Haftungsrisiko für Cyber-Sicherheitsbeauftragte steigt in den USA

In den Vereinigten Staaten zeichnet sich eine neue Ära der Verantwortlichkeit ab, die direkt auf die obersten Etagen der Cyber-Sicherheit abzielt. Insbesondere Chief Information Security Officers (CISOs) sehen sich mit einer wachsenden persönlichen Haftung bei Datenpannen konfrontiert. Durch neue Vorschriften zur Offenlegung solcher Vorfälle erhöht sich der Druck auf die Sicherheitsteams der Unternehmen. Gerichtsfälle und regulatorische Signale deuten darauf hin, dass auch Einzelpersonen für Sicherheitsvorfälle zur Rechenschaft gezogen werden können. Ein prägnantes Beispiel lieferte der Fall des ehemaligen Sicherheitschefs von Uber, Joe Sullivan. Er wurde wegen des Vertuschens einer Datenpanne zu drei Jahren auf Bewährung verurteilt und zu einer Geldstrafe von 50.000 US-Dollar verdonnert. Bei dem Vorfall im Jahr 2016 wurden persönliche Daten von nahezu 60 Millionen Fahrern und Fahrgästen offenbart – eine Premiere für die strafrechtliche Verfolgung eines Unternehmensexekutiven im Kontext einer Datenpanne. Weiterhin geriet der CISO von SolarWinds, Timothy Brown, ins Fadenkreuz der US-Börsenaufsicht SEC. Nach einem von russischen Hackern verursachten Sicherheitsvorfall erhob die SEC Anklage wegen Betrugs und internen Kontrollmängeln. Sowohl SolarWinds als auch Brown standen im Verdacht, Anleger über bekannte Risiken und die Effektivität der Cybersicherheitsmaßnahmen im Dunkeln gelassen zu haben. Diese Entwicklungen haben dazu geführt, dass einige Unternehmensmitarbeiter sich dagegen entscheiden, die Rolle des CISO zu übernehmen oder in entscheidenden Ausschüssen mitzuwirken. Dies verschärft das Problem des Talentmangels in der Cyber-Sicherheitsbranche. Dennoch sieht Wagner Nascimento, Vice-President und CISO bei Synopsys, die regulatorischen Änderungen als Chance. CISOs sollten die Möglichkeit nutzen, eine aktivere und einflussreichere Rolle im Unternehmensmanagement zu spielen, partizipiert er. Cyber-Sicherheitsexperten haben in einer Zeit der digitalen Transformation und angesichts eines breiteren Spektrums an Hacking-Gefahren an Bedeutung gewonnen. Fernarbeit und gestiegene Cyberkriegsgefahren, insbesondere durch den Russland-Ukraine-Konflikt, haben die Wichtigkeit interner Sicherheitsrollen weiter erhöht. Die SEC fordert nun von börsennotierten Unternehmen die Offenlegung jedes als 'relevant' erachteten Vorfalls binnen vier Geschäftstagen. Zudem müssen diese jährlich über die interne Steuerung und Handhabung von Cyber-Sicherheitsrisiken berichten. Amit Yoran, CEO von Tenable, einer Firma für das Management von Cybersicherheitsrisiken, deutet die Regeln als entscheidenden Schritt hin zu mehr Transparenz und Verantwortlichkeit, der die Cybersicherheitsvorbereitung der Nation erheblich verbessern könnte. Kritische Stimmen merken an, dass die offenbarten Informationen oft unvollständig sind und Angreifern Hinweise auf Schwachstellen geben könnten. In einigen Fällen könnten die Regelungen den Druck auf Opfergruppen, ein Lösegeld zu zahlen, sogar erhöhen, wie das Beispiel der Erpressersoftwarebande ALPHV/BlackCat zeigt, die ihr Opfer MeridianLink bei der SEC meldete, nachdem das Softwareunternehmen die Lösegeldforderung abgelehnt hatte. Die neuen Vorschriften bergen zahlreiche rechtliche Risiken für börsennotierte Unternehmen: Sie setzen diese dem Risiko von Klagen wegen Datenschutzverletzungen und dem Risiko von Anklagen und finanziellen Strafen für ihre einzelnen CISOs aus. Experten raten zu regelmäßigen Sicherheitsaudits und klaren Notfallplänen, die Rechts-, Sicherheits-, PR- und Finanzabteilungen aufeinander abstimmen. Vivek Jetley, Executive Vice-President bei EXL, rät CISOs, Entscheidungen sorgfältig zu dokumentieren und sich auf deren Verteidigung vorzubereiten – sowohl hausintern als auch gegenüber Regulierungsbehörden und Inspektoren. Unternehmen sollen Verfahren einleiten, wenn die Meinungen darüber auseinandergehen, was als wesentlich gilt. Nascimento macht darauf aufmerksam, dass eine Differenzierung erforderlich sein könnte, um den Unternehmensanwälten und CISOs eine Orientierung zu geben.