Yahoos Datenpanne zeigt Risiken unzureichender Corporate-Compliance-Programme auf

Proaktiver Ansatz zum Schutz Ihres Unternehmens

Foto Salvatore Saporito, LexisNexis GmbH

Im digitalen Zeitalter gelten Daten als wichtiges Kapital für Unternehmen. Sie stellen aber gleichzeitig auch ein hohes Risiko dar. Laut der Studie von 20th Annual PWC CEO, gaben 62 % an, dass Cyber-Bedrohungen zu ihren zehn größten Sorgen zählen. 58 % der CEOs sagten, dass sie Sorgen hätten, sinkendes Vertrauen seitens der Stakeholder könne zu gebremstem Unternehmenswachstum führen. Das sind 21 % mehr, als noch vor drei Jahren. Und ihre Sorgen sind nicht unbegründet: 84 % der Kunden gaben an, dass Datenschutzbrüche und Ethikverstöße ihr Vertrauen in Unternehmen mindern. Kürzlich veröffentlichte Enthüllungen über den Yahoo-Datenschutzskandal 2014 zeigten, dass auch die Behörden bei diesem Thema genau hinsehen. Erfahren Sie mehr über behördliche Anforderungen in unserem Whitepaper „Will the Cloud Change Your Risk Forecast?".

Datenschutzverletzungen gehen weit über Reputationsschäden hinaus

Warum sorgt ein Datenschutzvorfall aus 2014 drei Jahre später für Schlagzeilen? Laut einem Beitrag auf dem FCPA Blog, warf Yahoos Transparenz - oder viel mehr die fehlende Transparenz - Fragen auf. Yahoo legte die Datenschutzverletzung erstmals im September 2016 offen. In einem Sicherheitsdokument von November 2016 gab Yahoo jedoch zu, dass Mitarbeiter bereits Ende 2014 davon wussten, dass mehr als 500 Millionen Konten von staatlich finanzierten Hackern geknackt wurden. Es wurde ein weiterer Datenschutzbruch aus 2013 offengelegt, der über eine Milliarde Nutzerkonten betraf.

In der Offenlegung November 2016, verriet Yahoo, dass die Firma aufgrund dieser Datenschutzverletzung bereits finanzielle Aufwendungen von 1 Million US-Dollar hatte. Weiterhin hieß es, dass Yahoo nach und nach zusätzliche Kosten auf sich genommen hätte, um im Rahmen dieser Sicherheitslücken weitere Untersuchungen anzustellen und Maßnahmen einzuleiten, um Nutzer zu informieren und zu schützen. Yahoo rechne in näherer Zukunft mit weiteren Kosten verbunden mit diesen Maßnahmen. Yahoo steht 23 Sammelklagen vor dem US-Bundes- und Staatsgericht sowie ausländischen Gerichten gegenüber. Das Unternehmen erwartet zudem weitere Klagen seitens der Nutzer, Partner oder Shareholder. Dass es zwei Jahre dauerte, bis der festgestellte Datenschutzverstoß offengelegt wurde, wird zu weiteren Konsequenzen führen.

Verizon-Deal gefährdet

Die ursprüngliche Offenlegung erfolgte zwei Monate nach der Vertragsverhandlung mit Verizon. Dabei wurde der Verkauf von Yahoos Kerngeschäft für 4,8 Milliarden US-Dollar an Verizon festgemacht. Kurz nach der Offenlegung sagte Verizons Rechtsabteilung laut New York Times, dass alle Anzeichen für Verizon darauf hindeuten, dass die Auswirkungen dieses Vorfalls erheblich seien und von Yahoo erwartet würde, die vollen Ausmaße darzulegen. Sollte Yahoo anderer Meinung sein, müssten sie beweisen, dass die Auswirkungen gering waren. Der noch größere Datenskandal aus der zweiten Offenlegung verschlechterte Yahoos Standpunkt im Verizon-Deal weiter. The Guardian teilte kürzlich mit, dass Yahoo den Preis um 350 Millionen US-Dollar gesenkt habe.

Behördliche Untersuchungen

Eine der Behörden, die den Fall Yahoo genauer unter die Lupe nimmt, ist die amerikanische Börsenaufsichtsbehörde (SEC). In der SEC-Offenlegung gab Yahoo an, dass sie mit verschiedenen föderalen, staatlichen und ausländischen Behörden zusammenarbeiten und nach Informationen und / oder Dokumenten über den Datensicherheitsvorfall und ähnliche Angelegenheiten suchen. Während die SEC bis jetzt noch keine Vollstreckungsmaßnahmen aufgrund von Cybersicherheitsverstößen von öffentlichen Unternehmen vollzogen hat, beinhaltet eine 2011 veröffentlichte Richtlinie die Forderung einer zeitnahen Bekanntmachung solcher Vorfälle. Datensicherheitsexperte Kim Phan äußerte gegenüber der Financial Times, dass die SEC nach einer Möglichkeit suche, Klage einzureichen. In Anbetracht der bereits verstrichenen Zeit, könnte der Yahoo-Vorfall einen Wendepunkt darstellen. Die U.S. Federal Trade Commission, mehrere amerikanische Justizminister und das U.S. Attorney's office for the Southern District of New Yorkhaben ebenfalls begonnen, sich für diesen Fall zu interessieren.

Wie können Unternehmen Compliance-Risiken mindern?

Genau wie Richtlinien anderer Regulierungsbehörden, teilt das amerikanische Justizministerium (DOJ) mit, welche Kriterien bei einer Compliance-Prüfung beachtet werden. Der Yahoo-Vorfall verdeutlicht, dass die Beaufsichtigung besonders relevant ist. Wären Fragen bezüglich der Beaufsichtigungsexpertise früher gestellt worden, hätte das zu einem proaktiveren Ansatz führen können, als der Datenverstoß erstmals entdeckt wurde. Stattdessen hat dieser Vorfall zu einer Kürzung des Gehalts des Geschäftsführers geführt sowie zum Rücktritt der Rechtsabteilung, zu Kritik am höheren Management sowie an Anwälten und am Sicherheitsteam.

Während die Yahoo-Datenpanne viele Unternehmen davon abhalten könnte, Cloud-Lösungen anzuwenden, sagen Behörden, dass Third-Party- und Risk-Management-Prozesse zu vermindertem Risiko führen können. Behörden wünschen ein Programm, das einen risikobasierten Ansatz ermöglicht. Zudem möchten sie verstehen, welche Schritte eingeleitet wurden, um Risiken zu identifizieren, analysieren und zu beheben. Mit Risikobewertungs-, Due-Diligence- und Risikoüberwachungs-Tools können Unternehmen mögliche Herausforderungen besser bewältigen.

Was Sie jetzt tun können

  1. Laden Sie unser Whitepaper „Will the Cloud Change Your Risk Forecast" herunter.
  2. Erfahren Sie, wie Ihnen LexisNexis bei Ihrer Third-Party-Überprüfung helfen kann.
  3. Folgen Sie uns auf LinkedIn, Xing oder Google+, um über weitere Blogbeiträge informiert zu bleiben.

Zur Person

Salvatore Saporito ist Business Development Manager Risk & Compliance und seit 2003 bei der LexisNexis GmbH. Er studierte an der Universität zu Köln Wirtschaftswissenschaften (Betriebswirtschaftslehre) mit dem Abschluss Diplom-Kaufmann. Er ist Mitglied im Deutschen Institut für Compliance (DICO), dem Berufsverband der Compliance Manager (BCM), in der DGI Fachgruppe Compliance, im österreichischen Compliance Praxis Netzwerk sowie in der American Chamber of Commerce. Salvatore Saporito ist regelmäßig Referent zum Thema Geschäftspartnerüberprüfung.

Diesen Blog-Beitrag teilen:


Blog-Alert abonnieren

Wir informieren Sie automatisch
über neue Blogbeiträge.

Blog durchsuchen

Blog durchsuchen

Sortieren

Nach Kategorie