Können Sie haftbar gemacht werden, wenn Ihre Website gehackt wird?

Artikel geschrieben von:
  • Online Business
  • Aktualisiert: Juli 03, 2017

Kriminalität gegen Unternehmen, Dienstleistungen und Einzelhändler umfasst normalerweise nicht so sehr physische Unternehmen wie früher. Stattdessen sehen wir einen Anstieg der Cyberkriminalität sowohl von "Freelancern" als auch von Hacking-Syndikaten. Sie möchten, dass sensible Benutzerinformationen an Identitätsdiebe verkauft werden (oder sich selbst verwenden).

Wie sieht es aber mit den rechtlichen Konsequenzen für Unternehmen aus, die diesen Angriffen zum Opfer fallen? Haben sie die Verantwortung, Informationen zu schützen? Und wie groß ist diese Verantwortung?

Die kurze Antwort hängt davon ab. In den meisten modernen Gesellschaften gibt es nur sehr wenige Schnitt- und Trockenfälle in Bezug auf die Haftung. Es gibt einiges an Vernunft, Schuld und Größenordnungen, die zu berücksichtigen sind. Angesichts dessen, dass Websites mit Millionen von Benutzern umgehen können und a viel Geld In regelmäßigen Abständen und damit Millionen potenziell privater Informationen ist eine eindeutige Antwort nicht möglich.

Ein Großteil der Ereignisse betrifft hauptsächlich große Unternehmen. Wenn Sie jedoch ein kleines Unternehmen (webbasiert oder anderweitig) betreiben, gelten die meisten der gleichen Gesetze, falls Ihre Website von einem Verstoß betroffen wird.

Lassen Sie uns einige frühere Fälle und Verstöße ansehen, um Ihr Risiko besser zu bestimmen:

Datenverletzungen: Maßstab und Typen

Die Realität der Datenverletzung (2016-Statistiken, Quelle: Durchbruchslevelindex).

Betrachten Sie hypothetisch, dass Ihr Unternehmen Opfer eines Datenverstoßes geworden ist. Bevor Sie auf den Schaden achten, müssen Sie das Ausmaß des Angriffs bestimmen. Wie macht man das?

Betrachten wir zunächst die gestohlenen Daten:

  • Ihr Unternehmen wird nicht mit rechtlichen Problemen konfrontiert, wenn eine E-Mail-Adresse gestohlen wird. Das Opfer kann es nicht einmal bemerken. E-Mail-Adressen sind billig und häufig, und ein kleiner Verstoß oder ein Hacken in Ihre Abonnentenlisten ist oft die Ursache für diese Art von Verstoß.
  • Kontoinformationen sind eine andere Sache. Wenn Konten von Ihrer Website gestohlen werden, ist Betrug möglich und daher können Schäden entstehen.
  • Wenn ein Datenverstoß auftritt und die finanziellen und identifizierenden Informationen Ihrer Kunden gestohlen werden, insbesondere in Massen, ist dies ein Problem, wenn Sie fahrlässig gehandelt werden. Identitätsdiebstahl wird auftreten und andere potenzielle Probleme können auftreten (berücksichtigen Sie, was ein Krimineller mit der Adresse einer Person tun kann).

Die Skala kann auch sehr wichtig sein. Zahlreiche Siedlungen und Bußgelder werden pro Betroffener erhoben (wie auch die Sammelklage). Ihr Unternehmen kann sich den Verlust von 10-Datensätzen wahrscheinlich leisten, da es sehr unwahrscheinlich ist, dass ein Verstoß gegen diese Größe vor Gericht kommt. Es kann jedoch nicht mit dem Verlust von 100,000-Finanzaufzeichnungen fertig werden. Zum Beispiel Target hat vor kurzem eine Abfindung in Höhe von 18.5 Millionen ausbezahlt an verschiedene Landesregierungen wegen eines Verstoßes gegen 2013-Daten mit Millionen von Kreditkartenaufzeichnungen.

Welche Präzedenzfälle wurden gesetzt?

Grundsätzlich geht es im Gesetz genauso um Präzedenzfälle wie um das, was in den Büchern steht. Schauen wir uns also an, was wir aus früheren Verstößen und Fällen wissen:

1-Unternehmen können haftbar gemacht werden (oder werden demnächst sein)

Unternehmen und Websites tragen Verantwortung gegenüber ihren Kunden und Kunden. Dies gilt insbesondere für bestimmte Bereiche wie Gesundheitswesen und Recht, in denen die falsche Handhabung von Aufzeichnungen und die Vertraulichkeit lange vor dem Internetzeitalter Folgen hatten. Diese Regeln gelten weiterhin, und wenn Ihre Website in sensiblen Bereichen betrieben wird, sollten Sie wissen, was Sie tun können und was nicht. Das Gesetz ist klar.

Für alle anderen ist das Wasser hinsichtlich des Umfangs der Verantwortung noch trübe, wenn auch nur für jetzt. In Großbritannien nehmen Siedlungen und Geldbußen zu. Neue Rechtsvorschriften in der EU, sobald sie in Kraft treten, wird hart runterkommen in Unternehmen möglicherweise Bußgelder in Höhe von Milliarden Dollar für Unternehmen, die ihre Informationen nicht ausreichend schützen und sich am falschen Ende eines Datenschutzverstoßes befinden.

Was können wir in dieser Angelegenheit von den Vereinigten Staaten erwarten? Dies ist wenig bis keine explizite Gesetzgebung. Rechtsstreitigkeiten werden fast automatisch eingereicht, wenn es zu einem Datenverstoß im großen Maßstab kommt. Dies ist jedoch zu erwarten, wenn Anwälte Dollarzeichen sehen und eine Chance auf Öffentlichkeitsarbeit haben. Stattdessen wurde es von Fall zu Fall erarbeitet, sodass wir uns weitere Beispiele ansehen.

2- Schäden müssen klar sein

Datenverstöße treten häufig auf und scheinen sehr wenig zu bedeuten.

Viele Klagen von Verbrauchern wären wahrscheinlich nicht so erfolgreich, da eine potenzielle Schädigung durch Identitätsdiebstahl kein starkes Argument ist. Es müssten Beweise für eine tatsächliche oder unmittelbar bevorstehende Verletzung vorliegen, die unmittelbar nach einem Datenschutzverstoß schwer zu beweisen ist. Das kann sich ändern, scheint aber bisher der Fall zu sein.

Die meisten Hacker und Cyberkriminellen wissen es besser, als neu erfasste Daten auszuprobieren, und viele andere suchen einfach nach jemandem, der die Daten für Identitätsdiebstahlringe kaufen kann (ein Hacker verwendet wahrscheinlich nicht Millionen von Kreditkartennummern). Selbst dann wird der größte Teil des Identitätsdiebstahls nicht gleichzeitig gestohlen, was bedeutet, dass eine Sammelklage schwieriger zu organisieren ist.

Wendy's zum Beispiel hatte eine Sammelklage gegen sie erhoben, aber die Fall wurde schließlich abgewiesen. Das Gericht erklärte, der Schaden sei nicht ausreichend, und da dieser Schaden erstattet wurde, stand der Fall nicht vor dem Gesetz. Interessanterweise stellten Gerichte fest, dass einfache betrügerische Gebühren auf einer Kreditkarte nicht ausreichten, um Schadenersatz zu rechtfertigen.

3 - Nachlässigkeit und ordnungsgemäßes Protokoll

Als Beispiel für eine Sammelklage, die sich bewährt hat, Kunden von Neiman Marcus gewannen eine Klage in Höhe von 1.6 Millionen Dollar Gegen das Unternehmen hat der Einzelhändler nach seiner Bestätigung keinen angemessenen Schutz gewährt. Dies ist zwar ein großes Unternehmen und nicht nur eine Website. Wenn Sie jedoch ein Unternehmen betreiben, ist dies eine klare Botschaft, dass Vernachlässigung nicht toleriert wird.

Die Regierung ist bereits nach Unternehmen wie gegangen Wyndham und der TerraCom dafür, Informationen nicht richtig zu schützen. Einige Beispiele für Verstöße sind:

  • Speichern von Karteninformationen ohne Schutz oder Verschlüsselung.
  • Keine Verwendung von Firewalls oder anderen Sicherheitsmaßnahmen an physischen Standorten.
  • Mit leicht zu erratenden Passwörtern.
  • Externe Verbindungen können nicht eingeschränkt werden.
  • Speichern von Informationen auf deutlich ungeschützten Servern.

Darüber hinaus hat die Regierung die Unternehmen aufgefordert, bessere Sicherheitsmaßnahmen zu implementieren und zusätzlich zu den Geldbußen zusätzliche Kosten zu verursachen.

4 - Bestimmte Datensätze sind wichtiger

Wie bereits erwähnt, handelt es sich bei den Gesundheitsakten um HIPAA (oder ein gleichwertiges Dokument). wird durchgesetzt wenn gefunden, verletzt zu werden.

In jüngster Zeit kam es zu einer Reihe von Verstößen gegen Gesundheitsdaten in den USA und im Ausland, und es wäre töricht zu glauben, dass es keinen zunehmenden Druck geben wird, strengere Durchsetzungsmaßnahmen zu fordern und im digitalen Zeitalter härtere Strafen zu verhängen. Wenn Ihre Website mit der Gesundheitsfürsorge zusammenhängt, sollten Sie eine professionelle Cyber-Security-Hilfe in Betracht ziehen.

Aufzeichnungen, die sich auf die direkte Finanzverwaltung oder andere vertrauliche Informationen beziehen, werden ebenfalls auf hohem Niveau aufbewahrt. Morgan Stanley konnte die Kundendaten nicht schützen und verlor $ 1 Millionen dafür.

Darüber hinaus sollte beachtet werden, dass Vertragsbestimmungen oder andere rechtlich bindende Umstände gerichtlich Gewicht haben. Wenn sich Ihr Unternehmen bereit erklärt, einige Informationen zu schützen, sind Sie gesetzlich dafür verantwortlich, diese Informationen zu schützen, unabhängig von anderen Präzedenzfällen.

5: Es könnte sich je nach Region unterscheiden

In den Vereinigten Staaten unterscheiden sich die Gesetze hinsichtlich der Verwendung von Technologien und der Verantwortung für die Website-Nutzung und den Datenschutz von Staat zu Staat. Jedes Bundesland hat Gesetze in Bezug auf Cyber-Kriminalität, obwohl Unterschiede bei Strafen und Standards bestehen.

Wenn Sie sich mit einem internationalen Vorfall auseinandersetzen, ist es möglicherweise viel komplizierter. Die Mieter des Völkerrechts sind nicht ganz leicht zu verstehen. Dies gilt insbesondere für Gesetze zur Unternehmensverantwortung, insbesondere wenn es um relativ neue Gesetze in Bezug auf Technologie geht.

Wie bereits erwähnt, funktionieren Rechtssysteme genauso nach gesetzlichen Präzedenzfällen wie nach Gesetzen, und es gibt nicht viele Präzedenzfälle, die in diesem Rechtsbereich gesetzt wurden. Sie möchten auch kein Testfall sein, da die Besucher Ihrer Website mit einem Datenschutzverstoß in Verbindung gebracht werden, unabhängig davon, ob Sie dafür verantwortlich sind oder nicht. Es ist fast unmöglich, sich von dieser Art von Image-Schaden zu erholen.

Brüche in 2016 nach Region.

Reduzieren Sie Ihr Haftungsrisiko

Ihr Haftungsrisiko kann jedoch gemindert werden, selbst wenn Sie sich am falschen Ende eines Verstoßes befinden. Wenn Sie in Bezug auf das, was passiert ist, verantwortlich und aufgeschlossen sind und es keinen vernünftigen Weg gibt, wie Sie den Verstoß verhindert haben könnten, sind Sie wahrscheinlich im Recht und können sich darauf konzentrieren, die Marke und das Publikum Ihrer Website neu aufzubauen. Due Diligence zahlt sich wie immer aus.

Zusammenfassend sollten Sie Folgendes tun, sobald Sie können:

  • Platzieren Sie auf Ihrer Website so gut wie möglich Schutzvorrichtungen, die Ihre Besucher schützen. Aktivieren Sie HTTPS auf Ihrer Website, stellen Sie sicher, dass Ihre Kommentare automatisch moderiert werden (oder deaktivieren Sie sie je nach Website), halten Sie die Plugins auf dem neuesten Stand und entfernen Sie alle veralteten.
  • Schützen Sie Ihre Geräte auf ähnliche Weise und treffen Sie Vorkehrungen gegen menschliches Versagen. Eine Person, die sich nicht an ein ordnungsgemäßes Verfahren oder Gesetze hält, macht Sie mit größerer Wahrscheinlichkeit haftbar als ein Supervirus, das keine Verteidigung hat.
  • Informieren Sie sich über die Gesetze Ihres Staates in dieser Angelegenheit. Wenn sich Ihre Organisation dies leisten kann, suchen Sie nach einem Rechtsbeistand, um das Haftungsrisiko zu ermitteln, falls Informationen auslaufen. Beachten Sie, dass dies ein sich ständig änderndes Gebiet ist und die Präzedenzfälle und Gesetze von vor einigen Jahren möglicherweise nicht mehr zutreffen.
  • Versuchen Sie, die Sicherheit Ihrer Website so weit wie möglich zukunftssicher zu machen. Es gibt keine Möglichkeit, dies perfekt zu machen, aber stellen Sie sich mögliche Strategien vor, die ein erfahrener Hacker einsetzen kann.
  • Wenn Sie feststellen, dass Ihre Website verletzt wird, reagieren Sie schnell und entschlossen. Stellen Sie sicher, dass Sie nicht versuchen, das Leck zu verdecken oder das Ausmaß des Schadens anderweitig zu verbergen. Es wird nur dazu führen, dass Sie bei einer potenziellen Untersuchung weitaus schlechter aussehen, und es sieht so aus, als ob Sie schuld sind (die Benutzer Ihrer Website haben ein Recht, sich zu schützen und sich zu verteidigen). Machen Sie sich nicht selbst einreden und akzeptieren Sie die volle Schuld (auch in einem Blogbeitrag), sondern erkennen Sie die Situation an und teilen Sie dem Benutzer mit, was Sie tun, um den Schaden zu mindern und ein erneutes Auftreten zu verhindern.

Es gibt wahrscheinlich andere Maßnahmen, die Sie ergreifen können, um sich zu schützen, aber sie sind viel zu situativ, um einen wirklichen Einblick in diese Haftungsfrage geben zu können. Dazu gehören beispielsweise die Tatsache, dass die von Ihnen auf Ihrer Website verwendeten Skripten Sie anfällig machen (achten Sie darauf, welche Methoden Sie zum Sammeln von Daten verwenden), die genauen Daten, die Sie erheben, und den Grad der Interaktion, die Sie mit Ihrer Zielgruppe haben (Hacker können die Kommunikation anzeigen und Informationen hochrechnen Von daher ist es wichtig, wenn es um die Frage der Cybersicherheit geht.

Unabhängig von Ihren Gedanken zu Ihrer potenziellen Haftung sind Sie besser dran, wenn Sie sich schützen und das Wissen nutzen, das Ihnen begegnet. Diese Situation wird sich weiter ändern. Bleiben Sie also wachsam, um sich über rechtliche oder rechtliche Risiken im Zusammenhang mit der Cybersicherheit zu informieren. Mit den richtigen Ideen und dem richtigen Engagement sollten Sie sich nicht um dieses Problem kümmern müssen.

Über den Autor: Cassie Phillips

Cassie ist eine Bloggerin für Technologie und Internetsicherheit, die regelmäßig für schreibt Sichere Gedanken. Sie können in der Regel finden, dass sie neue Trends erforscht und versucht, ihr Publikum aufzubauen. Sie hofft, dass diese Informationen Ihnen dabei helfen werden, sich beim Aufbau Ihres Unternehmens von Online-Bedrohungen fernzuhalten.

Artikel von WHSR Guest

Dieser Artikel wurde von einem Gastbeitragsteller verfasst. Die nachstehenden Ansichten des Autors sind völlig seine eigenen und spiegeln möglicherweise nicht die Ansichten von WHSR wider.

Verbindung herstellen: