Ein zentrales Problem, das die Podiumsteilnehmer ausführlich erörterten, ist die Untererfassung von Vorfällen. Die Zahlen aus Massachusetts seien deshalb wahrscheinlich verzerrt. Laut Balcar tritt das Verschweigen vor allem bei privaten Unternehmen auf. Am stärksten von Datenpannen betroffen waren die Branchen Finanzdienstleistungen, Gesundheitswesen und Bankwesen.

Warum melden Betroffene nicht? Nach einem Vorfall brauchen Organisationen Zeit, um genau zu rekonstruieren, was passiert ist und welche Daten abgeflossen sind, erklärte D’Emilia. Zugleich betonte sie wiederholt die Bedeutung von Transparenz gegenüber den Verbrauchern. In den USA gibt es kein Bundesgesetz, das die Meldung von Cybervorfällen vorschreibt; Staaten wie Massachusetts, Kalifornien und New York haben jeweils eigene Datenschutzgesetze erlassen, sodass die Vorgaben variieren.

Die Generalstaatsanwaltschaft von Massachusetts verlangt eine Meldung “so bald wie praktikabel und ohne unangemessene Verzögerung”. Die Meldung muss unter anderem Art der Panne, etwaigen unbefugten Zugriff, Zahl der betroffenen Einwohner, Art der kompromittierten Daten sowie die ergriffenen Maßnahmen enthalten. Häufig höre man, man wisse noch nicht, worauf zugegriffen wurde, berichtete D’Emilia – das sei in Ordnung, eine Meldung lasse sich nachträglich aktualisieren, der gesetzlichen Pflicht müsse man aber mit dem aktuellen Kenntnisstand nachkommen.

Manche Organisationen wüssten gar nicht, dass sie meldepflichtig sind, ergänzte Rinehimer. Verzögerungen führte er auf die Menge gespeicherter personenbezogener Daten zurück: Bei der Untersuchung eines Vorfalls müssten Teams mitunter jedes einzelne E-Mail-Konto durchforsten, um die Betroffenen zu ermitteln. Mitunter sei es aber schlicht eine Weigerung – aus Sorge vor Haftung. “Tun Sie das nicht”, warnte Rinehimer. “Uber hat das getan, und es ist nicht gut ausgegangen.” Der Sicherheitschef des Fahrdienstvermittlers sah sich wegen der Verschleierung einer Datenpanne von 2016 einer Anklage auf Bundesebene gegenüber; er wurde später zu Bewährung verurteilt, Uber zahlte Millionen an Strafen und Vergleichen.

Verbraucher hätten ein Recht zu erfahren, was mit ihren Daten geschehen ist – ob Sozialversicherungsnummern, Geburtsdaten oder sensiblere Angaben wie Gesundheitsdaten betroffen sind. Erst mit einer Benachrichtigung könnten sie Konten schützen, Passwörter ändern oder eine kostenlose Kreditüberwachung in Anspruch nehmen. Mehr Transparenz nütze zudem den Verteidigern, weil sich aus den Daten langfristig Muster ableiten lassen.

Laut Petrozzeli zeigte der erste Bericht, dass Menschen und Prozesse “zwei große Hänger bei vielen der Pannen” seien. Besonders schwer taten sich Organisationen beim Identitäts- und Zugriffsmanagement: Mehrfaktor-Authentifizierung (MFA) fehlte vielerorts, und Passwörter seien “lächerlich schlecht umgesetzt” gewesen – verbreitet sei etwa “123456” zum Schutz sensibler Daten gewesen. Hinzu kam unzureichendes Patch-Management; viele Systemeinbrüche gingen auf über das Internet erreichbare Schwachstellen zurück.

Prozesse und Kultur seien ein großer Teil des Problems, so Petrozzeli. Viele betroffene Organisationen verschärften ihre Sicherheitsvorkehrungen erst nach einer Panne – eine strengere Passwortrichtlinie etwa wurde in 20 bis 30 Prozent der Fälle erst im Nachhinein eingeführt. “Wir sind zu klein, um von diesen Gruppen getroffen zu werden”, sei eine verbreitete Haltung von Führungskräften. “Sie sind nicht zu klein, Sie hatten nur Glück.”

Das OCABR selbst führte daraufhin MFA ein, verlangt einen Passwortwechsel alle 90 Tage und schreibt eine jährliche Pflichtschulung vor; wer sie nicht absolviert, dem schalten Administratoren den Rechner ab. Dennoch müssten die Schutzmaßnahmen weiter verbessert werden, warnte D’Emilia: “Betrüger sind uns weit voraus.” So erhielten drei OCABR-Mitarbeiter SMS auf ihren privaten Telefonen, in denen sich Angreifer als Leiter der Bankenabteilung ausgaben – die Mitarbeiter fielen nicht darauf herein. “Alles ist online, also ist es leicht für Angreifer zu sehen, wer wo und für wen arbeitet.”