CISOs unter der Lupe: Vorbereitung auf die Haftung von Führungskräften
Inhaltsverzeichnis:
Ubers ehemaliger CISO, Joe Sullivan, konnte seinen Namen im vergangenen Monat nicht reinwaschen, was eine Diskussion über die persönlichen Risiken, denen leitende Angestellte aufgrund von Verstößen gegen die Cybersicherheit ausgesetzt sind, neu entfachte.
Sullivan hatte gegen eine Verurteilung vom Oktober 2022 Berufung eingelegt. Er hatte Cyberkriminelle bestochen, die Kundenkonten seines ehemaligen Arbeitgebers gehackt hatten. Bei dem Hackerangriff im Jahr 2016 wurden die persönlichen Daten von 57 Millionen Kunden und 600,000 Uber-Fahrern kompromittiert. Sullivan zahlte den Kriminellen 100,000 Dollar aus dem Bug-Bounty-Programm des Unternehmens und zwang sie zur Unterzeichnung einer Geheimhaltungsvereinbarung. Er versäumte es außerdem, die Federal Trade Commission (FTC) zu informieren, wozu er nach einem anderen Hackerangriff im Rahmen eines Vergleichs von 2014 verpflichtet war.
Sullivan, der im Mai 50,000 zu drei Jahren Bewährung und einer Geldstrafe von 2023 Dollar verurteilt worden war, legte gegen das Urteil Berufung ein. In der Berufung wurde argumentiert, er habe keine „Missachtung“ – also die Verheimlichung eines Verbrechens vor der Regierung – begangen, da die NDA den Hack rückwirkend genehmigt habe. Das Gericht wies dieses Argument ebenso zurück wie einige Vorwürfe von Verfahrensfehlern.
Die Standhaftigkeit des Gerichts in dieser Frage lässt erneut die Gefahr einer persönlichen Haftung von Führungskräften für Cybersicherheitsverletzungen und/oder fehlerhafte Reaktion auf Vorfälle aufkommen. Diese wahrgenommenen Verstöße traten in unterschiedlicher Form auf.
Einige vermeintliche Mängel von CISOs drehen sich um irreführende Aussagen. Die SEC verfolgte Timothy G. Brown, CISO von SolarWinds, nach den Sicherheitsverletzungen des Unternehmens in den Jahren 2019 und 2020 persönlich mit der Begründung, er habe in öffentlichen Unterlagen falsche Angaben zur Cybersicherheit gemacht, obwohl das Unternehmen sich der Schwachstellen bewusst war. Ein Gericht wies die Vorwürfe gegen Brown später ab.
Andere drehen sich um die mangelnde Cybersicherheit selbst. James Rellas, CEO des Alkohollieferdienstes Drizly, hatte keinen eigenen Verantwortlichen für die Cybersicherheit, als ein Sicherheitsverstoß in seinem Unternehmen die Daten von 2.5 Millionen Kunden offenlegte. Die FTC 2022 Auftrag machte nicht nur das Unternehmen für angeblich fahrlässiges Verhalten im Bereich der Cybersicherheit verantwortlich, sondern auch ihn persönlich.
Eine persönliche Strafe gegen einen CISO bezog sich auf betrügerisches Verhalten. Jun Ying, ehemaliger CISO bei Equifax US Information Solutions, erhielt eine viermonatige Gefängnisstrafe Nachdem er seine Aktienoptionen ausgeübt hatte, bevor ein Verstoß im Unternehmen im Jahr 2017 öffentlich bekannt wurde. Ying, der von dem Verstoß wusste, als er seine Optionen einlöste, entging durch Insiderhandel einem Verlust von über 117,000 Dollar. Das Justizministerium zwang ihn zur Rückzahlung der Verluste und zu einer Geldstrafe, und er wurde zu einer viermonatigen Gefängnisstrafe verurteilt.
Haftung von Führungskräften außerhalb der USA
Nicht nur US-Führungskräfte sind für die Bewältigung von Cybersicherheitsvorfällen persönlich haftbar. Kim Jin-Hwan, Datenschutzbeauftragter des südkoreanischen Reisebüros Hana Tour Service, wurde persönlich Geldstrafe 10 Millionen koreanische Won wegen Fahrlässigkeit bei einem Datendiebstahl im Jahr 2017, von dem 465,000 Kunden betroffen waren.
Die Regulierungen haben auch die persönliche Verantwortung der Führungskräfte in den Fokus gerückt. Die EU- NIS2-Richtlinie (2022) schreibt die Verantwortung des oberen Managements für die Nichteinhaltung von Cybersicherheitsvorschriften vor und ermöglicht persönliche Sanktionen gegen Einzelpersonen. Dazu gehören die vorübergehende Suspendierung von Führungskräften, die als unfähig gelten, ihre Verantwortung für die Cybersicherheit zu erfüllen.
Eine weitere EU-Verordnung, der Digital Operational Resilience Act (DORA), soll sicherstellen, dass Finanzorganisationen trotz systemischer Bedrohungen ihre kritischen Dienste aufrechterhalten können. Er sieht Geldstrafen von bis zu einer Million Euro gegen fahrlässige Führungskräfte vor.
Herausforderungen für CISOs
Das Problem für CISOs liege in der abschreckenden Wirkung, die die Gefahr persönlicher Haftung mit sich bringe, warnten viele in Briefen an Richter William Orrick III, der den ursprünglichen Uber-Fall verhandelte. Die Sorge ist, dass sich CISOs angesichts der drohenden persönlichen Haftung ihrer Arbeit nicht mehr gewachsen fühlen könnten.
Diese Sorge ist berechtigt, wenn man die rasant wachsende Angriffsfläche eines durchschnittlichen Unternehmens bedenkt. Unternehmen werden ermutigt, wettbewerbsfähig zu bleiben, indem sie sich mit sich schnell entwickelnden Technologien wie KI, Mobile Computing und Cloud Computing auseinandersetzen. Das erhöht die Belastung der Führungsaufsicht. Wenn eine Person, die in gutem Glauben handelt, angesichts überwältigender Cyberbedrohungen Gefahr läuft, persönlich haftbar gemacht zu werden, kann dies Personen davon abhalten, diese Rolle zu übernehmen.
Die Strafmaßnahmen scheinen sich hier jedoch weniger auf die Cybersicherheitsverletzungen selbst zu beziehen, sondern auf den Umgang mit Informationen zur Reaktion auf Vorfälle im Vorfeld und im Nachhinein. Sullivan wurde nicht für den Vorfall bestraft. Er wurde bestraft, weil er versucht hatte, ihn zu vertuschen. Andere wussten schon Jahre vor den Vorfällen von ihren Schwachstellen und ergriffen kaum oder gar keine Präventionsmaßnahmen. Und die Meldung eines Verstoßes für den eigenen Aktienhandel vorwegzunehmen, ist eindeutig eine böswillige Praxis.
So schützen Sie Führungskräfte
Da das Risiko persönlicher Haftung zunimmt, können Unternehmen, die bewährte Rahmenwerke für Cybersicherheit und Risikomanagement befolgen, sich selbst – und ihre Führungskräfte – vor regulatorischen oder rechtlichen Konsequenzen schützen.
ISO 27001 ist in diesem Zusammenhang ein unverzichtbares Instrument, da es sich um einen anerkannten internationalen Standard handelt, der proaktive Sorgfaltspflichten nachweist. Das Datenschutzgesetz von Ohio bietet Cybersicherheitsprogrammen, die ISO 27001 angemessen entsprechen, sogar einen expliziten rechtlichen Schutz.
ISO 27001 bietet einige Kernpraktiken, die dazu beitragen, Sorgfalt und Gewissenhaftigkeit bei der Umsetzung von Cybersicherheitsmaßnahmen zu beweisen. Dazu gehören die Einrichtung eines klaren, dokumentierten Cybersicherheits-Governance-Rahmens unter Einbeziehung des oberen Managements und die Implementierung standardbasierter, dokumentierter Notfallpläne. Weitere Maßnahmen sind regelmäßige Schulungen, Audits und kontinuierliche Verbesserungsprozesse.
Es wird empfohlen, eine umfassende Dokumentation zu führen, um die Aufsicht und das Risikomanagement der Geschäftsleitung nach bestem Wissen und Gewissen des Managementteams nachzuweisen.
Das Wort „Team“ ist jedoch entscheidend. Führungskräfte sollten die Verantwortlichen für die Cybersicherheit angemessen unterstützen und angemessene Erwartungen an sie stellen. Allzu oft wird von CISOs erwartet, alle Angriffe zu stoppen, ohne nennenswerte Investitionen und ohne angemessene Unterstützung eines Unternehmens, das sich voll und ganz auf die Markteinführung des nächsten Produkts und die Gewinnmaximierung konzentriert. Das ist ein Missstand, der einen Kulturwandel erfordert.
