Informationen nicht verliert und zum anderen stets die gesetzlich vorgeschriebene Compliance gewährleisten kann.