Zusammenfassung
- Blackbauds Ransomware-Vorfall im Jahr 2020 wurde zu einem Cloud-Rechenschaftstest, da sich die öffentliche Berichterstattung von einer kurzen Kundenmitteilung zu Belegen der SEC, FTC, der Generalstaatsanwaltschaften der Bundesstaaten, der Kunden und der Öffentlichkeit über kopierte Dateien, sensible Felder, den Zeitpunkt der Benachrichtigung und die Aufbewahrung entwickelte.
- Wer hatte die praktische Kontrolle über die Verwahrung von Mandantendaten, Exfiltrationsbeweise, die Kommunikation über Lösegeldzahlungen, den Zeitpunkt der Kundenbenachrichtigung, die Zusammenarbeit mit Aufsichtsbehörden und den Nachweis, dass die Mitglieder von Non-Profit-Organisationen nicht zu einer unsichtbaren Kosten der Cloud-Konzentration wurden?
- Das Rechenschaftsproblem besteht nicht nur darin, dass ein Angreifer Daten kopiert hat. Es besteht darin, dass auftragsorientierte Einrichtungen sich auf die Untersuchung, das Dateninventar, die Löschungsbehauptungen und die Offenlegungskontrollen eines Anbieters verließen, bevor sie Spender, Ehemalige, Studenten, Patienten und Unterstützer benachrichtigen konnten.
- Bestätigte Fakten umfassen die spätere Offenlegung des Formulars 8-K von Blackbaud unterhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc, die SEC-Anordnung unterhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdf, die SEC-Pressemitteilung unterhttps://www.sec.gov/intelligence team/press-releases/2023-48, die FTC-Mitteilung unterhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxund die Ankündigung des Multi-Staat-Vergleichs von Blackbaud unterhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incident.
- Unterstützte Schlussfolgerungen müssen begrenzt bleiben: Non-Profit-Kunden konnten die Inhalte exfiltrierter Dateien, die Löschung durch Angreifer oder das Ausmaß sensibler Felder ohne Blackbauds Beweise nicht unabhängig überprüfen, aber die öffentliche Berichterstattung legt nicht jedes forensische Artefakt, jeden kundenspezifischen Datensatz oder jedes Sanierungsartefakt offen.
Warum dieser Fall in eine Risiko- und Rechenschaftsakte gehört
Blackbaud gehört in eine Risiko- und Rechenschaftsakte, weil der sichtbare Kunde selten die letztlich betroffene Person war. Eine Universität, eine Krankenhausstiftung, eine Lebensmittelbank, eine Wohltätigkeitsorganisation für Kinder, eine religiöse Organisation, eine Schule, ein Museum, eine Forschungsstiftung oder ein gemeinnütziges Unternehmen im öffentlichen Dienst könnte Blackbaud-Software erworben haben. Die Aufzeichnungen in diesen Systemen gehörten Spendern, Ehemaligen, Patienten, ehrenamtlichen Helfern, Studenten, Veranstaltungsteilnehmern, Begünstigten, Treuhändern, Mitarbeitern und Unterstützern.
Diese Personen haben möglicherweise nie einen Blackbaud-Anmeldebildschirm gesehen. Sie wurden dem Anbieter durch eine Institution vorgestellt, der sie für eine Mission vertrauten, nicht durch ein normales Verbraucherkonto.
Die wichtigste öffentliche Zeitleiste ist ungewöhnlich aufschlussreich. Die SEC-Anordnung unterhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdfbesagt, dass Blackbaud am 14. Mai 2020 unbefugten Zugriff feststellte und dass die Untersuchung des Unternehmens ergab, dass der Zugriff möglicherweise bereits im Februar 2020 begonnen hatte. Die Anordnung besagt weiter, dass der Vorfall zu unbefugtem Zugriff und zur Exfiltration von über einer Million Dateien von über 13.000 Kunden führte. Blackbaud gab den Vorfall am 16. Juli 2020 bekannt und benachrichtigte die betroffenen Kunden. Die SEC-Anordnung besagt dann, dass Mitarbeiter innerhalb weniger Tage erfuhren, dass frühere Aussagen über Bankkontoinformationen und Sozialversicherungsnummern von Spendern für einige Kunden fehlerhaft waren, das Unternehmen jedoch im Formular 10-Q vom 4. August 2020 diesen weiteren Umfang nicht offenlegte und das Risiko als hypothetisch charakterisierte.
Blackbauds späteres Formular 8-K, verfügbar unterhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc, änderte das öffentliche Risikobild. Es besagte, dass weitere forensische Untersuchungen ergaben, dass der Angreifer für einige benachrichtigte Kunden möglicherweise auf unverschlüsselte Felder zugegriffen hat, die für Bankkontoinformationen, Sozialversicherungsnummern, Benutzernamen und/oder Passwörter vorgesehen waren. Das bedeutete nicht, dass jeder Kunde diese Felder offengelegt hatte. Es bedeutete, dass die ursprüngliche Benachrichtigungsarchitektur die vollständige Unsicherheit nicht transportiert hatte und dass einige Kunden zusätzliche Unterstützung benötigten.
Die Rechenschaftsfrage ist daher praktischer Natur. Wer hatte die praktische Kontrolle über die Verwahrung von Mandantendaten, Exfiltrationsbeweise, die Kommunikation über Lösegeldzahlungen, den Zeitpunkt der Kundenbenachrichtigung, die Zusammenarbeit mit Aufsichtsbehörden und den Nachweis, dass die Mitglieder von Non-Profit-Organisationen nicht zu einer unsichtbaren Kosten der Cloud-Konzentration wurden?
Die Antwort beginnt bei Blackbaud, weil Blackbaud die gehostete Umgebung, die Untersuchung, die ersten Kundenmitteilungen, die Datenaufbewahrungshaltung, die dienstspezifischen Dateien und den Beweisfuss kontrollierte, den die nachgelagerten Institutionen benötigten, um ihre Gemeinschaften zu benachrichtigen.
Das löscht die Verantwortung der Kunden nicht aus. Kunden entscheiden, welche Daten sie sammeln, welche Felder sie verwenden, welche Anhänge sie hochladen, wie lange sie alte Aufzeichnungen aufbewahren und wie sie mit ihren Mitgliedern kommunizieren. Aber die Verantwortung des Kunden sitzt hinter einem Beweistor des Anbieters.
Wenn eine Non-Profit-Organisation nicht sehen kann, welche Blackbaud-Dateien kopiert wurden, nicht überprüfen kann, ob ein Feld verschlüsselt war, nicht die Kommunikation des Angreifers einsehen kann und nicht unabhängig die Datenlöschung bestätigen kann, dann wird die Beweisdisziplin des Anbieters zur kontrollierenden Bedingung für die Rechenschaftspflicht aller anderen.
Die Zeitleiste ist ein Fall von Offenlegungskontrolle, nicht nur ein Eindringfall
Die Zeitleiste ist wichtig, weil sie zeigt, dass die Rechenschaftspflicht nicht endete, als der Angreifer vertrieben wurde. Sie verlagerte sich auf die Offenlegungskontrollen. Die SEC-Pressemitteilung unterhttps://www.sec.gov/intelligence team/press-releases/2023-48besagt, dass Blackbaud sich bereit erklärte, eine zivilrechtliche Strafe von 3 Millionen USD zu zahlen, um Vorwürfe irreführender Offenlegungen beizulegen, ohne die Feststellungen der SEC zuzugeben oder zu bestreiten. Der wichtige Punkt für diese Akte ist nicht der Dollarbetrag. Es ist das von der SEC beschriebene Kontrollversagen: Technische und kundenbetreuende Mitarbeiter erhielten Informationen über sensible Daten, die nicht an das für die öffentliche Offenlegung verantwortliche Senior Management gelangten, bevor die Einreichung im August 2020 erfolgte.
Das ist eine andere Fehlerart als eine Firewall-Lücke oder ein Endpunkt-Kompromiss. Es ist eine Beweislücke. Bei einem Cloud-Vorfall bewegen sich Fakten von Endpunkt-Ermittlern zu Produktteams, Kundensupport-Skripten, Anwälten, Führungskräften, Aufsichtsbehörden, Investoren und Kunden. Wenn diese Fakten nicht schnell genug oder mit ausreichender Präzision bewegt werden, kann die öffentliche Berichterstattung den betroffenen Personen das Falsche mitteilen, selbst nachdem das Unternehmen weiß, dass die erste Benachrichtigung unvollständig war. Für auftragsorientierte Kunden ist diese Verzögerung keine Abstraktion der Investorenbeziehungen.
Sie entscheidet, wann ein Spender ein Bankkonto einfrieren kann, wann ein Patient auf Identitätsmissbrauch achten kann, wann eine Universität ihre Ehemaligen benachrichtigen kann und wann eine Wohltätigkeitsorganisation ängstliche Unterstützer beantworten kann.
Die SEC-Anordnung beschreibt eine besonders scharfe Abfolge. Blackbauds Mitteilung vom 16. Juli besagte, dass der Angreifer nicht auf Bankkontoinformationen oder Sozialversicherungsnummern von Spendern zugegriffen hat. Kundenfragen brachten dann Bedenken auf, dass sensible Daten in unverschlüsselten Anhängen oder Feldern gespeichert worden sein könnten. Bis zum 21. Juli, so die SEC-Anordnung, hatten Mitarbeiter ein Kundendienst-Skript entwickelt, das einräumte, dass bestimmte Anhänge und Felder, die potenziell für diese Kategorien genutzt wurden, nicht verschlüsselt waren.
Bis Ende Juli hatten Mitarbeiter den Zugriff und die Exfiltration einiger unverschlüsselter Bankkontoinformationen und Sozialversicherungsnummern von Spendern für eine Reihe betroffener Kunden bestätigt. Das Formular 10-Q vom 4. August enthielt diese wesentliche Korrektur nicht.
Die FTC stellte das gleiche Ereignis später durch den Verbraucherschutz und die Datenaufbewahrung dar. Ihre Mitteilung unterhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxbesagt, dass Blackbaud keine angemessenen Sicherheitsvorkehrungen implementiert hat, den Verstoß monatelang unentdeckt ließ, Daten länger als nötig aufbewahrte, 24 Bitcoin zahlte, nachdem der Angreifer drohte, gestohlene Daten offenzulegen, und nie überprüfte, ob der Angreifer die Daten gelöscht hat. Dies sind FTC-Behauptungen und Anordnungsbedingungen, keine privaten forensischen Protokolle, die von Blackbaud veröffentlicht wurden. Sie sind dennoch zentral, weil sie den öffentlichen Rechenschaftsstandard identifizieren: Sicherheit, Aufbewahrung, Erkennung, Benachrichtigung und Löschungsnachweis sind eine Kette.
Diese Kette ist der Grund, warum dies ein Fall von Cloud-Dienst-Abhängigkeit ist. Kunden brauchten nicht nur ihre eigene Vorfallreaktion. Sie brauchten Anbieterbeweise, die in rechtmäßige, genaue, kundenspezifische Mitteilungen umgewandelt werden konnten. Eine Wohltätigkeitsorganisation kann Unterstützern nicht verantwortungsbewusst sagen, dass kein Handlungsbedarf besteht, wenn die eigene Überprüfung des Anbieters noch nicht stark genug ist, um diese Aussage zu stützen.
Eine Universität kann Ehemaligen nicht mitteilen, ob Bankfelder oder Identitätsnummern betroffen waren, wenn der Anbieter nur Dateinamen und nicht die relevanten Inhalte analysiert hat. Der Zeitpunkt der Benachrichtigung wird zu einer Kontrollfläche.
Wohltätigkeitsdaten sind nicht risikoarm, weil die Institution wohltätig ist
Der Begriff „Wohltätigkeitsdaten“ kann weich klingen. Das ist er nicht. Eine Spenderdatenbank kann Namen, Privatadressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Familienbeziehungen, Arbeitgeberinformationen, Vermögensindikatoren, Informationen zu Nachlassspenden, wiederkehrende Spendenhistorie, Bankdetails, Veranstaltungsteilnahmen, ehrenamtliche Präferenzen, Vorstandsmitgliedschaften, Kampagnennotizen, religiöse oder politische Zugehörigkeit, Beziehungen zu Gesundheitsstiftungen und Kontakthistorien enthalten, die private Verbindungen offenbaren.
Im universitären Kontext können Alumni-Datensätze Abschluss, Jahr, Studentenidentifikatoren, Engagement-Muster, Karrieredetails und philanthropische Kapazität umfassen. Im Kontext einer Gesundheitsstiftung kann die institutionelle Beziehung eine sensible gesundheitliche Nähe implizieren, selbst wenn sich klinische Aufzeichnungen nicht im verletzten System befinden.
Blackbauds Formular 10-K von 2023 unterhttps://www.sec.gov/Archives/edgar/data/1280058/000128005824000013/blkb-20231231.htmbeschreibt Fundraising- und Beziehungsmanagementprodukte, darunter Raiser's Edge NXT, Blackbaud CRM, eTapestry, Luminate Online, TeamRaiser, JustGiving, Fundraiser Performance Management und Altru. Die Produktbeschreibungen sind wichtig, weil sie die Abhängigkeitsoberfläche zeigen: Fundraising, Spendenformulare, Kampagnenmanagement, digitales Spenden, Event-Fundraising, Analytik, Engagement, Mitgliedschaft und Mitgliederdatensätze. Dies sind keine isolierten Kundendateien. Sie sind das operative Gedächtnis für Institutionen, die oft langjährige Beziehungen zu Menschen haben.
Kundenmitteilungen machen die menschliche Ebene sichtbar. Die Mitteilung der University of Alabama unterhttps://giving.ua.edu/data/besagte, dass Blackbaud die Universität am 16. Juli 2020 darüber informierte, dass im Mai ein Ransomware-Angriff stattgefunden hatte und dass eine Untergruppe von Daten mehrerer Kunden kopiert worden war. Die Mitteilung des UNC Systems unterhttps://www.northcarolina.edu/blackbaud-information-security-incident/beschrieb Blackbaud als einen der weltweit größten Anbieter von Beziehungsmanagement für Hochschulen und sagte, dass die selbst gehostete Datenumgebung betroffen war. Die Mitteilung der Edinburgh Napier University unterhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentlistete Kategorien wie Kontaktdaten, Kurs- und Bildungsdetails, Engagement mit Alumni und Fundraising-Aktivitäten, berufliche Details und durch Umfragen bereitgestellte Interessen auf.
Die Wohltätigkeitsmitteilungen waren nicht identisch, weil die Kundendaten nicht identisch waren. Die Mitteilung von Child & Family Service unterhttps://childandfamilyservice.org/securityincident/bezog sich auf biografische Informationen, Kontaktdaten, Spendenhistorie und Beziehungsinformationen. The Task Force for Global Health unterhttps://www.taskforce.org/blackbaud-data-security-incident/beschrieb einen Vorfall bei einem Drittanbieter und eine Untersuchung der Auswirkungen auf Spendendaten. Die Mitteilung des Ridgewater College unterhttps://ridgewater.edu/alumni-friends/ridgewater-college-foundation/blackbaud-data-security-incident/besagte, dass Blackbaud zwischen dem 7. Februar und zeitweise bis zum 20. Mai 2020 Ziel war und das College am 16. Juli benachrichtigte. Diese Mitteilungen sind wertvoll, weil sie zeigen, wie nachgelagerte Institutionen ein einziges Anbieterereignis in viele lokale Vertrauensbeziehungen übersetzen.
Das Rechenschaftsproblem besteht darin, dass diese nachgelagerten Institutionen sowohl Opfer als auch Boten waren. Sie mussten Fragen von Spendern, Ehemaligen und Unterstützern beantworten, während sie von Blackbauds Untersuchung abhängig waren. Sie mussten auch bewerten, ob ihre eigenen Datenpraktiken die Auswirkungen verschlimmerten: Haben sie sensible Daten in Freitextfeldern gespeichert? Haben sie unverschlüsselte Anhänge hochgeladen? Haben sie alte Aufzeichnungen ohne aktuellen Zweck aufbewahrt? Haben sie verstanden, wie Blackbaud Daten ehemaliger Kunden aufbewahrte?
Der Anbieter kontrollierte die Plattform, aber die Kunden kontrollierten einige der Datenentscheidungen darin. Die Rechenschaftspflicht folgt beiden Ebenen, in dieser Reihenfolge.
Bestätigte Fakten, unterstützte Schlussfolgerungen und Unbekannte müssen getrennt bleiben
Die bestätigten öffentlichen Fakten reichen aus, um den Fall ernst zu machen. Die SEC-Anordnung besagt, dass über eine Million Dateien von über 13.000 Kunden abgerufen und exfiltriert wurden. Sie besagt, dass das Unternehmen den Angriff am 14. Mai 2020 entdeckte, den Vorfall am 16. Juli bekannt gab und die betroffenen Kunden benachrichtigte, am 4. August ein Formular 10-Q einreichte und in einem Formular 8-K vom 29. September offenlegte, dass für einige Kunden möglicherweise auf unverschlüsselte Felder zugegriffen wurde, die für Bankkontoinformationen, Sozialversicherungsnummern, Benutzernamen und/oder Passwörter vorgesehen waren.
Die FTC-Mitteilung besagt, dass der Verstoß drei Monate lang unentdeckt blieb, die persönlichen Daten von Millionen von Verbrauchern betroffen waren, die unnötige Datenaufbewahrung Teil des Problems war und die Anordnung die Löschung nicht mehr benötigter Daten sowie ein umfassendes Informationssicherheitsprogramm verlangte.
Bestätigte Durchsetzungsergebnisse sind ebenfalls klar. Blackbauds Ankündigung vom Oktober 2023 unterhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incidentbesagt, dass es sich bereit erklärte, 49,5 Millionen USD an 49 Bundesstaaten und den District of Columbia zu zahlen und Cybersicherheitsprogramme und -tools zu implementieren oder zu verbessern, während es keine irreführenden Aussagen in Bezug auf Datenschutz, Privatsphäre, Sicherheit, Vertraulichkeit, Integrität und Benachrichtigungspflichten bei Verstößen machte. Die Mitteilung des New Yorker Generalstaatsanwalts unterhttps://ag.ny.gov/press-release/2023/attorney-general-james-and-multistate-coalition-secure-495-million-cloud-companybeschrieb den Vergleich als Beilegung einer staatenübergreifenden Untersuchung zur Offenlegung von Spenderinformationen. Die Mitteilung des kalifornischen Generalstaatsanwalts unterhttps://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-overkündigte einen separaten Vergleich in Höhe von 6,75 Millionen USD im Jahr 2024 an. Dies sind Aufzeichnungen über zivilrechtliche Vergleiche, keine strafrechtlichen Feststellungen.
Unterstützte Schlussfolgerungen sind enger. Es ist vernünftig anzunehmen, dass viele Kunden den Umfang der Dateiinhalte nicht unabhängig aus ihren eigenen Systemen ermitteln konnten, weil der Vorfall innerhalb der Umgebung von Blackbaud stattfand und weil die SEC-Anordnung Blackbauds Dateinamenprüfung und spätere Kundenbedenken hinsichtlich unverschlüsselter Felder beschreibt. Es ist vernünftig anzunehmen, dass die Benachrichtigungsqualität uneinheitlich war, weil nachgelagerte Mitteilungen von sich entwickelnden Anbieterinformationen abhingen.
Es ist vernünftig anzunehmen, dass die unnötige Aufbewahrung die Anzahl der betroffenen Personen erhöhte, weil die FTC behauptete, Blackbaud habe Daten länger als nötig aufbewahrt, einschließlich Informationen ehemaliger Kunden.
Unbekannte müssen unbekannt bleiben. Die öffentliche Berichterstattung enthält keine vollständige Liste jedes betroffenen Kunden, jeder betroffenen Person, jedes Dateinamens, jedes kopierten Feldes, jedes verschlüsselten Feldes, jeder kundenspezifischen Produktinstanz, jeder privaten Mitteilung, jeder Kommunikation mit Strafverfolgungsbehörden, jeder Kommunikation mit Angreifern, jeder forensischen Schlussfolgerung oder jeder Sicherheitsverbesserung. Sie beweist nicht, dass jeder kopierte Datensatz missbraucht wurde. Sie beweist nicht, dass die Löschung durch den Angreifer erfolgte.
Sie beweist nicht, dass alle Kunden Daten verantwortungsbewusst gespeichert haben. Sie beweist auch nicht, dass alle späteren Sanierungsmaßnahmen unwirksam waren. Eine verantwortungsbewusste Rechenschaftsakte sollte diese Lücken nicht mit unbegründeten Anschuldigungen füllen.
Diese Trennung ist keine rechtliche Spitzfindigkeit. Sie ist die Disziplin, die die Vorfallreaktion selbst anwenden sollte. Bestätigte Fakten sagen den Menschen, welche Maßnahmen sie ergreifen sollen. Unterstützte Schlussfolgerungen sagen den Kunden, welche Fragen sie stellen sollen. Unbekannte sagen den Aufsichtsbehörden, wo sie Beweise anfordern sollen. Wenn die drei Kategorien vermischt werden, wird die Kommunikation bei Verstößen entweder zu falscher Beruhigung oder Panik. Blackbauds Fall zeigt, warum die Kategorien von der ersten Benachrichtigung an explizit sein müssen.
Lösegeldzahlung ist kein Löschungsnachweis
Die Aufzeichnung der Lösegeldzahlung ist zentral, weil viele nachgelagerte Mitteilungen die Idee wiederholten, dass Blackbaud zahlte und Zusicherungen erhielt, dass die kopierten Daten vernichtet wurden. Die FTC-Mitteilung unterhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxstellt fest, dass Blackbaud 24 Bitcoin zahlte, nachdem der Angreifer drohte, die Daten offenzulegen, und laut FTC nie überprüfte, ob der Angreifer die gestohlenen Daten tatsächlich gelöscht hatte. Kundenmitteilungen wie die von Edinburgh Napier, Child & Family Service und der University of Alabama beschrieben Zusicherungen oder Bestätigungen von Blackbaud bezüglich der Löschung. Diese Mitteilungen zeigen die nachgelagerte Abhängigkeit von der Sprache des Anbieters.
Das Rechenschaftsproblem besteht darin, dass eine Lösegeldzahlung eine Krisenentscheidung sein kann, aber keine Sicherheitskontrolle ist. Sie beweist keine Löschung. Sie beweist nicht, dass keine Kopie angefertigt wurde. Sie beweist nicht, dass keine Daten eingesehen wurden. Sie schließt das Aufbewahrungsproblem nicht. Sie benachrichtigt keine betroffenen Personen. Sie repariert den Zugriffspfad nicht. Sie ersetzt nicht Verschlüsselung, Segmentierung, Multi-Faktor-Authentifizierung, Schwachstellenmanagement, Überwachung, Least Privilege, Backup-Validierung, Datenminimierung und Offenlegungskontrollen.
Der CISA-Leitfaden StopRansomware unterhttps://www.cisa.gov/stopransomware/ransomware-guideund der NIST-Leitfaden zur Vorfallbehandlung unterhttps://csrc.nist.gov/pubs/sp/800/61/r2/finalgeben hier nützliche öffentliche Vokabeln. Sie treffen keine Feststellungen über Blackbaud. Sie definieren, warum ein Ransomware-Ereignis durch Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Kommunikation und gewonnene Erkenntnisse behandelt werden muss. Wenn ein Anbieter ein Lösegeld zahlt, steht diese Entscheidung im Rahmen der Reaktionsaufzeichnung. Sie sollte nicht zum Beweis werden, dass Verbraucher sicher sind.
Für auftragsorientierte Kunden ist das Löschungsproblem besonders schwierig. Eine Wohltätigkeitsorganisation hat möglicherweise nicht die technische Kapazität, um die Löschungsbehauptung eines Anbieters in Frage zu stellen. Eine Universität hat möglicherweise Rechtsberatung, aber keinen Zugang zur Kommunikation des Anbieters mit dem Angreifer. Eine kleine Stiftung gibt möglicherweise eine Mitteilung unter Verwendung der Formulierung des Anbieters heraus, weil sie wenig anderes hat. Deshalb sind Aufsichtsbehörden wichtig.
Die FTC-Anordnung, die Datenlöschung und Aufbewahrungsfristen vorschreibt, verwandelte eine Löschungsbehauptung in eine betriebliche Verpflichtung: Das Unternehmen muss Daten löschen, die es nicht mehr benötigt, und dokumentieren, warum die aufbewahrten Daten weiterhin notwendig sind.
Die dauerhafte Lehre ist, dass die Datenlöschung vor einem Vorfall kontrollierbar sein muss. Wenn ein Unternehmen alte Kundendaten aufbewahrt, weil Speicher billig und die Bereinigung kompliziert ist, schafft es eine größere betroffene Bevölkerung. Wenn es nicht beweisen kann, was in den kopierten Dateien war, kann es keine präzisen Mitteilungen herausgeben. Wenn es sich auf Versprechungen von Angreifern verlässt, hat es den Sicherheitsnachweis auf die am wenigsten vertrauenswürdige Partei in der Kette übertragen. Rechenschaftspflicht erfordert Löschungsnachweise, die dem Anbieter gehören, nicht dem Angreifer.
Kundenmitteilungen zeigen delegierte Rechenschaftspflicht unter Druck
Die nachgelagerten Mitteilungen sind der beste öffentliche Beweis dafür, wie der Vorfall Gemeinschaften erreichte. Mitteilungen von Universitäten, Wohltätigkeitsorganisationen und Stiftungen wiederholten Blackbauds Beschreibung des Ereignisses, erläuterten lokale Datenkategorien und teilten den betroffenen Personen mit, was die Einrichtung unternahm. Diese Wiederholung ist an sich kein Mangel. So funktioniert die Kommunikation bei Vorfällen Dritter. Der Mangel tritt auf, wenn die vorgelagerte Quelle unvollständig, übermäßig sicher oder langsam bei Aktualisierungen ist.
Die Mitteilung der UNC unterhttps://www.northcarolina.edu/blackbaud-information-security-incident/stellte Blackbaud als einen bedeutenden Anbieter von Beziehungsmanagement für Hochschulen dar. Die Mitteilung der University of Alabama unterhttps://giving.ua.edu/data/beschrieb spenderbezogene Aufzeichnungen und die Zahlungs- und Löschungszusicherung des Anbieters. Edinburgh Napiers Mitteilung unterhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentbeschrieb Alumni- und Fundraising-Engagement-Felder. The Task Force for Global Health unterhttps://www.taskforce.org/blackbaud-data-security-incident/betonte Spenderinformationen und eine laufende institutionelle Untersuchung. Jede Mitteilung musste das Anbieterereignis für eine bestimmte Gemeinschaft lokalisieren.
Dies ist delegierte Rechenschaftspflicht. Der Anbieter kontrolliert die Beweise. Der Kunde kontrolliert die Beziehung zu den Mitgliedern. Das Mitglied trägt das Risiko. Wenn die Beweise des Anbieters spät kommen, wirkt der Kunde ausweichend. Wenn die Datenhygiene des Kunden schlecht ist, hat der Vorfall des Anbieters eine größere Wirkung. Wenn das Mitglied das Vertrauen verliert, kann die Mission der Wohltätigkeitsorganisation leiden, selbst wenn die Wohltätigkeitsorganisation die kompromittierte Infrastruktur nicht betrieben hat. Die Grenze zwischen Anbieterrisiko und Missionsrisiko verschwindet.
Die Kontinuität des öffentlichen Sektors ist Teil davon, weil viele gemeinnützige Organisationen, Universitäten und gesundheitsnahe Stiftungen keine dekorativen Institutionen sind. Sie unterstützen Bildung, medizinische Forschung, soziale Fürsorge, kulturelles Erbe, Katastrophenhilfe, kommunale Dienste und gefährdete Bevölkerungsgruppen. Ein Verstoß gegen Mitgliederdatensätze kann das Spendenvertrauen verringern, Unterstützungsbelastungen schaffen, Mitarbeiter ablenken und Menschen zögern lassen, sich zu engagieren. Der operative Schaden ist nicht immer ein Systemausfall.
Manchmal ist der Schaden ein Vertrauensausfall: Telefone klingeln, Spender fordern Erklärungen, Ehemalige stellen Datenpraktiken in Frage, und Mitarbeiter verlieren Zeit mit der Rekonstruktion von Aufzeichnungen und rechtlichen Verpflichtungen.
Der Anbieter sollte daher die Vorfallkommunikation für delegierte Rechenschaftspflicht gestalten. Das bedeutet kundenspezifischen Umfang, klare Unsicherheitskennzeichnungen, Handlungsanleitungen, Auslöser für ergänzende Mitteilungen, Koordination mit Aufsichtsbehörden und Beweisaufbewahrung. Es bedeutet auch, kategorische Zusicherungen zu vermeiden, bevor Dateiinhalte und kundenseitige Feldpraktiken bekannt sind. In Blackbauds Fall zeigen die späteren SEC- und FTC-Aufzeichnungen, warum frühe Gewissheit zu einer Haftung wurde.
Durchsetzungsmaßnahmen machten die Benachrichtigungsqualität zu einer Kontrollpflicht
Die Aufzeichnungen der SEC, der FTC, der Generalstaatsanwälte der Bundesstaaten und Kaliforniens betonen jeweils einen anderen Teil der Kette. Die SEC befasste sich mit der Offenlegung gegenüber Investoren und den Offenlegungskontrollen. Die FTC befasste sich mit Verbraucherschutz, Datensicherheit, Aufbewahrung, Benachrichtigung und Zusicherungen. Die Generalstaatsanwälte der Bundesstaaten befassten sich mit Datensicherheit, Benachrichtigungspflichten bei Verstößen und Verbraucherschutzpflichten in allen Rechtsräumen. Kalifornien fügte eine separate Vergleichsaufzeichnung hinzu.
Zusammen machten sie die Benachrichtigungsqualität zu einer Kontrollpflicht, nicht zu einer Kommunikationspräferenz.
Der AP-Bericht unterhttps://apnews.com/article/dba8fac12af30f74691c7af4fec69a14ist als öffentliche Nachrichtenzusammenfassung nützlich, weil er den Multi-Staat-Vergleich beschreibt und anmerkt, dass der Verstoß mehr als 13.000 gemeinnützige Organisationen betraf und sensible Informationen von Millionen von Menschen offenlegte, während auch darauf hingewiesen wird, dass Blackbaud im Vergleich kein Fehlverhalten einräumte. Die Berichterstattung von Reuters unterhttps://www.reuters.com/legal/software-firm-blackbaud-pay-3-mln-misleading-disclosures-ransomware-attack-sec-2023-03-09/fasste den SEC-Vergleich ähnlich zusammen. Nachrichtenberichte ersetzen nicht die Anordnungen, aber sie zeigen, wie Durchsetzungsaufzeichnungen in das öffentliche Verständnis übersetzt wurden.
Die Benachrichtigungsqualität hat mehrere Komponenten. Erstens der Zeitpunkt: Hat der Kunde schnell genug erfahren, um betroffene Personen zu schützen? Zweitens die Spezifität: Hat die Mitteilung die betroffenen Datenkategorien identifiziert? Drittens die Genauigkeit: Wurden kategorische Behauptungen durch Beweise gestützt? Viertens die Aktualisierungspflicht: Hat das Unternehmen die Mitteilungen korrigiert, als neue Fakten auftauchten? Fünftens die Handlungsfähigkeit: Wussten die betroffenen Personen, was sie tun sollten?
Sechstens die Rechenschaftspflicht: Hat das Unternehmen identifiziert, welche Fakten bestätigt, welche untersucht und welche unbekannt waren?
Blackbauds öffentliche Aufzeichnung zeigt Schwächen in mehreren dieser Komponenten. Die SEC-Anordnung besagt, dass die August-Einreichung die wesentliche Tatsache ausließ, dass einige unverschlüsselte Bankkonten- und Sozialversicherungsnummerndaten exfiltriert worden waren, obwohl Mitarbeiter dies erfahren hatten. Die FTC behauptete, Blackbaud habe fast zwei Monate gewartet, um Kunden zu benachrichtigen, und dann Verbraucher über das Ausmaß der gestohlenen Daten in die Irre geführt, einschließlich Aussagen, dass Kunden keine Maßnahmen ergreifen müssten.
Staatliche Vergleiche erforderten Änderungen der Datensicherheits- und Benachrichtigungspraktiken bei Verstößen. Dies ist ein Fall, in dem Beweise zu langsam durch die Organisation flossen.
Eine Organisation, die sensible Aufzeichnungen anderer Institutionen verwaltet, sollte Offenlegungskontrollen als Teil der Sicherheitsarchitektur behandeln. Sie benötigt einen Weg von forensischen Erkenntnissen zu Kundenmitteilungen, SEC-Einreichungen, Datenschutzbehörden, Callcenter-Skripten, Vorstandsaufsicht und kundenspezifischer Sanierung. Wenn dieser Weg informell ist, kann die erste Aussage zu einer Falle werden. Technische Teams kennen möglicherweise eine Tatsache, Kundenteams eine andere, Rechtsteams eine andere und die Führungsebene eine andere. Die Öffentlichkeit erhält einen Durchschnitt der Unwissenheit.
Datenaufbewahrung machte das Rechenschaftsproblem größer
Der Fokus der FTC auf die Datenaufbewahrung ist einer der wichtigsten Teile der Blackbaud-Aufzeichnung. Die Aufbewahrung ist oft unsichtbar, bis ein Verstoß eintritt. Vor einem Vorfall können zusätzliche historische Daten nützlich erscheinen: Alte Spender könnten zurückkehren, alte Ehemalige könnten spenden, alte Veranstaltungsteilnehmer könnten sich einer Kampagne anschließen, alte Anhänge könnten helfen, eine Beziehung zu rekonstruieren. Nach einem Vorfall werden zusätzliche Daten zum Gefährdungsinventar. Wenn die Organisation nicht erklären kann, warum sie noch ein Feld aufbewahrt, hat sie Risiko ohne Zweck gespeichert.
Die FTC-Mitteilung besagt, dass Blackbaud Daten länger als nötig aufbewahrt hat, einschließlich Informationen ehemaliger Kunden. Dieses Detail ist wichtig, weil es die Fairness der Risikoverteilung ändert. Eine Person kann aufhören zu spenden, ihren Abschluss machen, ein Programm verlassen oder sich aus einer Kampagne zurückziehen. Die ursprüngliche Institution kann die Nutzung eines Anbieters einstellen. Wenn Daten Jahre später in einer gehosteten Umgebung verbleiben, trägt die betroffene Person weiterhin Risiko ohne aktuellen Servicevorteil.
Ein Aufbewahrungsfehler kann einen Anbieterverstoß in eine langfristige Belastung für Menschen verwandeln, die praktisch keine Möglichkeit haben, die Löschung zu verlangen.
Datensouveränität und -lokalität treten hier ebenfalls ein. Blackbaud unterstützte Kunden in vielen Ländern, und sein Formular 10-K von 2023 beschreibt Geschäftstätigkeiten in den Vereinigten Staaten, Australien, Kanada, Costa Rica und dem Vereinigten Königreich mit Nutzern in über 100 Ländern. Dieser globale Plattformkontext ist wichtig. Ein Kunde in einer Gerichtsbarkeit kann Verpflichtungen gegenüber Spendern oder Ehemaligen in einer anderen haben.
Eine britische Universität, eine kanadische Wohltätigkeitsorganisation, eine US-amerikanische Krankenhausstiftung oder eine australische gemeinnützige Organisation können unterschiedlichen Datenschutz-, Benachrichtigungs- und Aufbewahrungspflichten unterliegen. Die gehostete Architektur des Anbieters und die kundenspezifischen Datenzuordnungen werden zur rechtlichen Infrastruktur.
Der ICO-Leitfaden zu Ransomware unterhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/ist ein nützlicher Kontext, weil er Ransomware als Datenschutzproblem behandelt, nicht nur als Malware-Vorfall. Er trifft in diesem Artikel keine Blackbaud-spezifische Feststellung. Er zeigt, warum die Analyse personenbezogener Datenverstöße Sicherheit, Verfügbarkeit, Vertraulichkeit, Exfiltration, Verpflichtungen von Verantwortlichen und Auftragsverarbeitern sowie Beweise umfassen muss. In einer Multi-Tenant-Plattform für gemeinnützige Organisationen sind diese Verpflichtungen verteilt, aber nicht verwässert.
Die Aufbewahrungsdisziplin ist auch eine Kundenpflicht. Kunden sollten Sozialversicherungsnummern, Bankdetails, medizinische Notizen, Passinformationen oder sensible Freitextanhänge nicht in Beziehungssystemen speichern, es sei denn, sie haben einen definierten Zweck, eine Verschlüsselungshaltung, eine Zugriffsrichtlinie, einen Löschungsplan und eine Anbieterzusicherung. Die Diskussion der SEC-Anordnung über unverschlüsselte Anhänge und Felder ist eine Warnung: Kunden können sensible Datenpockets in Systemen erzeugen, die die Beschaffung möglicherweise nicht versteht.
Der Anbieter muss die Plattform schützen, aber die Kunden müssen wissen, was sie hineinstecken.
Kundenzusicherung muss produktspezifisch sein
Die Blackbaud-Aufzeichnung zeigt auch, warum generische Anbieterzusicherungen für Verwaltungsplattformen für Mitglieder zu schwach sind. Ein gemeinnütziger Kunde kann ein Produkt für Spenderdatensätze, ein anderes für Online-Kampagnen, ein weiteres für Event-Fundraising und ein weiteres für Analytik oder Zuschussverwaltung verwenden. Jedes Produkt kann unterschiedliche Daten speichern, unterschiedliche Standardeinstellungen anwenden, unterschiedliche Exporte erstellen und unterschiedliche Anhänge oder Freitextpraktiken unterstützen.
Wenn eine Vorfallmitteilung nur besagt, dass „Kundendaten“ kopiert wurden, muss der Kunde dennoch wissen, welches Produkt, welche Felder, welche historischen Aufzeichnungen, welche Exporte und welche Integrationen betroffen sind.
Produktspezifische Zusicherungen sollten mit Datenzuordnungen beginnen. Ein Kunde sollte sehen können, welche Blackbaud-Systeme Namen, Adressen, Spendenhistorie, Bankfelder, Identitätsnummern, Anmeldefelder, Engagement-Notizen, Anhänge, Veranstaltungsteilnahmen, Beziehungslinks und importierte Dateien enthalten. Er sollte wissen, ob diese Felder verschlüsselt, durchsuchbar, exportierbar, gesichert oder nach Vertragsbeendigung aufbewahrt werden. Er sollte auch wissen, ob Kundenadministratoren versehentlich sensible Daten in schwächere Felder platzieren können.
Im Blackbaud-Fall machte die Aufzeichnung der Aufsichtsbehörden die Feld- und Anhangsplatzierung zu einem Teil der Rechenschaftsgeschichte. Dies sollte zu einer Beschaffungslektion werden.
Die gleiche Zusicherung sollte Integrationen abdecken. Fundraising-Systeme stehen selten allein. Sie sind mit Zahlungsabwicklern, E-Mail-Plattformen, Analysetools, Webformularen, Event-Systemen, Data Warehouses, Finanzsystemen und Identitätsanbietern verbunden. Ein Ransomware-Vorfall in der Hauptanbieterumgebung gefährdet möglicherweise nicht direkt jede Integration, aber der Kunde muss dennoch wissen, ob Token, Exporte, Webhooks, API-Protokolle oder importierte Dateien im betroffenen Bestand waren. Eine enge „Datenbank“-Antwort könnte die operative Realität der Automatisierung von Fundraising verfehlen.
Kleine Wohltätigkeitsorganisationen benötigen diese Beweise in einer Form, die sie nutzen können. Eine große Universität hat möglicherweise Datenschutzberater, Beschaffungspersonal und Sicherheitsprüfer. Eine lokale Wohltätigkeitsorganisation hat möglicherweise einen Betriebsleiter, einen Teilzeit-Fundraiser und ein Vorstandsmitglied, das für die Technologieaufsicht verantwortlich ist. Wenn Anbieterzusicherungen nur für Unternehmensanwälte geschrieben sind, können die Kunden mit der geringsten internen Kapazität die schwächsten Aufbewahrungs- und Benachrichtigungsentscheidungen treffen.
Ein Cloud-Anbieter, der auftragsorientierte Institutionen bedient, sollte daher abgestufte Zusicherungen veröffentlichen: eine allgemeinverständliche Vorfallzusammenfassung, einen kundenspezifischen Datenkategoriebericht, ein Sicherheitskontroll-Update und tiefergehendes Material für regulierte oder risikoreiche Kunden.
Die Kundenzusicherung sollte auch Live-Systeme von Backups und Archiven trennen. Mitglieder gehen oft davon aus, dass ihr Risiko sinkt, wenn sie aufhören zu spenden oder eine Wohltätigkeitsorganisation bitten, sie nicht mehr zu kontaktieren. Das trifft möglicherweise nicht zu, wenn alte Exporte, Backup-Sets, archivierte Kampagnendateien oder Datenbanken ehemaliger Kunden verbleiben. Die Aufbewahrungsbedenken der FTC machen diesen Punkt konkret. Ein vertretbares Zusicherungspaket sollte Löschungspläne und Backup-Aufbewahrung so erläutern, dass Kunden sie in ihre eigenen Datenschutzmitteilungen übersetzen können.
Schließlich sollte produktspezifische Zusicherung kontinuierlich sein. Sie sollte nicht erst nach einem Vorfall beginnen. Kunden sollten Datenkategorien bei der Implementierung, nach größeren Kampagnen, beim Importieren von Altdaten, beim Ändern von Zahlungsabläufen, beim Aktivieren neuer Module und bei der Verlängerung überprüfen. Ein Verstoß legt historische Entscheidungen offen. Bessere Governance reduziert die Geschichte, die offengelegt werden kann.
Diese kontinuierliche Überprüfung sollte auch das Rollendesign sowie die Datenfelder umfassen. Fundraising, Alumni-Beziehungen, Zuschussverwaltung, Finanzen, Veranstaltungen, Freiwilligenmanagement und Führungsberichte können alle unterschiedliche Zugriffsmuster erfordern. Wenn breite Administratorrechte zu einer Standardbequemlichkeit werden, schafft der Kunde eine größere Gefährdungsoberfläche innerhalb der Anbieterumgebung.
Wenn der Anbieter Kunden nicht zeigen kann, wo privilegierte Rollen existieren, wann sie zuletzt verwendet wurden und welche Exporte oder Anhänge sie erreichen können, kann der Kunde seinen Teil des Risikos nicht steuern. Die Blackbaud-Aufzeichnung weist daher auf eine gemeinsame Zusicherungspflicht hin: Der Anbieter muss Produktkontrollen sichtbar genug machen, um sie zu nutzen, und Kunden müssen diese Kontrollen als Teil der Spender- und Mitgliederverwaltung behandeln, nicht als Backoffice-Einstellung mit regelmäßiger Überprüfung auf Vorstandsebene.
Was dauerhafte Sanierung beweisen sollte
Die dauerhafte Sanierung nach dem Blackbaud-Vorfall sollte sieben Dinge beweisen. Erstens sollte sie den Umfang beweisen. Der Anbieter sollte wissen, welche Produkte, Kunden, Dateien, Felder, Anhänge, Datenkategorien und Personengruppen betroffen waren. Die Dateinamenprüfung mag ein Ausgangspunkt sein, aber eine Umfangsbehauptung, die Bankinformationen oder Identitätsnummern betrifft, benötigt Inhaltsbeweise oder einen dokumentierten Grund, warum eine Inhaltsprüfung unmöglich ist.
Zweitens sollte sie die Integrität der Benachrichtigung beweisen. Es sollte einen dokumentierten Weg von forensischen Fakten zu Kundenmitteilungen, ergänzenden Mitteilungen, Investorenoffenlegungen, Aufsichtsbehördenberichten, Callcenter-Skripten und Vorstandsberichten geben. Wenn ein technisches Team erfährt, dass eine Mitteilung falsch ist, sollte die Korrektur nicht von informeller Eskalation abhängen. Der SEC-Fall zeigt, dass Offenlegungskontrollen selbst ein Sicherheitsergebnis sind.
Drittens sollte sie die Aufbewahrungskontrolle beweisen. Datenaufbewahrungsfristen sollten produktspezifisch und kundenspezifisch genug sein, um zu erklären, warum Daten aufbewahrt werden, wann sie gelöscht werden und wer Ausnahmen genehmigen kann. Daten ehemaliger Kunden sollten nicht in Produktions- oder zugänglichen Backup-Umgebungen ohne vertretbaren Bedarf verbleiben. Wenn die Aufbewahrung gesetzlich vorgeschrieben ist, sollte sie entsprechend der Sensibilität geschützt werden.
Viertens sollte sie Verschlüsselung und Feld-Governance beweisen. Ein Anbieter, der Freitextfelder und Anhänge zulässt, muss wissen, wo sensible Daten außerhalb geschützter Felder auftauchen könnten. Verschlüsselung hilft nur, wenn Kunden nicht versehentlich sensible Daten in unverschlüsselten Orten platzieren können. Produktdesign, Kundenleitfäden, Scannen, Warnungen und Standardkontrollen sind alle Teil der Sanierung.
Fünftens sollte sie Zugriffskontrolle und Segmentierung beweisen. Die FTC behauptete Versäumnisse bei der Überwachung, Segmentierung, Multi-Faktor-Authentifizierung, Passwortkontrollen, Firewall-Kontrollen und Tests. Dauerhafte Sanierung würde Least Privilege, stärkere Authentifizierung, Umgebungstrennung, Überwachung privilegierter Zugriffe, Schließung von Schwachstellen, Protokollabdeckung und getestete Erkennung zeigen.
Sechstens sollte sie die Reaktion auf Ransomware ohne Verlass auf Zusicherungen von Angreifern beweisen. Wenn behauptet wird, dass kopierte Daten vernichtet wurden, sollte das Unternehmen angeben, welche Beweise diese Behauptung stützen und welche Unsicherheit verbleibt. Wenn die Löschung nicht überprüfbar ist, sollten Mitteilungen keine Überprüfung implizieren. Zahlung hebt die Benachrichtigungspflicht nicht auf.
Siebtens sollte sie die Kunden-Governance beweisen. Blackbaud-Kunden sollten Beweise erhalten, die ihnen helfen, ihre eigenen Praktiken zu korrigieren: Nutzung sensibler Felder, Anhangsrisiken, Aufbewahrungseinstellungen, Verschlüsselungsoptionen, Protokollzugriff und empfohlene Mitteilungsvorlagen. Die Sanierung des Anbieters ist unvollständig, wenn Kunden die gleichen Gefährdungsmuster innerhalb des Produkts wiederherstellen können.
Rechenschaftspflicht folgt der Kontrolle über Beweise
Die endgültige Zuordnung folgt der praktischen Kontrolle. Blackbaud kontrollierte die gehostete Umgebung, das Sicherheitsprogramm, die Vorfallreaktion, forensische Dienstleister, die ersten Kundenmitteilungen, die Beweise für die Kommunikation mit Angreifern, die Datenaufbewahrungsarchitektur, die Produktsicherungen, die Offenlegungskontrollen und die Zusammenarbeit mit Aufsichtsbehörden. Kunden kontrollierten ihre Sammlungs- und Feldnutzungsentscheidungen, lokale Mitteilungen, Mitgliederbeziehungen und die Governance nach dem Vorfall. Aufsichtsbehörden kontrollierten die Durchsetzung.
Betroffene Personen kontrollierten nur einen kleinen Satz von Schutzmaßnahmen, nachdem sie genügend Informationen erhalten hatten, um zu handeln.
Diese Zuordnung erfordert keine unbegründeten Anschuldigungen. Sie besagt nicht, dass jeder offengelegte Datensatz missbraucht wurde. Sie besagt nicht, dass jeder Kunde Daten schlecht verwaltet hat. Sie besagt nicht, dass alle späteren Sicherheitsvorkehrungen versagt haben. Sie besagt, dass die Partei mit dem Beweistor die höchste Pflicht hatte, genaue Fakten schnell zu bewegen. Die Aufzeichnungen der SEC, FTC, der Bundesstaaten, der Kunden und der Öffentlichkeit weisen alle auf dieses Tor hin.
Der Blackbaud-Fall bleibt wichtig, weil er die versteckten Kosten der Cloud-Konzentration im gemeinnützigen Sektor zeigt. Auftragsorientierte Institutionen können operative Daten in einem spezialisierten Anbieter bündeln und Effizienz gewinnen. Aber wenn der Anbieter kompromittiert wird, werden Spender, Ehemalige, Patienten, Studenten und Unterstützer zu einer verteilten Schadenspopulation. Sie sind nicht nur Kunden einer Wohltätigkeitsorganisation. Sie sind betroffene Personen in einem Anbietersystem, von dessen Existenz sie möglicherweise nichts wissen.
Die dauerhafte Lehre ist einfach und schwer: Ein Cloud-Anbieter für den sozialen Sektor muss beweisen können, was er hält, was kopiert wurde, was verschlüsselt war, was unnötigerweise aufbewahrt wurde, was den Kunden mitgeteilt wurde, was sich änderte, als neue Fakten auftauchten, und welche Sicherheitsvorkehrungen eine Wiederholung verhindern. Ohne diesen Beweis wird die Benachrichtigung über Wohltätigkeitsdaten zu einer Übung in geliehenem Vertrauen. Mit diesem Beweis können Kunden einen Anbietervorfall in eine präzise, zeitnahe, rechenschaftspflichtige Kommunikation verwandeln, anstatt in allgemeine Beruhigung.

