Zusammenfassung
- Der Ransomware-Vorfall bei Blackbaud im Jahr 2020 wurde zu einem Test für die Cloud-Verantwortung, da sich die öffentliche Akte von einer knappen Kundenmitteilung zu SEC-, FTC-, Generalstaatsanwalts-, Kunden- und öffentlichen Berichten über kopierte Dateien, sensible Felder, Benachrichtigungszeitpunkte und Aufbewahrung entwickelte.
- Wer hatte die praktische Kontrolle über die Verwahrung von Mieterdaten, Exfiltrationsnachweise, die Kommunikation von Lösegeldzahlungen, den Zeitplan der Kundenbenachrichtigungen, die Zusammenarbeit mit Aufsichtsbehörden und den Nachweis, dass die Mitglieder gemeinnütziger Organisationen nicht zu unsichtbaren Kosten der Cloud-Konzentration wurden?
- Die Verantwortungsfrage ist nicht nur, dass ein Angreifer Daten kopiert hat. Sondern dass missionarische Institutionen auf die Untersuchung des Anbieters, das Dateninventar, die Löschungsbehauptungen und die Offenlegungskontrollen angewiesen waren, bevor sie Spender, Alumni, Patienten, Studenten und Unterstützer benachrichtigen konnten.
- Bestätigte Fakten umfassen Blackbauds spätere Einreichung auf Formular 8-K unterhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc, die SEC-Verfügung unterhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdf, die SEC-Pressemitteilung unterhttps://www.sec.gov/intelligence team/press-releases/2023-48, die FTC-Mitteilung unterhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxund die Ankündigung des multi-staatlichen Vergleichs von Blackbaud unterhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incident.
- Gestützte Schlussfolgerungen müssen begrenzt bleiben: Gemeinnützige Kunden konnten den Inhalt exfiltrierter Dateien, die Löschung durch den Angreifer oder das Ausmaß sensibler Felder ohne Blackbauds Nachweise nicht unabhängig überprüfen, aber die öffentliche Akte legt nicht jedes forensische Artefakt, jeden kundenspezifischen Datensatz oder jedes Korrekturartefakt offen.
Warum dieser Fall in eine Risiko- und Verantwortungsakte gehört
Blackbaud gehört in eine Risiko- und Verantwortungsakte, weil der sichtbare Kunde selten die letztlich exponierte Person war. Eine Universität, Krankenhausstiftung, Tafel, Kinderschutzorganisation, religiöse Einrichtung, Schule, Museum, Forschungsstiftung oder öffentliche Dienstleistungsorganisation könnte die Blackbaud-Software gekauft haben. Die Datensätze in diesen Systemen gehörten Spendern, Alumni, Patienten, Kampagnenfreiwilligen, Studenten, Veranstaltungsteilnehmern, Begünstigten, Vorstandsmitgliedern, Mitarbeitern und Unterstützern. Diese Personen haben möglicherweise nie einen Blackbaud-Anmeldebildschirm gesehen.
Sie wurden gegenüber dem Anbieter durch eine Institution vertreten, die sie für eine Mission gewählt hatten, und nicht durch ein gewöhnliches Verbraucherkonto.
Die wichtigste öffentliche Zeitleiste ist ungewöhnlich lehrreich. Die SEC-Verfügung unterhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdfgibt an, dass Blackbaud am 14. Mai 2020 einen unbefugten Zugriff feststellte und die Untersuchung des Unternehmens ergab, dass der Zugriff möglicherweise bereits im Februar 2020 begonnen hatte. Die Verfügung besagt, dass der Vorfall zu unbefugtem Zugriff und Exfiltration von über einer Million Dateien von über 13.000 Kunden führte. Blackbaud gab den Vorfall bekannt und benachrichtigte betroffene Kunden am 16. Juli 2020. Die SEC-Verfügung gibt weiter an, dass Mitarbeiter innerhalb weniger Tage erfuhren, dass frühere Aussagen zu Bankkontoinformationen und Sozialversicherungsnummern von Spendern für einige Kunden falsch waren, aber das Formular 10-Q vom 4. August 2020 des Unternehmens offenbarte dieses größere Ausmaß nicht und charakterisierte das Risiko als hypothetisch.
Blackbauds späteres Formular 8-K, verfügbar unterhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc, veränderte das öffentliche Risikobild. Es gab an, dass weitere forensische Untersuchungen ergaben, dass der Angreifer für einige benachrichtigte Kunden möglicherweise auf unverschlüsselte Felder zugegriffen hatte, die für Bankkontoinformationen, Sozialversicherungsnummern, Benutzernamen und/oder Passwörter vorgesehen waren. Das bedeutete nicht, dass jeder Kunde diese Felder exponiert hatte. Es bedeutete, dass die anfängliche Benachrichtigungsarchitektur die gesamte Unsicherheit nicht transportiert hatte und einige Kunden zusätzliche Unterstützung benötigten.
Die Verantwortungsfrage ist daher praktisch. Wer hatte die praktische Kontrolle über die Verwahrung von Mieterdaten, Exfiltrationsnachweise, die Kommunikation von Lösegeldzahlungen, den Zeitplan der Kundenbenachrichtigungen, die Zusammenarbeit mit Aufsichtsbehörden und den Nachweis, dass die Mitglieder gemeinnütziger Organisationen nicht zu unsichtbaren Kosten der Cloud-Konzentration wurden?
Die Antwort beginnt bei Blackbaud, da Blackbaud die gehostete Umgebung, die Untersuchung, die ersten Kundenbenachrichtigungen, die Datenaufbewahrungshaltung, die dienstspezifischen Dateien und den Beweisfluss kontrollierte, den nachgelagerte Institutionen benötigten, um ihre Gemeinschaften zu benachrichtigen.
Das löscht die Kundenverantwortung nicht aus. Kunden entscheiden, welche Daten sie sammeln, welche Felder sie verwenden, welche angehängten Dateien sie hochladen, wie lange sie alte Datensätze aufbewahren und wie sie mit ihren Mitgliedern kommunizieren. Aber die Kundenverantwortung liegt hinter einer Beweisschranke des Anbieters.
Wenn eine gemeinnützige Organisation nicht sehen kann, welche Blackbaud-Dateien kopiert wurden, nicht überprüfen kann, ob ein Feld verschlüsselt war, nicht die Kommunikation des Angreifers einsehen kann und die Datenlöschung nicht unabhängig bestätigen kann, dann wird die Beweisdisziplin des Anbieters zur bestimmenden Bedingung für die Verantwortung aller anderen.
Die Zeitleiste ist eine Angelegenheit der Offenlegungskontrolle, nicht nur des Einbruchs
Die Zeitleiste ist wichtig, weil sie zeigt, dass die Verantwortung nicht endete, als der Angreifer vertrieben wurde. Sie verlagerte sich auf die Offenlegungskontrollen. Die SEC-Pressemitteilung unterhttps://www.sec.gov/intelligence team/press-releases/2023-48gibt an, dass Blackbaud sich bereit erklärte, eine Zivilstrafe von 3 Millionen US-Dollar zu zahlen, um Vorwürfe irreführender Offenlegungen beizulegen, ohne die SEC-Feststellungen zuzugeben oder zu bestreiten. Der wichtige Punkt für diese Akte ist nicht der Dollarbetrag. Es ist das von der SEC beschriebene Kontrollversagen: Das technische Personal und das Kundenbeziehungspersonal erfuhren Informationen über sensible Daten, die vor der Einreichung im August 2020 nicht an das für die öffentliche Offenlegung verantwortliche Top-Management gelangten.
Dies ist eine andere Art von Versagen als eine Firewall-Lücke oder ein Endgerätekompromiss. Es ist eine Lücke in der Beweisweiterleitung. Bei einem Cloud-Vorfall gelangen Fakten von Endgeräte-Ermittlern zu Produktteams, Kundendienst-Skripten, Anwälten, Führungskräften, Aufsichtsbehörden, Investoren und Kunden. Wenn diese Fakten nicht schnell oder genau genug weitergeleitet werden, kann die öffentliche Akte den betroffenen Personen selbst dann die falsche Sache sagen, wenn das Unternehmen weiß, dass die erste Benachrichtigung unvollständig war. Für missionarische Kunden ist diese Verzögerung keine abstrakte Investor-Relations-Angelegenheit.
Sie entscheidet, wann ein Spender ein Bankkonto einfrieren kann, wann ein Patient Identitätsmissbrauch überwachen kann, wann eine Universität Alumni benachrichtigen kann und wann eine Organisation besorgten Unterstützern antworten kann.
Die SEC-Verfügung beschreibt eine besonders klare Abfolge. Blackbauds Benachrichtigung vom 16. Juli besagte, dass der Angreifer nicht auf Bankkontoinformationen oder Sozialversicherungsnummern von Spendern zugegriffen hatte. Kundenanfragen warfen dann Bedenken auf, dass sensible Daten in Anhängen oder unverschlüsselten Feldern gespeichert sein könnten. Bereits am 21. Juli hatte das Personal laut SEC-Verfügung ein Kundendienstskript entwickelt, das einräumte, dass einige Anhänge und Felder, die möglicherweise für diese Kategorien verwendet wurden, nicht verschlüsselt waren.
Ende Juli hatte das Personal den Zugriff und die Exfiltration einiger unverschlüsselter Bankkontoinformationen und Sozialversicherungsnummern für eine Reihe betroffener Kunden bestätigt. Das Formular 10-Q vom 4. August enthielt diese wesentliche Korrektur nicht.
Die FTC rahmte dasselbe Ereignis anschließend durch Verbraucherschutz und Datenaufbewahrung. Ihre Mitteilung unterhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxgibt an, dass Blackbaud keine angemessenen Sicherheitsvorkehrungen implementierte, den Verstoß monatelang unbemerkt ließ, Daten länger als nötig aufbewahrte, 24 Bitcoins zahlte, nachdem der Angreifer damit drohte, die gestohlenen Daten zu veröffentlichen, und nie überprüfte, ob der Angreifer die Daten gelöscht hatte. Dies sind Vorwürfe und Bedingungen der FTC-Verfügung, keine privaten forensischen Protokolle, die von Blackbaud veröffentlicht wurden. Sie sind dennoch zentral, da sie den öffentlichen Verantwortungsstandard identifizieren: Sicherheit, Aufbewahrung, Erkennung, Benachrichtigung und Löschungsnachweis bilden eine Kette.
Diese Kette ist der Grund, warum es sich um einen Fall von Cloud-Dienst-Abhängigkeit handelt. Kunden benötigten nicht nur ihre eigene Vorfallreaktion. Sie benötigten Nachweise des Anbieters, die in rechtmäßige, genaue und kundenspezifische Benachrichtigungen umgewandelt werden konnten. Eine Organisation kann Unterstützern nicht verantwortungsvoll sagen "keine Handlung erforderlich", wenn die Bewertung des Anbieters noch nicht stark genug ist, um diese Behauptung zu stützen.
Eine Universität kann Alumni nicht sagen, ob Bankfelder oder Ausweisnummern betroffen waren, wenn der Anbieter nur Dateinamen und nicht die relevanten Inhalte analysiert hat. Der Benachrichtigungszeitplan wird zu einer Kontrollfläche.
Die Daten von Organisationen sind nicht risikoarm, weil die Institution wohltätig ist
Der Begriff "Organisationsdaten" mag harmlos klingen. Das ist er nicht. Eine Spenderdatenbank kann Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, familiäre Beziehungen, Arbeitgeberinformationen, Wohlstandsindikatoren, Vermächtnisinteressen, wiederkehrende Spendenhistorie, Bankverbindungen, Veranstaltungsteilnahme, Freiwilligenpräferenzen, Vorstandszugehörigkeiten, Kampagnennotizen, religiöse oder politische Zugehörigkeit, Beziehungen zu Gesundheitsstiftungen und Kontakthistorien enthalten, die private Verbindungen offenbaren.
Im universitären Kontext können Alumni-Aufzeichnungen Abschluss, Jahr, Studenten-ID, Engagementmuster, Karrieredetails und philanthropisches Potenzial umfassen. Im Kontext einer Gesundheitsstiftung kann die institutionelle Beziehung eine sensible gesundheitliche Nähe beinhalten, selbst wenn klinische Aufzeichnungen nicht im verletzten System sind.
Blackbauds Formular 10-K 2023 unterhttps://www.sec.gov/Archives/edgar/data/1280058/000128005824000013/blkb-20231231.htmbeschreibt Fundraising- und Beziehungsmanagementprodukte, darunter Raiser's Edge NXT, Blackbaud CRM, eTapestry, Luminate Online, TeamRaiser, JustGiving, Fundraiser Performance Management und Altru. Die Produktbeschreibungen sind wichtig, weil sie die Abhängigkeitsoberfläche zeigen: Fundraising, Spendenformulare, Kampagnenmanagement, digitale Spenden, Event-Fundraising, Analysen, Engagement, Mitgliedschaft und Mitgliederdatensätze. Dies sind keine isolierten Kundendateien. Es sind betriebliche Gedächtnisstützen für Institutionen, die oft langfristige Beziehungen zu Menschen pflegen.
Die Kundenmitteilungen machen die menschliche Schicht sichtbar. Die Mitteilung der University of Alabama unterhttps://giving.ua.edu/data/gibt an, dass Blackbaud die Universität am 16. Juli 2020 informierte, dass ein Ransomware-Angriff im Mai stattgefunden hatte und eine Teilmenge der Daten mehrerer Kunden kopiert worden war. Die Mitteilung des UNC System unterhttps://www.northcarolina.edu/blackbaud-information-security-incident/beschrieb Blackbaud als einen der größten Anbieter von Constituent Relationship Management für Hochschulen und gab an, dass die selbst gehostete Datenumgebung betroffen war. Die Mitteilung der Edinburgh Napier University unterhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentlistete Kategorien auf, darunter Kontaktdaten, Kurs- und Bildungsdetails, Alumni-Engagement und Fundraising-Aktivitäten, Berufsdetails und Interessen, die über Umfragen bereitgestellt wurden.
Die Mitteilungen der Organisationen waren nicht identisch, da die Kundendaten nicht identisch waren. Die Mitteilung von Child & Family Service unterhttps://childandfamilyservice.org/securityincident/bezog sich auf biografische Informationen, Kontaktdaten, Spendenhistorie und Beziehungsinformationen. Die Task Force for Global Health unterhttps://www.taskforce.org/blackbaud-data-security-incident/beschrieb einen Vorfall bei einem Drittanbieter und eine Untersuchung der Auswirkungen auf Spenderdaten. Die Mitteilung des Ridgewater College unterhttps://ridgewater.edu/alumni-friends/ridgewater-college-foundation/blackbaud-data-security-incident/gab an, dass Blackbaud zwischen dem 7. Februar und zeitweise bis zum 20. Mai 2020 Ziel war und das College am 16. Juli informierte. Diese Mitteilungen sind wertvoll, weil sie zeigen, wie nachgelagerte Institutionen ein Anbieterereignis in mehrere lokale Vertrauensbeziehungen übersetzen.
Das Verantwortungsproblem ist, dass diese nachgelagerten Institutionen sowohl Opfer als auch Boten waren. Sie mussten Fragen von Spendern, Alumni und Unterstützern beantworten, während sie von Blackbauds Untersuchung abhängig waren. Sie mussten auch bewerten, ob ihre eigenen Datenpraktiken die Auswirkungen verschlimmerten: Haben sie sensible Daten in Freitextfeldern gespeichert? Haben sie unverschlüsselte Anhänge hochgeladen? Haben sie alte Aufzeichnungen ohne aktuellen Zweck aufbewahrt? Haben sie verstanden, wie Blackbaud Daten ehemaliger Kunden aufbewahrte?
Der Anbieter kontrollierte die Plattform, aber die Kunden kontrollierten bestimmte Datenentscheidungen im Inneren. Die Verantwortung folgt beiden Schichten, in der Reihenfolge.
Bestätigte Fakten, gestützte Schlussfolgerungen und Unbekanntes müssen getrennt bleiben
Die bestätigten öffentlichen Fakten reichen aus, um den Fall ernst zu nehmen. Die SEC-Verfügung gibt an, dass über eine Million Dateien von über 13.000 Kunden eingesehen und exfiltriert wurden. Sie gibt an, dass das Unternehmen den Angriff am 14. Mai 2020 entdeckte, den Vorfall bekannt gab und betroffene Kunden am 16. Juli benachrichtigte, am 4. August ein Formular 10-Q einreichte und in einem Formular 8-K vom 29. September offenlegte, dass für einige Kunden möglicherweise auf unverschlüsselte Felder zugegriffen wurde, die für Bankkontoinformationen, Sozialversicherungsnummern, Benutzernamen und/oder Passwörter vorgesehen waren.
Die FTC-Mitteilung gibt an, dass der Verstoß drei Monate lang unbemerkt blieb, personenbezogene Daten von Millionen Verbrauchern betroffen waren, unnötige Datenaufbewahrung Teil des Problems war und die Verfügung die Löschung nicht benötigter Daten sowie ein umfassendes Informationssicherheitsprogramm verlangt.
Die bestätigten Durchsetzungsergebnisse sind ebenfalls klar. Blackbauds Ankündigung vom Oktober 2023 unterhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incidentgibt an, dass das Unternehmen sich bereit erklärte, 49,5 Millionen US-Dollar an 49 Bundesstaaten und den District of Columbia zu zahlen sowie Cybersicherheitsprogramme und -tools zu implementieren oder zu verbessern, während es keine irreführenden Aussagen zu Datenschutz, Privatsphäre, Sicherheit, Vertraulichkeit, Integrität und Benachrichtigungspflichten bei Verstößen machte. Die Pressemitteilung des New Yorker Generalstaatsanwalts unterhttps://ag.ny.gov/press-release/2023/attorney-general-james-and-multistate-coalition-secure-495-million-cloud-companybeschrieb die Einigung als Beilegung einer multi-staatlichen Untersuchung zur Offenlegung von Spenderinformationen. Die Pressemitteilung des kalifornischen Generalstaatsanwalts unterhttps://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-overkündigte eine separate Einigung in Höhe von 6,75 Millionen US-Dollar im Jahr 2024 an. Dies sind zivilrechtliche Vergleichsakten, keine strafrechtlichen Feststellungen.
Die gestützte Schlussfolgerung ist enger. Es ist vernünftig anzunehmen, dass viele Kunden das Ausmaß des Dateiinhalts nicht unabhängig aus ihren eigenen Systemen bestimmen konnten, da der Vorfall in Blackbauds Umgebung stattfand und die SEC-Verfügung Blackbauds Prüfung von Dateinamen und nachfolgende Bedenken der Kunden bezüglich unverschlüsselter Felder beschreibt. Es ist vernünftig anzunehmen, dass die Qualität der Benachrichtigungen uneinheitlich war, da nachgelagerte Benachrichtigungen von sich entwickelnden Informationen des Anbieters abhingen.
Es ist vernünftig anzunehmen, dass unnötige Aufbewahrung die Bevölkerung exponierter Personen vergrößerte, da die FTC behauptete, Blackbaud habe Daten länger als nötig aufbewahrt, einschließlich Informationen ehemaliger Kunden.
Das Unbekannte muss unbekannt bleiben. Die öffentliche Akte enthält keine vollständige Liste jedes betroffenen Kunden, jeder betroffenen Person, jedes Dateinamens, jedes kopierten Feldes, jedes verschlüsselten Feldes, jeder kundenspezifischen Produktinstanz, jeder privaten Benachrichtigung, jeder Kommunikation mit Strafverfolgungsbehörden, jeder Kommunikation des Angreifers, jedes forensischen Befunds oder jeder Sicherheitsverbesserung. Sie beweist nicht, dass jeder kopierte Datensatz missbraucht wurde. Sie beweist nicht, dass die Löschung durch den Angreifer stattgefunden hat.
Sie beweist nicht, dass alle Kunden Daten verantwortungsvoll gespeichert haben. Sie beweist auch nicht, dass alle späteren Korrekturen unwirksam waren. Eine verantwortungsvolle Verantwortungsakte sollte diese Lücken nicht mit unbegründeten Vorwürfen füllen.
Diese Trennung ist keine rechtliche Spitzfindigkeit. Es ist die Disziplin, die die Vorfallreaktion selbst verwenden sollte. Bestätigte Fakten sagen betroffenen Personen, welche Maßnahmen zu ergreifen sind. Gestützte Schlussfolgerungen sagen Kunden, welche Fragen zu stellen sind. Das Unbekannte sagt Aufsichtsbehörden, wo sie Nachweise fordern müssen. Wenn die drei Kategorien vermischt werden, wird die Benachrichtigung über einen Verstoß entweder zu falscher Beruhigung oder Panik. Der Fall Blackbaud zeigt, warum die Kategorien von der ersten Benachrichtigung an explizit sein müssen.
Die Lösegeldzahlung ist kein Löschungsnachweis
Die Akte der Lösegeldzahlung ist zentral, da viele nachgelagerte Benachrichtigungen die Idee wiederholten, dass Blackbaud zahlte und Zusicherungen erhielt, dass die kopierten Daten vernichtet worden seien. Die FTC-Mitteilung unterhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxgibt an, dass Blackbaud 24 Bitcoin zahlte, nachdem der Angreifer damit drohte, die Daten zu veröffentlichen, und laut FTC nie überprüfte, ob der Angreifer die gestohlenen Daten tatsächlich gelöscht hatte. Die Kundenmitteilungen, wie die von Edinburgh Napier, Child & Family Service und der University of Alabama, beschrieben Zusicherungen oder Bestätigungen von Blackbaud bezüglich der Löschung. Diese Mitteilungen zeigen die nachgelagerte Abhängigkeit von der Sprache des Anbieters.
Das Verantwortungsproblem ist, dass die Lösegeldzahlung eine Krisenentscheidung sein kann, aber keine Sicherheitskontrolle. Sie beweist keine Löschung. Sie beweist nicht, dass keine Kopie angefertigt wurde. Sie beweist nicht, dass auf keine Daten zugegriffen wurde. Sie löst nicht das Aufbewahrungsproblem. Sie benachrichtigt nicht betroffene Personen. Sie repariert nicht den Zugriffsweg. Sie ersetzt nicht Verschlüsselung, Segmentierung, Multi-Faktor-Authentifizierung, Schwachstellenmanagement, Überwachung, Least Privilege, Backup-Validierung, Datenminimierung und Offenlegungskontrollen.
Der StopRansomware-Leitfaden der CISA unterhttps://www.cisa.gov/stopransomware/ransomware-guideund der Leitfaden zur Vorfallbehandlung des NIST unterhttps://csrc.nist.gov/pubs/sp/800/61/r2/finalbieten hier nützliches öffentliches Vokabular. Sie ziehen keine Schlussfolgerungen zu Blackbaud. Sie definieren, warum ein Ransomware-Ereignis durch Vorbereitung, Erkennung, Eindämmung, Ausrottung, Wiederherstellung, Kommunikation und gewonnene Erkenntnisse behandelt werden muss. Wenn ein Anbieter ein Lösegeld zahlt, liegt diese Entscheidung in der Reaktionsakte. Sie sollte nicht zum Nachweis werden, dass Verbraucher sicher sind.
Für missionarische Kunden ist das Löschungsproblem besonders schwierig. Eine Organisation hat möglicherweise nicht die technische Kapazität, die Löschungsbehauptung eines Anbieters in Frage zu stellen. Eine Universität hat möglicherweise Rechtsberatung, aber keinen Zugang zur Kommunikation des Angreifers mit dem Anbieter. Eine kleine Stiftung kann eine Benachrichtigung unter Verwendung der Sprache des Anbieters herausgeben, weil sie nicht viel anderes hat. Deshalb zählen Aufsichtsbehörden.
Die FTC-Verfügung, die Datenlöschung und Aufbewahrungsfristen verlangt, verwandelte eine Löschungsbehauptung in eine betriebliche Verpflichtung: Das Unternehmen muss Daten löschen, die es nicht mehr benötigt, und dokumentieren, warum die aufbewahrten Daten weiterhin notwendig sind.
Die bleibende Lektion ist, dass Datenlöschung vor einem Vorfall kontrollierbar sein muss. Wenn ein Unternehmen alte Kundendaten aufbewahrt, weil Speicher billig und Bereinigung kompliziert ist, schafft es eine breitere Verstoßpopulation. Wenn es nicht beweisen kann, was in den kopierten Dateien war, kann es keine genauen Benachrichtigungen herausgeben. Wenn es sich auf die Versprechungen des Angreifers verlässt, hat es den Sicherheitsnachweis auf die unzuverlässigste Partei der Kette übertragen. Verantwortung erfordert Löschungsnachweise, die dem Anbieter gehören, nicht dem Angreifer.
Kundenmitteilungen zeigen delegierte Verantwortung unter Druck
Die nachgelagerten Benachrichtigungen sind die besten öffentlichen Nachweise dafür, wie der Vorfall die Gemeinschaften erreichte. Die Mitteilungen von Universitäten, Organisationen und Stiftungen wiederholten Blackbauds Beschreibung des Ereignisses, erklärten die lokalen Datenkategorien und sagten betroffenen Personen, was die Institution tat. Diese Wiederholung ist an sich kein Mangel. So funktioniert die Drittanbieter-Vorfallkommunikation. Der Mangel tritt auf, wenn die vorgelagerte Quelle unvollständig, zu sicher oder langsam bei Aktualisierungen ist.
Die Mitteilung der UNC unterhttps://www.northcarolina.edu/blackbaud-information-security-incident/präsentierte Blackbaud als großen Anbieter von Constituent Relationship Management für Hochschulen. Die Mitteilung der University of Alabama unterhttps://giving.ua.edu/data/beschrieb spendenbezogene Aufzeichnungen und die Zusicherung von Zahlung und Löschung durch den Anbieter. Die Mitteilung von Edinburgh Napier unterhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentbeschrieb die Felder für Alumni-Engagement und Fundraising. Die Task Force for Global Health unterhttps://www.taskforce.org/blackbaud-data-security-incident/betonte Spenderinformationen und eine laufende institutionelle Untersuchung. Jede Mitteilung musste das Anbieterereignis für eine eigene Gemeinschaft lokalisieren.
Dies ist delegierte Verantwortung. Der Anbieter kontrolliert die Beweise. Der Kunde kontrolliert die Beziehung zu den Mitgliedern. Das Mitglied trägt das Risiko. Wenn die Beweise des Anbieters verspätet eintreffen, wirkt der Kunde ausweichend. Wenn die Datenhygiene des Kunden schlecht ist, hat der Anbieter-Vorfall eine breitere Wirkung. Wenn das Mitglied das Vertrauen verliert, kann die Mission der Organisation leiden, selbst wenn die Organisation die kompromittierte Infrastruktur nicht betrieben hat. Die Grenze zwischen Anbieterrisiko und Missionsrisiko verschwindet.
Die Kontinuität des öffentlichen Sektors ist Teil davon, da viele gemeinnützige Organisationen, Universitäten und gesundheitsbezogene Stiftungen keine dekorativen Institutionen sind. Sie unterstützen Bildung, medizinische Forschung, Sozialfürsorge, kulturelles Erbe, Katastrophenhilfe, Gemeindedienste und gefährdete Bevölkerungsgruppen. Ein Verstoß gegen Mitgliederdatensätze kann das Vertrauen in Spendenaktionen verringern, Unterstützungslasten schaffen, Personal ablenken und Menschen zögern lassen, sich zu engagieren. Der betriebliche Schaden ist nicht immer ein Systemausfall.
Manchmal ist der Schaden ein Vertrauensausfall: Telefone klingeln, Spender fragen nach Erklärungen, Alumni stellen Datenpraktiken in Frage und Personal verliert Zeit mit der Rekonstruktion von Aufzeichnungen und rechtlichen Verpflichtungen.
Der Anbieter sollte daher die Vorfallkommunikation für delegierte Verantwortung gestalten. Das bedeutet kundenspezifischen Umfang, klare Unsicherheitskennzeichnungen, Handlungsempfehlungen, Auslöser für zusätzliche Benachrichtigungen, Koordination mit Aufsichtsbehörden und Beweisaufbewahrung. Es bedeutet auch, kategorische Zusicherungen zu vermeiden, bevor der Dateiinhalt und die Feldpraktiken der Kunden bekannt sind. Im Fall Blackbaud zeigen die späteren SEC- und FTC-Akten, warum frühe Gewissheit zu einer Verbindlichkeit wurde.
Die Durchsetzung verwandelte Benachrichtigungsqualität in eine Kontrollpflicht
Die Akten der SEC, FTC, Generalstaatsanwälte mehrerer Bundesstaaten und Kaliforniens betonen jeweils einen anderen Teil der Kette. Die SEC konzentrierte sich auf Investorenoffenlegung und Offenlegungskontrollen. Die FTC konzentrierte sich auf Verbraucherschutz, Datensicherheit, Aufbewahrung, Benachrichtigung und Darstellungen. Die Generalstaatsanwälte der Bundesstaaten konzentrierten sich auf Datensicherheit, Benachrichtigung bei Verstößen und Verbraucherschutzpflichten zwischen Jurisdiktionen. Kalifornien fügte eine separate Vergleichsakte hinzu.
Zusammen verwandelten sie die Benachrichtigungsqualität von einer Kommunikationspräferenz in eine Kontrollpflicht.
Der AP-Bericht unterhttps://apnews.com/article/dba8fac12af30f74691c7af4fec69a14ist als öffentliche Nachrichtenzusammenfassung nützlich, da er den multi-staatlichen Vergleich beschreibt und anmerkt, dass der Verstoß über 13.000 gemeinnützige Organisationen betraf und sensible Informationen von Millionen Menschen exponierte, während er anmerkt, dass Blackbaud in der Einigung kein Fehlverhalten eingestand. Der Reuters-Bericht unterhttps://www.reuters.com/legal/software-firm-blackbaud-pay-3-mln-misleading-disclosures-ransomware-attack-sec-2023-03-09/fasste ebenfalls die SEC-Einigung zusammen. Die Berichte ersetzen nicht die Verfügungen, aber sie zeigen, wie sich die Durchsetzungsakten in öffentliches Verständnis übersetzten.
Die Benachrichtigungsqualität hat mehrere Komponenten. Erstens der Zeitpunkt: Hat der Kunde schnell genug erfahren, um betroffene Personen zu schützen? Zweitens die Spezifität: Hat die Benachrichtigung die betroffenen Datenkategorien identifiziert? Drittens die Genauigkeit: Wurden kategorische Aussagen durch Beweise gestützt? Viertens die Aktualisierungspflicht: Hat das Unternehmen Benachrichtigungen korrigiert, als neue Fakten auftauchten? Fünftens die Handlungsmöglichkeit: Wussten betroffene Personen, was zu tun ist?
Sechstens die Verantwortlichkeit: Hat das Unternehmen identifiziert, welche Fakten bestätigt, welche untersucht und welche unbekannt waren?
Die öffentliche Akte von Blackbaud zeigt Schwächen in mehreren dieser Komponenten. Die SEC-Verfügung gibt an, dass die August-Einreichung die wesentliche Tatsache ausließ, dass einige unverschlüsselte Bankkonto- und Sozialversicherungsnummerndaten exfiltriert worden waren, obwohl das Personal davon erfahren hatte. Die FTC behauptete, Blackbaud habe fast zwei Monate gewartet, um Kunden zu benachrichtigen, und dann Verbraucher über das Ausmaß der gestohlenen Daten in die Irre geführt, insbesondere durch die Aussage, dass Kunden nicht handeln müssten.
Die Vergleiche mit den Bundesstaaten verlangten Änderungen bei Datensicherheit und Benachrichtigungspraktiken bei Verstößen. Dies ist ein Fall von Beweisen, die sich zu langsam durch die Organisation bewegen.
Eine Organisation, die sensible Aufzeichnungen anderer Institutionen verarbeitet, sollte Offenlegungskontrollen als Teil der Sicherheitsarchitektur behandeln. Sie braucht einen Weg von forensischen Befunden zu Kundenbenachrichtigungen, SEC-Einreichungen, Datenschutzbehörden, Callcenter-Skripten, Vorstandsüberwachung und kundenspezifischer Korrektur. Wenn dieser Weg informell ist, kann die erste Aussage zur Falle werden. Technische Teams können eine Tatsache kennen, Kundenteams eine andere, Rechtsteams eine andere und das Top-Management eine andere. Die Öffentlichkeit erhält einen Durchschnitt aus Unwissenheit.
Datenaufbewahrung verschlimmerte das Verantwortungsproblem
Der Fokus der FTC auf Datenaufbewahrung ist einer der wichtigsten Teile der Blackbaud-Akte. Die Aufbewahrung ist oft bis zu einem Verstoß unsichtbar. Vor einem Vorfall können zusätzliche historische Daten nützlich erscheinen: Ehemalige Spender könnten zurückkehren, ehemalige Alumni könnten spenden, ehemalige Veranstaltungsteilnehmer könnten einer Kampagne beitreten, alte Anhänge könnten helfen, eine Beziehung wiederherzustellen. Nach einem Vorfall werden zusätzliche Daten zu einem Expositionsinventar. Wenn die Organisation nicht erklären kann, warum sie noch ein Feld hält, hat sie ein Risiko ohne Zweck gespeichert.
Die FTC-Mitteilung gibt an, dass Blackbaud Daten länger als nötig aufbewahrte, einschließlich Informationen ehemaliger Kunden. Dieses Detail ist wichtig, weil es die Fairness der Risikoverteilung verändert. Eine Person kann aufhören zu spenden, ihren Abschluss machen, ein Programm verlassen oder sich aus einer Kampagne zurückziehen. Die ursprüngliche Institution kann die Nutzung eines Anbieters einstellen. Wenn die Daten Jahre später in einer gehosteten Umgebung verbleiben, trägt die exponierte Person weiterhin ein Risiko ohne aktuellen Dienstnutzen.
Ein Aufbewahrungsversagen kann einen Anbieterverstoß in einen langfristigen Schaden für Personen verwandeln, die keine praktische Möglichkeit haben, die Löschung zu verlangen.
Datenhoheit und -lokalisierung spielen hier ebenfalls eine Rolle. Blackbaud unterstützte Kunden in vielen Ländern, und sein Formular 10-K 2023 beschreibt Betriebe in den USA, Australien, Kanada, Costa Rica und dem Vereinigten Königreich mit Nutzern in über 100 Ländern. Dieser globale Plattformkontext ist wichtig. Ein Kunde in einer Jurisdiktion kann Verpflichtungen gegenüber Spendern oder Alumni in einer anderen haben.
Eine britische Universität, eine kanadische Organisation, eine amerikanische Krankenhausstiftung oder eine australische Organisation können unterschiedlichen Datenschutz-, Benachrichtigungs- und Aufbewahrungspflichten gegenüberstehen. Die gehostete Architektur des Anbieters und die kundenspezifischen Datenkarten werden zu einer rechtlichen Infrastruktur.
Der ICO-Leitfaden zu Ransomware unterhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/ist ein nützlicher Kontext, da er Ransomware als Datenschutzproblem behandelt, nicht nur als Malware-Vorfall. Er zieht in diesem Artikel keine spezifische Schlussfolgerung zu Blackbaud. Er zeigt, warum die Analyse von Verstößen gegen personenbezogene Daten Sicherheit, Verfügbarkeit, Vertraulichkeit, Exfiltration, Pflichten des Verantwortlichen und Auftragsverarbeiters sowie Nachweise umfassen muss. In einer gemeinsamen Plattform für gemeinnützige Organisationen sind diese Pflichten verteilt, aber nicht verdünnt.
Die Aufbewahrungsdisziplin ist auch eine Kundenpflicht. Kunden sollten keine Sozialversicherungsnummern, Bankverbindungen, medizinische Notizen, Passinformationen oder sensible Freitextanhänge in Beziehungsmanagementsystemen speichern, es sei denn, sie haben einen definierten Zweck, eine Verschlüsselungshaltung, eine Zugriffsrichtlinie, einen Löschungszeitplan und eine Zusicherung des Anbieters. Die Diskussion der SEC-Verfügung über Anhänge und unverschlüsselte Felder ist eine Warnung: Kunden können Taschen sensibler Daten in Systemen schaffen, die die Beschaffung möglicherweise nicht versteht.
Der Anbieter muss die Plattform schützen, aber Kunden müssen wissen, was sie hineinlegen.
Kundenzusicherung muss produktspezifisch sein
Die Blackbaud-Akte zeigt auch, warum generische Anbieterzusicherungen für Constituent-Management-Plattformen zu schwach sind. Ein gemeinnütziger Kunde kann ein Produkt für Spendendatensätze, ein anderes für Online-Kampagnen, ein weiteres für Event-Fundraising und ein weiteres für Analysen oder Zuschussverwaltung verwenden. Jedes Produkt kann unterschiedliche Daten speichern, unterschiedliche Standardeinstellungen anwenden, unterschiedliche Exporte erstellen und unterschiedliche Anhangs- oder Freitextpraktiken unterstützen.
Wenn eine Vorfallbenachrichtigung nur besagt, dass "Kundendaten" kopiert wurden, muss der Kunde noch wissen, welches Produkt, welche Felder, welche historischen Datensätze, welche Exporte und welche Integrationen betroffen sind.
Produktspezifische Zusicherungen sollten mit Datenkartierungen beginnen. Ein Kunde sollte sehen können, welche Blackbaud-Systeme Namen, Adressen, Spendenhistorie, Bankfelder, Ausweisnummern, Anmeldefelder, Engagement-Notizen, Anhänge, Veranstaltungsteilnahmen, Beziehungsverknüpfungen und importierte Dateien enthalten. Er sollte wissen, ob diese Felder verschlüsselt, durchsuchbar, exportierbar, gesichert oder nach Vertragsbeendigung aufbewahrt werden. Er sollte auch wissen, ob Kundenadministratoren versehentlich sensible Daten in schwächere Felder platzieren können.
Im Fall Blackbaud machte die regulatorische Akte den Feld- und Anhangsstandort zu einem Teil der Verantwortungsgeschichte. Dies sollte zu einer Lektion für die Beschaffung werden.
Die gleiche Zusicherung sollte Integrationen abdecken. Fundraising-Systeme arbeiten selten allein. Sie verbinden sich mit Zahlungsabwicklern, E-Mail-Plattformen, Analysetools, Webformularen, Veranstaltungssystemen, Data Warehouses, Finanzsystemen und Identitätsanbietern. Ein Ransomware-Vorfall in der Umgebung des Hauptanbieters kompromittiert möglicherweise nicht direkt jede Integration, aber der Kunde muss dennoch wissen, ob Token, Exporte, Webhooks, API-Protokolle oder importierte Dateien im betroffenen Bestand waren. Eine enge "Datenbank"-Antwort könnte die betriebliche Realität der Automatisierung von Fundraising-Arbeit verfehlen.
Kleine Organisationen benötigen diese Nachweise in einer Form, die sie nutzen können. Eine große Universität kann einen Datenschutzbeauftragten, Beschaffungspersonal und Sicherheitsprüfer haben. Eine lokale Organisation kann einen Betriebsleiter, einen Teilzeit-Fundraiser und ein Vorstandsmitglied haben, das für die Technologieaufsicht verantwortlich ist. Wenn die Zusicherung des Anbieters nur für Unternehmensanwälte geschrieben ist, können Kunden mit der geringsten internen Kapazität die schwächsten Aufbewahrungs- und Benachrichtigungsentscheidungen treffen.
Ein Cloud-Anbieter, der missionarische Institutionen bedient, sollte daher mehrstufige Zusicherungen veröffentlichen: eine Vorfallzusammenfassung in klarer Sprache, einen kundenspezifischen Datenkategoriebericht, ein Sicherheitskontrollen-Update und tiefergehende Dokumente für regulierte oder risikoreiche Kunden.
Die Kundenzusicherung sollte auch Live-Systeme von Backups und Archiven trennen. Mitglieder nehmen oft an, dass ihr Risiko sinkt, wenn sie aufhören zu spenden oder eine Organisation bitten, sie nicht mehr zu kontaktieren. Dies kann falsch sein, wenn alte Exporte, Sicherungssets, archivierte Kampagnendateien oder Datenbanken ehemaliger Kunden bestehen bleiben. Die Bedenken der FTC zur Aufbewahrung machen diesen Punkt konkret. Ein vertretbares Zusicherungsset sollte Löschungsfristen und Backup-Aufbewahrung so erklären, dass Kunden sie in ihre eigenen Datenschutzhinweise übersetzen können.
Schließlich sollte die produktspezifische Zusicherung kontinuierlich sein. Sie sollte nicht erst nach einem Vorfall beginnen. Kunden sollten Datenkategorien bei der Implementierung, nach großen Kampagnen, beim Import historischer Datensätze, beim Wechsel von Zahlungsabläufen, bei der Aktivierung neuer Module und bei der Verlängerung überprüfen. Ein Verstoß legt historische Entscheidungen offen. Bessere Governance reduziert die Historie, die exponiert werden kann.
Diese kontinuierliche Überprüfung sollte auch die Rollengestaltung sowie die Datenfelder umfassen. Fundraising, Alumni-Beziehungen, Zuschussverwaltung, Finanzen, Veranstaltungen, Freiwilligenmanagement und Führungsberichte können alle unterschiedliche Zugriffsmuster erfordern. Wenn erweiterte Administratorrechte zum Standard der Bequemlichkeit werden, schafft der Kunde eine breitere Expositionsoberfläche in der Anbieterumgebung.
Wenn der Anbieter Kunden nicht zeigen kann, wo privilegierte Rollen existieren, wann sie zuletzt verwendet wurden und welche Exporte oder Anhänge sie erreichen können, kann der Kunde seinen eigenen Teil des Risikos nicht steuern. Die Blackbaud-Akte weist daher auf eine gemeinsame Zusicherungspflicht hin: Der Anbieter muss Produktkontrollen ausreichend sichtbar machen, um genutzt zu werden, und Kunden müssen diese Kontrollen als Teil des Spender- und Mitgliedermanagements behandeln, nicht als Backoffice-Einstellung mit wiederkehrender Überprüfung auf Vorstandsebene.
Was nachhaltige Wiedergutmachung beweisen sollte
Nachhaltige Wiedergutmachung nach dem Blackbaud-Vorfall sollte sieben Dinge beweisen. Erstens sollte sie den Umfang beweisen. Der Anbieter sollte wissen, welche Produkte, Kunden, Dateien, Felder, Anhänge, Datenkategorien und Personengruppen betroffen waren. Die Prüfung von Dateinamen kann ein Ausgangspunkt sein, aber eine Umfangsbehauptung, die Bankinformationen oder Ausweisnummern betrifft, erfordert Nachweise auf Inhaltsebene oder einen dokumentierten Grund, warum eine Prüfung auf Inhaltsebene unmöglich ist.
Zweitens sollte sie die Integrität der Benachrichtigungen beweisen. Es sollte einen dokumentierten Weg von forensischen Fakten zu Kundenbenachrichtigungen, zusätzlichen Benachrichtigungen, Investorenoffenlegungen, Meldungen an Aufsichtsbehörden, Callcenter-Skripten und Vorstandsberichten geben. Wenn ein technisches Team erfährt, dass eine Benachrichtigung falsch ist, sollte die Korrektur nicht von einer informellen Eskalation abhängen. Der SEC-Fall zeigt, dass Offenlegungskontrollen selbst ein Sicherheitsergebnis sind.
Drittens sollte sie die Aufbewahrungskontrolle beweisen. Datenaufbewahrungsfristen sollten produkt- und kundenspezifisch sein, ausreichend, um zu erklären, warum Daten aufbewahrt werden, wann sie gelöscht werden und wer Ausnahmen genehmigen kann. Daten ehemaliger Kunden sollten nicht in zugänglichen Produktions- oder Sicherungsumgebungen verbleiben, ohne einen vertretbaren Bedarf. Wenn die Aufbewahrung gesetzlich vorgeschrieben ist, sollte sie entsprechend der Sensitivität geschützt werden.
Viertens sollte sie Verschlüsselung und Feld-Governance beweisen. Ein Anbieter, der Freitextfelder und Anhänge zulässt, muss wissen, wo sensible Daten außerhalb geschützter Felder auftauchen können. Verschlüsselung hilft nur, wenn Kunden nicht versehentlich sensible Daten in unverschlüsselte Orte platzieren können. Produktdesign, Kundenberatung, Analyse, Warnungen und Standardkontrollen sind alle Teil der Wiedergutmachung.
Fünftens sollte sie Zugriffskontrolle und Segmentierung beweisen. Die FTC behauptete Versäumnisse bei Überwachung, Segmentierung, Multi-Faktor-Authentifizierung, Passwortkontrollen, Firewall-Kontrollen und Tests. Eine nachhaltige Wiedergutmachung würde Least Privilege, stärkere Authentifizierung, Umgebungstrennung, Überwachung privilegierter Zugriffe, Beseitigung von Schwachstellen, Protokollabdeckung und getestete Erkennung zeigen.
Sechstens sollte sie die Ransomware-Reaktion ohne Vertrauen auf die Zusicherungen des Angreifers beweisen. Wenn kopierte Daten angeblich vernichtet sind, sollte das Unternehmen angeben, welche Beweise diese Behauptung stützen und welche Unsicherheit verbleibt. Wenn die Löschung nicht verifiziert werden kann, sollten Benachrichtigungen keine Verifizierung implizieren. Die Zahlung löscht nicht die Benachrichtigungspflicht.
Siebtens sollte sie die Kunden-Governance beweisen. Blackbaud-Kunden sollten Nachweise erhalten, die ihnen helfen, ihre eigenen Praktiken zu korrigieren: Verwendung sensibler Felder, Anhangsrisiken, Aufbewahrungseinstellungen, Verschlüsselungsoptionen, Zugriff auf Protokolle und empfohlene Benachrichtigungsvorlagen. Die Wiedergutmachung des Anbieters ist unvollständig, wenn Kunden dieselben Expositionsmuster innerhalb des Produkts wiederherstellen können.
Verantwortung folgt der Beweiskontrolle
Die endgültige Zuweisung folgt der praktischen Kontrolle. Blackbaud kontrollierte die gehostete Umgebung, das Sicherheitsprogramm, die Vorfallreaktion, die forensischen Anbieter, die ersten Kundenbenachrichtigungen, die Beweise der Kommunikation mit dem Angreifer, die Datenaufbewahrungsarchitektur, die Produktsicherungen, die Offenlegungskontrollen und die Zusammenarbeit mit Aufsichtsbehörden. Die Kunden kontrollierten ihre Erfassungs- und Feldnutzungsentscheidungen, lokale Benachrichtigungen, Beziehungen zu Mitgliedern und die Governance nach dem Vorfall. Die Aufsichtsbehörden kontrollierten die Durchsetzung.
Betroffene Personen kontrollierten nur einen kleinen Satz von Schutzmaßnahmen, nachdem sie genügend Informationen zum Handeln erhalten hatten.
Diese Zuweisung erfordert keine unbegründeten Vorwürfe. Sie besagt nicht, dass jeder exponierte Datensatz missbraucht wurde. Sie besagt nicht, dass jeder Kunde Daten schlecht verwaltet hat. Sie besagt nicht, dass jeder spätere Schutz versagt hat. Sie besagt, dass die Partei mit der Beweisschranke die höchste Pflicht hatte, genaue Fakten schnell zu bewegen. Die Akten der SEC, FTC, Bundesstaaten, Kunden und öffentliche Aufzeichnungen weisen alle auf diese Schranke hin.
Der Fall Blackbaud bleibt wichtig, weil er eine versteckte Kosten der Cloud-Konzentration im gemeinnützigen Sektor zeigt. Missionarische Institutionen können ihre Betriebsdaten bei einem spezialisierten Anbieter bündeln und Effizienz gewinnen. Aber wenn der Anbieter kompromittiert wird, werden Spender, Alumni, Patienten, Studenten und Unterstützer zu einer verteilten Schadenspopulation. Sie sind nicht nur Kunden einer Organisation. Sie sind Datensubjekte in einem Anbietersystem, dessen Existenz ihnen möglicherweise nicht bewusst ist.
Die bleibende Lektion ist einfach und schwierig: Ein Cloud-Anbieter für den sozialen Sektor muss beweisen können, was er hält, was kopiert wurde, was verschlüsselt war, was unnötig aufbewahrt wurde, was Kunden gesagt wurde, was sich änderte, als neue Fakten auftauchten, und welche Sicherungen eine Wiederholung verhindern. Ohne diesen Nachweis wird die Datenbenachrichtigung von Organisationen zu einer Übung in geliehenem Vertrauen. Mit diesem Nachweis können Kunden einen Anbietervorfall in eine genaue, zeitnahe und verantwortungsvolle Kommunikation verwandeln, anstatt in eine pauschale Beruhigung.

