Zusammenfassung

Warum dieser Fall zu einer Risiko- und Haftungsakte gehört

Deloitte gehört zu einer Risiko- und Haftungsakte, weil der Vorfall das Vertrauen in Professional Services in ein E-Mail-Administrationsproblem verwandelte. Die unmittelbare technische Frage war, wie Angreifer auf die Plattform zugreifen konnten. Die Haftungsfrage war breiter: Kann ein Unternehmen, das vertrauliche Kundenkommunikation, Prüfungsunterlagen, strategische Dokumente, Transaktionsaufzeichnungen, Sicherheitsdiagramme, regulierte Daten und privilegierte Beratung verwahrt, nachweisen, was offengelegt wurde, wenn eine gemeinsame E-Mail-Umgebung kompromittiert ist?

Der erste Bericht des Guardian unterhttps://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emailsdeutete an, dass Angreifer möglicherweise auf vertrauliche Kunden-E-Mails und zugehörige Daten zugegriffen hatten. Sein Folgebericht unterhttps://www.theguardian.com/business/2017/oct/10/deloitte-hack-hit-server-containing-emails-from-across-us-governmentberichtete, dass ein Server E-Mails mit einer breiteren Kundenpopulation enthielt, einschließlich Regierungsdokumenten, und dass Quellen die Enge der öffentlichen Position von Deloitte in Frage stellten. KrebsOnSecurity berichtete unterhttps://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/, dass Deloitte einen unbefugten Zugriff auf eine E-Mail-Plattform eingeräumt und erklärt hatte, dass nur sehr wenige Kunden betroffen seien, während eine mit der Untersuchung vertraute Quelle eine breitere Kompromittierung behauptete. SC Media berichtete unterhttps://www.scworld.com/news/no-accounting-for-this-deloittes-email-server-reportedly-breached, dass Deloitte erklärt habe, die Überprüfung sei abgeschlossen, nur wenige Kunden seien betroffen, es habe keine Unterbrechung der Kundengeschäfte gegeben und die betroffenen Unternehmen seien kontaktiert worden.

Diese Quellen liefern der Öffentlichkeit keine vollständige forensische Akte. Sie zeigen einen häufigen Konflikt nach Kompromittierungen von Institutionen mit hohem Vertrauen. Die Organisation behauptet, dass die betroffene Population begrenzt sei. Journalisten und Quellen stellen in Frage, ob die Grenze so eng ist wie beschrieben. Kunden fragen sich, ob sie außerhalb der betroffenen Population sind, weil forensische Beweise dies belegen oder weil die öffentliche Erklärung eine Definition von „betroffen“ verwendet, die nicht ihrem eigenen Risiko entspricht. Das ist das Haftungsproblem.

Der Fall ist wichtig, weil E-Mail in einem Professional-Services-Unternehmen kein Backoffice-Tool mit geringer Sensitivität ist. Sie ist ein Kundendatenlager, ein Workflow-System, eine juristische Akte, ein Lieferkanal, eine Beweisspur, eine Genehmigungsoberfläche und ein Archiv privilegierten Kontexts. Ein einzelnes Administratorkonto, das viele Postfächer oder Verwaltungsfunktionen erreichen kann, kann zu einem Datenschutzverstoß über viele Kundenbeziehungen werden. Es geht nicht nur darum, ob personenbezogene Daten offengelegt wurden.

Es geht darum, ob Kundengeheimnisse, Strategien, Prüfungsdiskussionen, Sicherheitsentwürfe, Regulierungsbehördenkommunikation, Anmeldeinformationen, Diagramme und Anhänge zugänglich waren.

Die Haftungsfrage ist also praktisch: Wer hatte die effektive Kontrolle über den privilegierten E-Mail-Zugriff, die Administratorauthentifizierung, die Abgrenzung von Kundendaten, die Benachrichtigung betroffener Parteien, Prüfnachweise und den Nachweis, dass die Vertraulichkeit von Professional Services die Kompromittierung überstanden hatte? Diese Frage folgt der Kontrolle, nicht dem Ruf. Kunden von Deloitte konnten die kompromittierte E-Mail-Plattform nicht in Echtzeit überprüfen. Sie mussten sich auf die Abgrenzung, die Benachrichtigungen und die spätere Zusicherung von Deloitte verlassen.

Das Unternehmen, das den Protokollen, Berechtigungen, dem Postfachinventar, der Cloud-Mandantenkonfiguration und dem Überprüfungsprozess am nächsten war, hatte die stärkste Beweislast.

Interne E-Mail wird zur Kundeninfrastruktur, wenn vertrauliche Arbeit darüber läuft

Der Ausdruck „E-Mail-Kompromittierung“ kann den Fall kleiner erscheinen lassen, als er ist. In einem Unternehmen wie Deloitte ist E-Mail eine unternehmensweite Softwareautomatisierung für professionelle Arbeit. Einsatzkteams tauschen Entwürfe, Genehmigungen, Anfragen, Anhänge, Tabellenkalkulationen, Prüfnachweise, Architekturdiagramme, rechtliche Kommentare, Transaktionsdokumente, Steuerpositionen, Cyberbewertungen, Personalentscheidungen und Kundenanweisungen aus. Auch wenn das endgültige Lieferobjekt in einem Dokumentensystem gespeichert ist, läuft das Gespräch, das ihm Bedeutung verleiht, oft über Postfächer.

Dies macht den Kontrollbereich weit. Administratorzugriff auf E-Mail kann nicht nur Nachrichten offenlegen, sondern auch Delegierungen, Weiterleitungsregeln, Postfachsuche, Aufbewahrung, Prüfprotokolle, E-Discovery-Funktionen, Archivzugriff und mandantenweite Einstellungen. Wenn diese Funktionen nicht streng segmentiert und überwacht werden, kann die Kompromittierung eines privilegierten Kontos zu einer Kompromittierung vieler Kundendatenschutzgrenzen werden. Das Professional-Services-Unternehmen mag das E-Mail-System besitzen, aber die Kunden besitzen einen Großteil der Sensitivität, die darüber läuft.

CBS News berichtete unterhttps://www.cbsnews.com/news/deloitte-cyber-attack-reportedly-hit-corporate-government-clients/, dass Deloitte erklärt habe, nur sehr wenige Kunden seien betroffen und es habe keine Unterbrechung gegeben, während öffentliche Berichte ein Administratorkonto und das Fehlen einer Zwei-Faktor-Authentifizierung beschrieben. Sky News berichtete unterhttps://news.sky.com/story/global-accountancy-firm-deloitte-admits-cyber-attack-11053136, dass Deloitte eingeräumt habe, dass Angreifer auf Daten auf einer E-Mail-Plattform zugegriffen hatten, und die betroffenen Kunden informiert habe. Der Bericht der Financial Times unterhttps://www.ft.com/content/1a69d936-a1fa-11e7-9e4f-7f5e6a7c98a2?syn-25a6b1a6=1behandelte den Vorfall ebenfalls als großen Cyberangriff im Professional-Services-Bereich. Diese Dokumente reichen aus, um die öffentliche Kontroverse zu zeigen, auch wenn sie die private Prüfung der Protokolle nicht offenlegen.

Das Problem der Kundendaten wird nicht gelöst, indem man sagt, dass nur eine kleine Anzahl von Kunden „betroffen“ war, es sei denn, die Definition ist klar. Ein Kunde könnte sich darum sorgen, ob seine E-Mail eingesehen wurde, ob seine Anhänge zugänglich waren, ob seine Daten durchsucht wurden, ob Anmeldeinformationen oder Diagramme vorhanden waren, ob Nachrichten exfiltriert wurden, ob privilegierte Rechtsdokumente eingesehen wurden, ob personenbezogene Daten von Mitarbeitern vorhanden waren und ob der Angreifer in der Lage war, E-Mail-Regeln oder Persistenz zu erstellen. Jede Frage kann eine andere betroffene Population hervorbringen.

Die Vertraulichkeit von Professional Services hat auch eine reputationsbezogene Dimension. Deloitte und seine Mitbewerber beraten Kunden zu Cyberrisiken, Kontrollen, Prüfungen, Compliance und Transformation. Eine Kompromittierung in der E-Mail-Umgebung des Unternehmens schafft daher ein Haftungsproblem zweiter Ordnung: ob die internen Kontrollen des Unternehmens der von ihm verkauften Kontrolldisziplin entsprachen. Dieses Reputationsproblem sollte forensische Fakten nicht ersetzen. Es erklärt, warum Kunden und Beobachter besonders besorgt über die Administratorauthentifizierung und die späte öffentliche Offenlegung waren.

Privilegierter Zugriff ist der Dreh- und Angelpunkt des Falles

Die öffentliche Berichterstattung betonte wiederholt den privilegierten Zugriff. The Guardian berichtete, dass Angreifer über ein Administratorkonto auf einen globalen E-Mail-Server zugegriffen hatten und dass dieses Konto nicht durch eine Zwei-Schritt-Verifizierung geschützt war. KrebsOnSecurity berichtete über Behauptungen zu Administratorkonten und dem breiteren E-Mail-System und veröffentlichte gleichzeitig die Erklärung von Deloitte, dass nur wenige Kunden betroffen seien und eine Überprüfung ergeben habe, was gefährdet sei und was der Angreifer getan habe. CyberScoop berichtete unterhttps://cyberscoop.com/deloitte-breach-2017/, dass die Kompromittierung ein privilegiertes Konto betraf, das nicht durch eine Zwei-Faktor-Authentifizierung geschützt war. TechTarget berichtete unterhttps://www.techtarget.com/searchsecurity/news/450427269/Deloitte-hack-compromised-sensitive-emails-client-data, dass der Vorfall Fragen zu Kundendaten, Administratorzugriff und Benachrichtigung aufwarf.

Die genaue private Konfiguration ist nicht öffentlich. Das Haftungsprinzip ist trotzdem klar. Privilegierte Konten erfordern stärkere Authentifizierung, strengere Autorisierung, Aufgabentrennung, bedingten Zugriff, Überwachung und Notfallabschaltung als normale Benutzerkonten. Sie sollten nicht breit, leise und von unerwarteten Orten aus leicht nutzbar sein. Wenn ein Konto eine große E-Mail-Umgebung verwalten kann, dann schafft die Kompromittierung dieses Kontos ein Kundendatenschutzereignis, nicht nur ein IT-Serviceproblem.

Der Kontrollkontext ist heute weitgehend dokumentiert. Die CISA-Richtlinien für kleine und mittlere Unternehmen unterhttps://www.cisa.gov/audiences/small-and-medium-businesses/secure-your-business/require-multifactor-authenticationgeben an, dass Organisationen eine Multi-Faktor-Authentifizierung für Fernzugriff und privilegierten oder administrativen Zugriff verlangen sollten. Das CISA-Merkblatt zu phishing-resistenten MFA unterhttps://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdfdrängt auf stärkere Formen von MFA für den Zugriff auf E-Mail, Dateifreigabe und Finanzkonten. Die aktuellen NIST-Richtlinien zur digitalen Identität unterhttps://csrc.nist.gov/pubs/sp/800/63/b/4/finaldefinieren Authentifizierungssicherheitsanforderungen. Die Microsoft Entra MFA-Übersicht unterhttps://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworksbeschreibt MFA als die Anforderung einer zusätzlichen Identifikationsform bei der Anmeldung. Diese Quellen sind späterer Natur oder allgemein; sie beweisen nicht die Kontrollen von Deloitte im Jahr 2017. Sie erklären, warum ein Administratorkonto ohne starkes MFA ein offensichtliches Kontrollproblem darstellen würde.

Privilegierter Zugriff erfordert auch Protokollierung. Es reicht nicht, einen zweiten Faktor zu verlangen, wenn die Aktionen von Administratoren nicht sichtbar, durchsuchbar und aufbewahrt sind. Eine E-Mail-Plattform muss administrative Anmeldungen, Postfachsuchvorgänge, Berechtigungsänderungen, Weiterleitungsregeln, E-Discovery-Aktionen, Anwendungsregistrierungen, Tokenausstellung, Zugriff auf Prüfprotokolle und anomale Downloads protokollieren. Ohne diese Akte wird die Abgrenzung zu Spekulation.

Ein Unternehmen kann sagen, dass es glaubt, dass nur eine kleine Gruppe von Kunden betroffen war, aber die Kunden müssen wissen, ob dieser Glaube durch Protokolle oder durch das Fehlen von Beweisen gestützt wird.

Der Fall beruht daher auf dem Beweis negativer Tatsachen. Hat der Angreifer nicht auf das Postfach eines Kunden zugegriffen? Hat der Angreifer keine Anhänge heruntergeladen? Hat der Angreifer keine Persistenz geschaffen? Hat der Angreifer keine Anmeldeinformationen oder Diagramme erhalten? Um diese Negativitäten zu beweisen, benötigt das Unternehmen vollständige Protokolle, eine konsistente Aufbewahrung, zuverlässige Zeitstempel, bekannte administrative Berechtigungen und eine Rekonstruktionsmethode. Wenn die Protokolle unvollständig sind, kann die ehrliche Antwort sein, dass der Umfang nicht mit Sicherheit nachgewiesen werden kann.

Diese Antwort ist schmerzhaft, aber verantwortungsvoller, als Unsicherheit in Beruhigung umzuwandeln.

Die Benachrichtigung von Kunden hängt von der Abgrenzung ab, nicht von öffentlichem Vertrauen

Deloitte hat angeblich die betroffenen Kunden kontaktiert. Der von Reuters veröffentlichte Bericht unterhttps://uk.finance.yahoo.com/news/deloitte-hacked-says-very-few-clients-affected-052609557--sector.htmldeutete an, dass Deloitte Opfer eines Cyberangriffs geworden sei, der eine kleine Anzahl von Kunden betreffe, und dass Angreifer auf Daten von einer E-Mail-Plattform zugegriffen hätten. Sky News und SC Media berichteten ähnliche Unternehmenspositionen. The Guardian und KrebsOnSecurity berichteten, dass Quellen glaubten, dass die betroffene Umgebung oder die potenzielle Exposition breiter sei. Die Öffentlichkeit kann diesen Konflikt ohne die zugrunde liegenden Beweise nicht lösen.

Die Verantwortung für die Benachrichtigung beginnt mit den Definitionen. Ein Kunde kann „betroffen“ sein, weil seine Daten eingesehen wurden, weil seine Daten zugänglich waren, weil seine Daten sich in einem durchsuchten Postfach befanden, weil seine Daten sich im selben Mandanten wie die kompromittierten Administratorrechte befanden, weil seine Anmeldeinformationen vorhanden waren, weil seine regulierten Daten vorhanden waren oder weil sein Einsatzteam Teil eines betroffenen Workflows war. Eine enge Definition der Benachrichtigung kann eine rechtliche Schwelle erfüllen, aber die betrieblichen Risikobedürfnisse des Kunden verfehlen.

Eine breite Definition kann Alarm auslösen, aber den Kunden genügend Informationen geben, um sich zu schützen.

Die richtige Antwort hängt von den Beweisen ab. Wenn die Protokolle zeigen, dass der Angreifer nur auf bestimmte Postfächer und Nachrichten zugegriffen hat, können Benachrichtigungen gezielt erfolgen. Wenn die Protokolle einen Zugriff auf Administratorebene zeigen, aber nicht beweisen können, worauf zugegriffen wurde, muss die betroffene Population möglicherweise breiter gefasst werden. Wenn der Angreifer über E-Discovery- oder Suchfähigkeiten verfügte, muss die Abgrenzung Suchvorgänge in Postfächern berücksichtigen. Wenn die Anhänge regulierte personenbezogene Daten enthielten, können Datenschutzregeln gelten.

Wenn Kundengeheimnisse oder Sicherheitsdiagramme vorhanden waren, müssen Kunden möglicherweise Anmeldeinformationen rotieren, Kontrollen überprüfen oder ihre eigenen Regulierungsbehörden informieren.

Der Leitfaden zur Datensicherheit des britischen Information Commissioner unterhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/stammt aus der Zeit nach den Berichten von 2017 und gehört zur Ära der britischen DSGVO, sollte also nicht als direkte Durchsetzungsfeststellung von 2017 behandelt werden. Er ist dennoch nützlich, da er das allgemeine Sicherheitsprinzip formuliert, dass personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden müssen. Die ICO-Seite zu den Datenschutzgrundsätzen unterhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/rahmen auch Verantwortlichkeit, Integrität und Vertraulichkeit als grundlegende Ideen des Datenschutzes ein. In einem globalen Professional-Services-Netzwerk entsprechen diese Grundsätze den Kundenerwartungen, auch wenn die spezifischen Rechtsordnungen variieren.

Die Benachrichtigung von Kunden muss auch Souveränität und Lokalität berücksichtigen. Die Berichte des Guardian beschrieben eine Cloud-basierte Microsoft-E-Mail-Umgebung und einen auf die USA fokussierten Untersuchungskontext. Ein globales Unternehmen kann Daten von Kunden, Regierungen und Einzelpersonen in mehreren Rechtsräumen auf einer gemeinsamen E-Mail-Plattform halten.

Kunden müssen wissen, wo ihre Daten gespeichert waren, welche juristische Person sie kontrollierte, welche Deloitte-Mitgliedsfirma beteiligt war, welche Regulierungsbehörden benachrichtigt wurden und ob der grenzüberschreitende Zugriff oder die Verarbeitung das Risiko verändert hat. „E-Mail-Plattform“ ist keine juristische Antwort. Es ist eine technische Kategorie, die auf Datenstandorte und Rollen als Verantwortlicher oder Auftragsverarbeiter abgebildet werden muss.

Der Companies-House-Eintrag für Deloitte LLP unterhttps://find-and-update.company-information.service.gov.uk/company/OC303675ist ein grundlegender Entitätskontext, kein Vorfallnachweis. Er ist wichtig, weil Professional-Services-Netzwerke oft mehrere juristische Personen und Mitgliedsfirmen umfassen. Ein Kunde, der Dienstleistungen von einer Deloitte-Einheit kauft, muss möglicherweise wissen, welche Einheit die betroffene Plattform kontrollierte, welche Einheit den Vertrag hielt und welche Einheit die Benachrichtigungen ausstellte. Die Haftung wird schwächer, wenn eine globale Marke öffentlich sichtbar ist, die Vorfallbeweise jedoch zwischen juristischen Personen, Geografien und Dienstleistungslinien fragmentiert sind.

Cloud-E-Mail lagert Vertraulichkeit nicht aus

Die öffentliche Berichterstattung beschrieb die betroffene Plattform als in der Cloud gehostet. Dieses Detail sollte nicht zur Ablenkung werden. Ein Cloud-Anbieter kann Identität, Protokollierung, Sicherheit und Plattformtools bereitstellen, aber das Professional-Services-Unternehmen bleibt dafür verantwortlich, wie Administratorkonten, Mandantenrechte, bedingter Zugriff, Postfachberechtigungen, Prüfaufbewahrung und Workflows für Kundendaten konfiguriert sind. Die Cloud kann die Kontrollnachweise verbessern, wenn sie gut konfiguriert ist.

Sie kann den Schaden auch konzentrieren, wenn ein privilegiertes Konto eine breite Reichweite und schwache Authentifizierung hat.

Die Microsoft Entra MFA-Dokumentation unterhttps://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworksist nützlich, da sie zeigt, dass moderne Cloud-Identitätsplattformen über native MFA-Konzepte verfügen. Die zugehörigen Microsoft-Richtlinien zur MFA-Pflicht für Administratoren unterhttps://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-old-require-mfa-adminbeschreiben Conditional-Access-Muster für Administratorrollen. Dieser Artikel verwendet diese Seiten nicht, um zu behaupten, welche Optionen Deloitte im Jahr 2017 aktiviert hatte. Er verwendet sie, um das Kontrollproblem zu formulieren: Administratorzugriff auf eine Cloud-E-Mail-Umgebung ist eine Identitätsoberfläche mit hohem Risiko, die gestärkt, überwacht und überprüft werden muss.

Cloud-E-Mail verändert auch die Erwartungen an Beweise. In älteren On-Premise-Systemen können Protokolle zwischen Servern und Geräten fragmentiert sein. In Cloud-Systemen können zentrale Protokolle für Audits, Identität, Postfächer und Administration eine bessere Rekonstruktion unterstützen, aber nur, wenn die Protokollierung aktiviert, aufbewahrt und vor Manipulation geschützt ist. Eine Post-Kompromittierungs-Prüfung sollte in der Lage sein, Verbindungsquellen, administrative Aktionen, Postfachzugriffsereignisse, Token-Aktivität, Anwendungszustimmungen, Weiterleitungsänderungen und Download-Muster zu zeigen.

Wenn ein Unternehmen diese Aufzeichnungen nicht vorlegen kann, dann hat die Cloud-Plattform keine Verantwortlichkeit geliefert.

Es gibt auch ein Automatisierungsproblem. Unternehmens-E-Mail-Plattformen automatisieren Aufbewahrung, Discovery, Klassifizierung, Weiterleitung, Delegierung, Postfachmigration, mobilen Zugriff und Drittanbieterintegrationen. Jede automatisierte Funktion kann einen Expositionspfad schaffen, wenn der privilegierte Zugriff kompromittiert ist. Beispielsweise kann eine Weiterleitungsregel E-Mails still umleiten. Eine Anwendungsregistrierung kann den Zugriff nach einem Passwort-Reset aufrechterhalten. Eine Discovery-Suche kann viele Postfächer erreichen. Ein Migrationstool kann große Datenmengen verschieben.

Eine Überprüfung der Kundendatenabgrenzung muss den Automatisierungsstatus überprüfen, nicht nur direkte Postfachzugriffe.

Der Professional-Services-Kontext verstärkt das Problem, da Kundenarbeit in der Praxis mandantenübergreifend ist, auch wenn die Verträge getrennt sind. Ein Partner kann an mehreren Kunden arbeiten. Ein Postfach kann mehrere Engagements enthalten. Ein Anhang kann Daten mehrerer Einheiten enthalten. Eine administrative Suche kann Dienstleistungslinien überschreiten. Daher ist eine interne E-Mail-Kompromittierung schwer sauber abzugrenzen.

Ein solides Daten-Governance-Programm würde sensible Kundendokumente klassifizieren, unnötige E-Mail-Aufbewahrung begrenzen, Engagements mit hohem Risiko trennen, breite Administratorrechte einschränken und Protokolle lange genug aufbewahren, um eine Exposition zu rekonstruieren.

Erkennungszeitpunkt und öffentlicher Zeitpunkt sind unterschiedlich, aber verbunden

The Guardian berichtete, dass Deloitte die Kompromittierung im März 2017 entdeckte und die Angreifer möglicherweise seit dem vorherigen Herbst Zugriff hatten. Die öffentliche Berichterstattung erschien im September 2017. Diese Daten werfen zwei Zeitfragen auf. Erstens, wie lange hatten die Angreifer vor der Erkennung praktischen Zugriff? Zweitens, wie lange warteten die betroffenen Parteien und der breitere Markt auf öffentliche Kenntnis? Die Antworten können unterschiedlich sein. Ein Unternehmen kann privat erkennen und einige Kunden benachrichtigen, ohne eine öffentliche Ankündigung zu machen. Das kann in einigen Fällen vertretbar sein.

Aber die Beweise müssen zeigen, warum die Benachrichtigungspopulation und der Zeitplan angemessen waren.

Die Erkennungszeit ist ein Problem der Sicherheitsautomatisierung. Wenn sich ein Administratorkonto von ungewöhnlichen Standorten anmeldet, breite Postfachsuchvorgänge durchführt, auf sensible Postfächer zugreift, neue Regeln erstellt oder ungewöhnliche Volumina herunterlädt, sollte die Plattform Warnungen generieren. Wenn Warnungen ausgelöst, aber nicht gesichtet werden, ist das Problem betrieblicher Natur. Wenn Warnungen nicht ausgelöst werden, ist das Problem die Erkennungstechnik. Wenn Protokolle fehlen, ist das Problem die Beweisarchitektur. In jedem Fall folgt die Haftung der Funktion, die die praktische Kontrolle hatte.

Der öffentliche Zeitpunkt ist ein Offenlegungsproblem. Professional-Services-Unternehmen können öffentliche Erklärungen aus rechtlichen Gründen, Kundendatenschutzgründen, Strafverfolgungs- oder Untersuchungsgründen vermeiden. Aber je länger ein großes Kundendatenproblem nicht offengelegt wird, desto mehr können nicht benachrichtigte Kunden sich fragen, ob ihr Risiko unterschätzt wurde. Die berichtete Position von Deloitte war, dass nur sehr wenige Kunden betroffen seien und diese Kunden informiert worden seien. Die Berichte von Guardian und Krebs stellten in Frage, ob der Umfang so eng war wie dargestellt.

Ohne die zugrunde liegenden Benachrichtigungskriterien können Außenstehende die Angemessenheit des Zeitpunkts nicht beurteilen.

Die verantwortungsvolle Praxis besteht darin, eine Entscheidungsakte über die Offenlegung zu führen. Diese Akte sollte zeigen, wann der Vorfall entdeckt wurde, wann die Zeitachse des Angreifers geschätzt wurde, wann die Protokolle überprüft wurden, wann potenziell betroffene Kunden identifiziert wurden, wann Rechtsberatung und Regulierungsbehörden konsultiert wurden, wann Benachrichtigungen gesendet wurden, wann die öffentliche Erklärung genehmigt wurde und welche Definition des betroffenen Kunden verwendet wurde. Wenn spätere Beweise den Umfang ändern, sollte die Akte zeigen, wie das Unternehmen die Benachrichtigungen aktualisiert hat.

Hier sollte die Prüfungskultur helfen. Deloitte ist ein Prüfungs- und Beratungsnetzwerk. Es versteht Beweise, Stichproben, Kontrolldesign, Risikobewertung und Managementrepräsentation. Eine Kundendatenkompromittierung sollte mit derselben Disziplin dokumentiert werden: Umfang, Kriterien, Beweise, Ausnahmen, Unsicherheit, Überprüfung, Genehmigung und Behebung. Die unangenehme Frage ist, ob die interne Vorfallakte des Unternehmens dem Beweisstandard entsprach, den es von einem Kunden erwarten würde, der mit einer ähnlichen Kompromittierung konfrontiert ist.

Vertraulichkeit von Professional Services erfordert Datenminimierung

Der einfachste Weg, die Auswirkungen einer E-Mail-Kompromittierung zu reduzieren, ist, weniger sensible Dokumente in E-Mails zu speichern. Das ist nicht immer praktikabel. Professionelle Arbeit geht schnell voran, und E-Mail bleibt eine universelle Kommunikationsebene. Aber ein Professional-Services-Unternehmen sollte E-Mail als riskanten Speicherbereich behandeln, nicht als dauerhaften Kundensafe. Datenminimierung, Aufbewahrungsregeln, Kontrollen für sensible Anhänge, Verschlüsselung, Rechteverwaltung, sichere Portale und klassifizierte Repositorien können die Explosionsradius einer Kompromittierung eines Administratorkontos verringern.

Die Berichte des Guardian beschrieben eine mögliche Offenlegung von Benutzernamen, Passwörtern, IP-Adressen, Architekturdiagrammen und Gesundheitsinformationen. Dieser Artikel überprüft nicht jedes Element unabhängig. Er behandelt diese Berichte als öffentliche Behauptungen, die zeigen, warum Datenklassifizierung wichtig ist. Wenn E-Mail Anmeldeinformationen oder Sicherheitsdiagramme enthält, kann eine Kompromittierung zu einem Kundensicherheitsvorfall werden. Wenn sie Gesundheits- oder personenbezogene Daten enthält, kann sie zu einem Datenschutzvorfall werden.

Wenn sie Regierungsdokumente oder Dokumente aus regulierten Sektoren enthält, kann sie zu einem Souveränitäts- und Beschaffungsvorfall werden. Wenn sie Prüfnachweise enthält, kann sie das Vertrauen in die professionelle Arbeit beeinträchtigen.

Datenminimierung ist schwierig, weil Professional-Services-Unternehmen Kommunikation oft zur Verteidigungsfähigkeit aufbewahren. Sie benötigen möglicherweise Aufzeichnungen für Prüfungs-, Rechts-, Qualitäts-, Regulierungs- oder Kundendienstzwecke. Die Antwort ist nicht, Beweise zu löschen. Es ist, sensible Aufzeichnungen in Systemen zu speichern, in denen der Zugriff auf einen Zweck beschränkt, protokolliert, nach einer klaren Richtlinie aufbewahrt und nach Engagement trennbar ist. E-Mail sollte nicht das Standardarchiv für alles sein, was Kunden für am wichtigsten halten.

Das ist auch ein Problem der Unternehmenssoftwareautomatisierung. Moderne Professional-Services-Unternehmen verlassen sich auf Workflow-Plattformen, Dokumentenmanagementsysteme, Kundenportale, Identitätsanbieter, Ticketsysteme, Datenräume und Kollaborationstools. Wenn diese Systeme gut gestaltet sind, verringern sie die Abhängigkeit von E-Mail und verbessern die Zugriffsnachweise. Wenn sie schlecht integriert sind, verwenden Mitarbeiter E-Mail als informelle Workflow-Ebene, weil es schneller ist. Das Sicherheitsdesign muss die Arbeit dort treffen, wo sie tatsächlich stattfindet.

Sonst sagt die Richtlinie, dass sensible Daten in kontrollierten Repositorien gehören, während die Realität sie in Postfächern belässt.

Sicherheitsautomatisierung sollte diese Disziplin unterstützen. Data Loss Prevention, Sensitivitätsbezeichnungen, Postfachaudit, Privileged Access Management, bedingter Zugriff, Erkennung unmöglicher Reisen, E-Discovery-Audit, Aufbewahrungsetiketten und automatisierte Warnungssortierung sind alle wichtig. Aber Automatisierung schafft nur dann Verantwortlichkeit, wenn jemand die Ausnahmen besitzt. Ein Etikett, das Benutzer ignorieren, eine Warnungswarteschlange, die niemand überprüft, oder ein Workflow für privilegierten Zugriff, der Anfragen automatisch genehmigt, schützt Kunden nicht. Es produziert Papierkram ohne Kontrolle.

Die Grenzen der Beweise sind wichtig, weil die öffentliche Akte umstritten ist

Die Deloitte-Akte ist umstrittener als einige Vorfallakten. The Guardian und KrebsOnSecurity veröffentlichten Behauptungen basierend auf Quellen über eine breitere Exposition. Die berichtete Erklärung von Deloitte besagte, dass die Überprüfung abgeschlossen sei, nur sehr wenige Kunden betroffen seien und es keine Unterbrechung des Kundengeschäfts, der Fähigkeit von Deloitte, Kunden zu bedienen, oder der Verbraucher gegeben habe. SC Media, Sky News, CBS News, die Reuters-Republikation von Yahoo Finance, CyberScoop, TechTarget, AccountingWEB unterhttps://www.accountingweb.co.uk/practice/general-practice/deloitte-hit-by-major-client-email-hackund Infosecurity Magazine unterhttps://www.infosecurity-magazine.com/news/deloitte-hack-exposes-confidential/trugen alle zum öffentlichen Verständnis bei, aber keiner lieferte die vollständige private forensische Akte.

Das bedeutet, dass der ehrliche Artikel zwei Fehler vermeiden muss. Der erste Fehler ist, die enge öffentliche Zusicherung von Deloitte als vollständigen Beweis zu behandeln, dass kein breiteres Risiko bestand. Der zweite Fehler ist, Behauptungen anonymer Quellen als etablierte forensische Tatsache zu behandeln. Die Haftungslinse liegt dazwischen.

Sie fragt, welche Beweise das Unternehmen vorlegen musste, damit Kunden und Regulierungsbehörden zwischen bestätigtem Zugriff, potenziellem Zugriff, gefährdeten Daten, entnommenen Daten, benachrichtigten Kunden und nicht benachrichtigten Kunden unterscheiden können, weil die Beweise zeigten, dass sie außerhalb des Umfangs lagen.

Bestätigte öffentliche Fakten umfassen, dass Deloitte in mehreren Medienberichten einen unbefugten Zugriff auf eine E-Mail-Plattform eingeräumt hat, dass The Guardian und andere Bedenken hinsichtlich des Administratorzugriffs und MFA berichteten, dass Deloitte erklärte, dass nur sehr wenige Kunden betroffen seien und dass die betroffenen Kunden und Behörden angeblich kontaktiert worden seien. Öffentlich berichtete, aber bestrittene Behauptungen umfassen den vollständigen Umfang des Serverinhalts, die Anzahl der Kunden, deren Dokumente vorhanden waren, und ob der Umfang des Angriffs breiter war als die öffentliche Beschreibung von Deloitte.

Zu den Unbekannten gehören die vollständigen Protokolle, die endgültige Benachrichtigungspopulation, der genaue Zugriff auf Postfächer und Anhänge, die durchgeführten privilegierten Aktionen und die vollständigen Abhilfemaßnahmen.

Kunden benötigen eine Trennung dieser Kategorien. Ein Beschaffungsteam, das Deloitte nach dem Vorfall bewertet, wäre mit einer allgemeinen Antwort, dass der Fall behandelt wurde, nicht gedient. Es müsste wissen, ob administratives MFA obligatorisch ist, ob privilegierte Rollen minimiert sind, ob Postfachprüfprotokolle aufbewahrt werden, ob sensible Kundenaufzeichnungen getrennt sind, ob Einsatzkteams sichere Kommunikationsalternativen erhalten, ob Vorfallbenachrichtigungen durch schriftliche Kriterien geregelt sind und ob eine unabhängige Zusicherung die Korrekturen überprüft hat.

Kundenzusicherung muss reproduzierbar sein

Die nützlichste Zusicherung nach einer E-Mail-Kompromittierung in Professional Services ist reproduzierbar. Ein Kunde sollte kein Ergebnis akzeptieren müssen, ohne die Methode zu verstehen, die es hervorgebracht hat. Das Unternehmen muss nicht jeden Postfachnamen oder jede Nachricht veröffentlichen. Es muss erklären, wie es von den Rohbeweisen zu den Benachrichtigungsentscheidungen gelangt ist. Welche Protokolle wurden gesammelt? Welche administrativen Aktionen wurden überprüft? Welche Postfächer waren im Umfang?

Welche Suchbegriffe, Zeitfenster, Kundenkennungen, Anhang-Repositorien, Weiterleitungsregeln und Anwendungsberechtigungen wurden untersucht? Welche Lücken blieben? Wer hat die Kriterien überprüft? Wer hat die Benachrichtigungspopulation genehmigt?

Reproduzierbare Zusicherung unterscheidet sich von einer allgemeinen Vorfallzusammenfassung. Eine allgemeine Zusammenfassung sagt, dass eine unbefugte Partei auf eine E-Mail-Plattform zugegriffen hat und dass nur sehr wenige Kunden betroffen waren.

Reproduzierbare Zusicherung zeigt den Beweisweg: Der Angreifer hat diese Konten genutzt, aus diesen Zeitfenstern, mit diesen Rechten; diese Postfächer wurden als eingesehen bestätigt; diese anderen Postfächer waren zugänglich, aber laut aufbewahrten Protokollen nicht eingesehen; diese Anhänge enthielten diese Datenklassen; diese Kunden wurden benachrichtigt, weil die Kriterien zutrafen; diese Kunden wurden ausgeschlossen, weil die Beweise den Ausschluss stützten. Je sensibler das Engagement, desto wichtiger ist diese Unterscheidung.

Das ist wichtig, weil Kunden von Professional Services möglicherweise eigene nachgelagerte Verpflichtungen haben. Eine Bank, ein Krankenhaus, eine Regierungsbehörde, ein börsennotiertes Unternehmen, eine Anwaltskanzlei, ein Technologieanbieter oder ein reguliertes Versorgungsunternehmen, das sensible Dokumente an Deloitte gesendet hat, muss möglicherweise entscheiden, ob es seine eigene Regulierungsbehörde benachrichtigen, Anmeldeinformationen rotieren, seinen Vorstand informieren, die Drittanbieter-Exposition untersuchen oder das Beschaffungsrisiko aktualisieren muss.

Es kann diese Entscheidungen nicht auf der Grundlage einer Beruhigung auf Markenebene treffen. Es benötigt Datenkategorien, Zeitpläne, Wahrscheinlichkeit und Handlungsanleitungen.

Reproduzierbarkeit schützt auch das Unternehmen. Wenn Deloitte oder ein anderes Unternehmen zeigen kann, dass seine Kundenbenachrichtigungspopulation aus einer dokumentierten und verteidigungsfähigen Überprüfung stammt, ist es weniger Spekulationen ausgesetzt, dass der Umfang aus Reputationsgründen gewählt wurde. Wenn die Überprüfung Unsicherheit enthält, kann die Benennung dieser Unsicherheit dennoch glaubwürdig sein.

Beispielsweise kann ein Unternehmen sagen, dass die Protokolle für einen Zeitraum vollständig und für einen anderen unvollständig waren und dass die Benachrichtigungen dort ausgeweitet wurden, wo die Beweise einen Ausschluss nicht stützten. Das ist schwieriger zu sagen als „nur wenige Kunden waren betroffen“, aber es ist eine stärkere Haftung.

Das Zusicherungspaket sollte auch nach der Behebung aktualisiert werden. Kunden sollten nicht nur erfahren, was passiert ist, sondern was sich geändert hat: administratives MFA, bedingter Zugriff, Privileged Access Management, Prüfprotokollierung, Aufbewahrung, Sensitivitätskennzeichnung, sichere Portale, Überwachung von E-Mail-Regeln, Governance von Anwendungszustimmungen und Vorfallbenachrichtigungsverfahren. Die Beweise sollten spezifisch genug sein, damit das Sicherheitsteam eines Kunden entscheiden kann, ob es weiterhin sensible Arbeit über dieselben Kanäle senden oder ein anderes Kollaborationsmodell verlangen soll.

Was eine nachhaltige Behebung beweisen sollte

Eine nachhaltige Behebung nach einer E-Mail-Systemkompromittierung sollte zunächst die Identitätsstärkung beweisen. Jede Administratorrolle sollte inventarisiert, begründet, durch starkes MFA geschützt, überwacht und wenn möglich zeitlich begrenzt sein. Gemeinsame Administratorkonten sollten eliminiert oder streng kontrolliert werden. Notfallkonten sollten separat geschützt und protokolliert sein. Bedingter Zugriff sollte Standort, Gerätestatus, Risiko und Rollensensitivität bewerten. Administrative Zustimmung und Anwendungszugriff sollten überprüft werden, da Cloud-Persistenz oft einfache Passwort-Rücksetzungen überlebt.

Zweitens sollte eine nachhaltige Behebung die Postfachabgrenzung beweisen. Das Unternehmen sollte rekonstruieren können, welche Postfächer eingesehen, durchsucht, delegiert, exportiert oder geändert wurden. Es sollte identifizieren, welche Anhänge, Ordner und Zeiträume betroffen waren. Es sollte Weiterleitungsregeln, Posteingangsregeln, Transportregeln, E-Discovery-Suchvorgänge, Postfachberechtigungen, mobile Sitzungen und Anwendungstoken überprüfen. Wenn die Protokolle unvollständig sind, sollte die Behebungsakte dies sagen und erklären, wie die Unsicherheit die Kundenbenachrichtigung beeinflusst hat.

Drittens sollte eine nachhaltige Behebung die Kundendatenklassifizierung beweisen. Das Unternehmen sollte wissen, welche Kunden, Engagements, Rechtsordnungen und Datenkategorien in den betroffenen Postfächern vorhanden waren. Dies erfordert eine bessere Indexierung, als sich auf das Gedächtnis der Mitarbeiter zu verlassen. Es erfordert Engagement-IDs, Aufbewahrungsetiketten, Sensitivitätsbezeichnungen, Verknüpfungen zu sicheren Repositorien und Datenkarten. Ohne Klassifizierung wird die Benachrichtigung langsam und subjektiv.

Viertens sollte eine nachhaltige Behebung die Kommunikationsgovernance beweisen. Kundenbenachrichtigungen sollten angeben, was passiert ist, welche Datentypen betroffen oder potenziell betroffen waren, welche Beweise den Umfang stützen, welche Kundenaktion empfohlen wird, was das Unternehmen getan hat und was unbekannt bleibt. Regulierungsbehörden sollten zeitnahe und genaue Informationen erhalten, wo rechtliche Schwellenwerte gelten. Öffentliche Erklärungen sollten keine breite Beruhigung auf eine Weise verwenden, die Unsicherheit verschleiert.

Fünftens sollte eine nachhaltige Behebung die Überwachung beweisen. Ein Unternehmen sollte demonstrieren, dass privilegierte Postfachaktionen Warnungen generieren, dass Warnungen von geschulten Analysten gesichtet werden, dass Vorfälle an Rechts- und Kundenteams eskaliert werden und dass Erkennungsregeln getestet werden. Sicherheitsautomatisierung sollte Ergebnisse zeigen: verkürzte Erkennungszeit, reduziertes dauerhaftes administratives Privileg, weniger nicht klassifizierte sensible Anhänge und schnellere Kundenabgrenzung.

Sechstens sollte eine nachhaltige Behebung die Governance auf Partnerschafts- und Vorstandsebene beweisen. Professional-Services-Unternehmen haben komplexe Führungsstrukturen. Die Haftung sollte identifizieren, wer das E-Mail-Risiko besitzt, wer die Kundenvertraulichkeit besitzt, wer den Datenschutz besitzt, wer den Cyberbetrieb besitzt, wer die öffentliche Stellungnahme genehmigt und wer die Behebung verifiziert. Ohne benannte Eigentümer kann Vertraulichkeit jedermanns Wert und niemandes Kontrolle sein.

Das Gegenfaktische ist nicht das Fehlen von E-Mail; es ist abgegrenzte E-Mail mit nachweisbarer Verwaltung

Es wäre unrealistisch zu sagen, dass ein Professional-Services-Unternehmen keine E-Mail für die Kundenarbeit verwenden sollte. Das beste Gegenfaktische ist abgegrenzte E-Mail. Sensible Arbeit kann weiterhin E-Mails beinhalten, aber der privilegierte Zugriff wird minimiert, risikoreiche Dokumente werden in kontrollierte Repositorien verschoben, Kundendaten werden gekennzeichnet, Postfachaktivität wird protokolliert, Administratoren verwenden starkes MFA, breite Suchvorgänge werden überwacht, die Aufbewahrung wird geregelt und die Vorfallabgrenzung kann schnell durchgeführt werden.

Das Gegenfaktische beinhaltet auch die Wahl des Kunden. Kunden sollten wissen, ob ihre sensibelsten Engagements sichere Portale, Verschlüsselung, getrennte Mandanten, dedizierte Kollaborationsräume oder strengere Aufbewahrung erfordern. Einige Kunden akzeptieren möglicherweise gewöhnliche E-Mails für Routinekommunikation. Andere, insbesondere Regierungs-, Gesundheits-, Finanz-, Rechts-, M&A-, Cybersicherheits- und regulierte Kunden, benötigen möglicherweise stärkere Kontrollen. Ein Professional-Services-Unternehmen sollte diese Wahl nicht stillschweigend treffen, indem es alle Arbeit über dieselbe breite E-Mail-Plattform laufen lässt.

Das Gegenfaktische beinhaltet ein besseres Benachrichtigungsmodell. Anstatt sich auf öffentliche Behauptungen zu stützen, dass nur wenige Kunden betroffen waren, kann das Unternehmen den Kunden eine strukturierte Erklärung geben: Der Angreifer hat auf diese Systeme zugegriffen, diese Protokolle wurden überprüft, diese Postfächer wurden als eingesehen bestätigt, diese Datenkategorien waren vorhanden, diese Kunden werden benachrichtigt, weil die Kriterien zutrafen, diese Kunden werden nicht benachrichtigt, weil die Beweise sie ausschließen, und diese Kontrollen wurden nach dem Vorfall geändert.

Dieses Modell respektiert die Vertraulichkeit, gibt den Kunden aber genügend Beweise, um ihr eigenes Risiko zu steuern.

Schließlich beinhaltet das Gegenfaktische Demut. Ein Unternehmen, das andere zu Risiken berät, sollte anerkennen, dass seine eigenen Systeme versagen können, und sollte die Behebungsnachweise für die entsprechenden Interessengruppen sichtbar machen. Vertrauen wird nicht allein durch Reputation wiederhergestellt. Es wird durch eine Akte wiederhergestellt, die Kunden prüfen, Regulierungsbehörden testen und interne Führungskräfte zur Vermeidung von Wiederholungen nutzen können.

Die Haftung folgt der Kontrolle über privilegierten Zugriff, Abgrenzung und Benachrichtigung

Die endgültige Haftungszuweisung sollte der praktischen Kontrolle folgen. Deloitte kontrollierte die Konfiguration der E-Mail-Umgebung, die Administratorrechte, die Authentifizierungsanforderungen, die Protokollierung, die Aufbewahrung, die Kundendatenklassifizierung, die Vorfallprüfung, die Kundenbenachrichtigungen, die öffentlichen Erklärungen und die Behebung. Die Cloud-Plattformanbieter kontrollierten die Plattformfunktionen und die Infrastruktur, aber nicht das Berechtigungsdesign des Unternehmens oder die Nutzung von Kundendaten.

Kunden kontrollierten einige Entscheidungen darüber, was sie sendeten, aber sie kontrollierten nicht die Postfachverwaltung von Deloitte. Journalisten kontrollierten die öffentliche Erzählung erst, nachdem die Beweis- und Benachrichtigungsentscheidungen des Unternehmens bereits getroffen worden waren.

Diese Zuweisung erfordert nicht, die schlimmste Version jeder Quellenbehauptung anzunehmen. Sie erfordert die Anerkennung, dass die Beweislast bei dem Unternehmen liegt, das Zugang zu den Protokollen und Kundenaufzeichnungen hatte. Wenn nur sehr wenige Kunden betroffen waren, sollte das Unternehmen die Abgrenzungslogik privat zeigen können. Wenn ein breiterer Zugriff möglich, aber nicht nachgewiesen war, sollte das Unternehmen sagen, wie mit der Unsicherheit umgegangen wurde. Wenn das administrative MFA fehlte oder unzureichend war, sollte die Behebung den privilegierten Zugriff strukturell schwieriger zu kompromittieren machen.

Wenn die E-Mail sensible Kundendokumente enthielt, sollte die Daten-Governance die zukünftige Explosionsradius von Postfächern verringern.

Die Kompromittierung des E-Mail-Systems von Deloitte im Jahr 2017 bleibt wichtig, weil sie mehrere moderne Geschäftsrisiken in einem Fall verdichtete: Cloud-E-Mail-Verwaltung, privilegierter Zugriff, professionelle Vertraulichkeit, grenzüberschreitende Kundendaten, späte öffentliche Kenntnis und umstrittener Benachrichtigungsumfang. Der Vorfall ist nicht nur eine Geschichte über ein Konto oder eine Plattform. Es ist eine Erinnerung daran, dass interne Kommunikationssysteme zur Kundeninfrastruktur werden, wenn Kunden einem Professional-Services-Unternehmen ihre sensibelsten Arbeiten anvertrauen.

Die bleibende Lektion ist, dass die Benachrichtigung über Kundendaten evidenzbasiert sein muss. Ein Unternehmen stellt Vertrauen nicht wieder her, indem es sagt, dass nur wenige Kunden betroffen waren. Es stellt Vertrauen wieder her, indem es beweist, wie es das weiß, die richtigen Kunden rechtzeitig genug benachrichtigt, um zu handeln, und die Kontrollen repariert, die die Frage so schwer zu beantworten machten.