Entscheidung von Wyndham erinnert uns daran, „mit der Sicherheit zu beginnen“

Veröffentlicht: 2015-09-01

Das digitale Ökosystem sollte auf eine aktuelle Entscheidung des US Third Circuit Court of Appeals gegen die Wyndham Worldwide Corporation achten, die das Recht der FTC bekräftigt, die Datensicherheit zu regulieren.

Die Befugnis der FTC, den Datenschutz zu regulieren, stand nie in Frage, angesichts des umfassenden Mandats der Behörde gemäß Abschnitt 5 des FTC-Gesetzes zur Überwachung des „Verbraucherschutzes“. Die Befugnis der FTC, Datensicherheitspraktiken vorzuschreiben, wurde jedoch in Fällen in Frage gestellt, an denen zwei getrennte Kläger beteiligt waren – Wyndham Hotels und Lab MD .

Bevor wir uns mit dem Urteil befassen und wie es für ein Unternehmen gilt, das sensible und personenbezogene Daten von Endbenutzern sammelt, lassen Sie uns den relevanten Hintergrund betrachten.

Der Fall der FTC gegen Wyndham

Hacker brachen zwischen 2008 und 2010 dreimal in die Computersysteme von Wyndham ein, stahlen Kreditkarteninformationen von 619.000 Personen und verursachten betrügerische Gebühren in Höhe von über 10,6 Millionen US-Dollar. Zu diesen Systemen gehörten die Unternehmensnetzwerke von Wyndham, die mit den Computersystemen von über 7.000 von Wyndham verwalteten Hotels und Franchisenehmern verbunden waren. Trotz dieser wiederholten Hacks weigerte sich Wyndham, seine Sicherheitsverfahren zu aktualisieren was zu zusätzlichen Infiltrationen seiner Systeme führte.

Da diese grundlegenden Sicherheitsverfahren nicht implementiert wurden, konnten Hacker „Memory-Scraping“-Malware in Unternehmensnetzwerken und Property-Management-Systemen für von Wyndham verwaltete und Franchise-Hotels installieren. Über einen Zeitraum von zwei Jahren extrahierten die Hacker systematisch persönliche und sensible Informationen (Namen, Adressen, Kreditkartennummern) von über 600.000 Personen und exportierten diese Daten illegal an eine in Russland registrierte Domain.

Als Reaktion darauf reichte die FTC Klage ein und argumentierte, dass die wiederholte Weigerung von Wyndham, angemessene Datensicherheitsmaßnahmen zu implementieren, während weiterhin sensible und personenbezogene Daten (einschließlich Kreditkarten- und andere Rechnungsinformationen) von einzelnen Endbenutzern erhoben werden, gemäß Abschnitt 5 „unfair“ sei.

Darüber hinaus stellte die FTC fest, dass die Nichteinführung dieser grundlegenden Datensicherheitsverfahren gemäß Abschnitt 5 „täuschend“ war, da Wyndham in seiner Datenschutzrichtlinie versprach, „Standard“-Sicherheitsmaßnahmen zum Schutz personenbezogener und sensibler Daten anzuwenden.

Sie können mehr über den Hintergrund des Falls in diesem ausgezeichneten Update von @JanisKestenbaum von Perkins Coie erfahren .

Wie Wyndham sein Netzwerk nicht sichern konnte

Die FTC-Beschwerde beschreibt einige der vielen Dinge, die Wyndham nicht getan hat, um sein Netzwerk zu sichern:

  • Versäumnis, leicht verfügbare Sicherheitsmaßnahmen zu verwenden, um seine internen Computersysteme zu schützen, z. B. Firewalls;
  • falsches Konfigurieren von Software und infolgedessen Speichern der Kreditkarteninformationen von Endbenutzern im Klartext;
  • Versäumnis, bekannte Sicherheitslücken auf Servern zu beheben;
  • Verwenden von Standard-Benutzernamen und -Passwörtern für den Zugriff auf Server;
  • Nichterfordern der Verwendung komplexer Benutzer-IDs und Passwörter durch Mitarbeiter für den Zugriff auf Unternehmensserver;
  • den Zugriff Dritter auf Firmennetzwerke und Computer nicht angemessen beschränkt.

Die FTC argumentierte, dass solche Praktiken bei Unternehmen, die personenbezogene und sensible Daten sammeln, Standard seien – und dass Wyndhams Handlungen unfair seien, wenn er solche Praktiken auch nach drei aufeinanderfolgenden Hacks nicht anwende.

Der Dritte Kreis spricht

Als Reaktion auf die FTC-Klage reichte Wyndham Klage beim Bezirksgericht ein, in der es unter anderem behauptete, dass die FTC nicht befugt sei, eine Datenschutzklage einzureichen. Es argumentierte auch, dass die FTC nicht angemessen identifiziert habe, was „angemessene“ Datensicherheitspraktiken seien.

Nachdem Wyndham diese Klage vor dem Bezirksgericht verloren hatte, legte er Berufung beim Third Circuit ein. Das Urteil des Third Circuit reagierte mit einem Urteil, das Wyndham recht kritisch gegenübersteht und einen schwachen Grund für eine Berufung vor dem Obersten Gerichtshof nach dem Grundsatz „ Certiorari “ liefert.

Das Gutachten des Gerichts beantwortete zwei wichtige Fragen, die von Wyndham aufgeworfen wurden:

  1. Die FTC ist gemäß dem FTC-Gesetz befugt, Datensicherheitsmaßnahmen gegen Unternehmen einzuleiten, die keine „angemessenen“ Datensicherheitspraktiken anwenden.
  2. Die FTC hat die Industrie angemessen darüber informiert, was eine „angemessene“ Datensicherheit ausmacht . Zu diesem Punkt befasste sich das Gericht mit den Argumenten der FTC in zahlreichen Akten gegen Angeklagte, die Daten, die sie von Endnutzern und Kunden gesammelt hatten, unsachgemäß gesichert hatten. Sie haben sich auch die veröffentlichten Leitlinien der FTC angesehen, die hauptsächlich auf bewährten Verfahren der Branche basieren, um einen Standard zu formulieren.

Der Third Circuit befasste sich nicht mit der spezifischen Frage, ob Wyndhams Handlungen tatsächlich „unangemessen“ waren, basierend auf den FTC-Richtlinien – diese Frage wird vom Bezirksgericht New Jersey behandelt, an das der Fall nun zurückverwiesen wurde.

Wenn Sie diesen Punkt im Beitrag erreicht haben, dann herzlichen Glückwunsch, hier wird es interessant und hoffentlich relevant für Sie.

Was bedeutet angemessene Datensicherheit für Ihr Unternehmen?

Nach der Analyse des Third Circuit hat die FTC Unternehmen ausreichend über diese Praktiken informiert, die sie für „angemessen“ halten würden, wenn es um die Sicherung personenbezogener und sensibler Daten geht – durch Vergleiche mit zahlreichen Angeklagten sowie durch veröffentlichte Leitlinien für die Branche.

Tatsächlich hat die FTC in ihrem „ Start with Security “-Leitfaden spezifische Anleitungen zu „angemessenen Datensicherheitspraktiken“ für Entwickler mobiler Apps bereitgestellt .

„Es gibt keine Checkliste zum Sichern aller Apps. Unterschiedliche Apps haben unterschiedliche Sicherheitsanforderungen. Beispielsweise wird eine Wecker-App, die wenig oder gar keine Daten sammelt, wahrscheinlich weniger Sicherheitsüberlegungen aufwerfen als ein standortbasiertes soziales Netzwerk. Komplexere Apps können zum Speichern und Bearbeiten von Benutzerdaten auf Remote-Server angewiesen sein, was bedeutet, dass Entwickler mit dem Sichern von Software, dem Sichern von Datenübertragungen und dem Sichern von Servern vertraut sein müssen. Hinzu kommt die Herausforderung: Sicherheitsbedrohungen und Best Practices entwickeln sich schnell weiter.“

Mit anderen Worten, die FTC erwartet von App-Entwicklern, dass sie angemessene Datensicherheitspraktiken basierend auf der Art der Daten, die sie sammeln, und der Art und Weise, wie sie diese Daten verwenden, anwenden und aufrechterhalten. Sie schreiben keinen einheitlichen Ansatz vor.

Daher ist es an der Zeit, eine Bestandsaufnahme Ihrer Daten und Sicherheitspraktiken vorzunehmen, um festzustellen, ob sie angesichts der von Ihnen erfassten Daten und der Art und Weise, wie Sie diese Daten verwenden und weitergeben, „angemessen“ sind. Es lohnt sich, einen Blick in den Leitfaden Start with Security der FTC zu werfen und festzustellen, ob diese Schritte auf Sie zutreffen.

Insbesondere fordert die FTC Unternehmen, die personenbezogene und sensible Daten sammeln, dringend auf, Folgendes zu tun:

  • Machen Sie jemanden verantwortlich für die Sicherheit.
  • Machen Sie eine Bestandsaufnahme der Daten, die Sie sammeln und aufbewahren.
  • Praktizieren Sie Datenminimierung : Sammeln oder speichern Sie keine Daten, die Sie nicht benötigen.
  • Recherchieren und verstehen Sie die Sicherheitspraktiken der mobilen Plattformen , mit denen Sie arbeiten.
  • Schützen Sie Ihre Server. Wenn Sie einen Server unterhalten, der mit Ihrer App kommuniziert, ergreifen Sie geeignete Sicherheitsmaßnahmen, um ihn zu schützen. Wenn Sie sich auf einen kommerziellen Cloud-Anbieter verlassen, machen Sie sich mit den Verantwortungsbereichen für das Sichern und Aktualisieren von Software auf dem Server vertraut.
  • Wenn Sie mit Finanzdaten, Gesundheitsdaten oder Daten von Kindern zu tun haben, stellen Sie sicher, dass Sie die geltenden Standards und Vorschriften verstehen . Weitere Einzelheiten zu den Arten von Gesetzen und branchenspezifischen Rahmenbedingungen, die gelten, finden Sie auf der kürzlich gestarteten Datenschutz- und Daten-Microsite von TUNE .
  • Informieren Sie über Ihre Sicherheits-, Daten- und Datenschutzpraktiken und „sprechen Sie mit Ihren Benutzern in Ihren eigenen Worten“.
  • Anmeldedaten (Benutzernamen, Passwörter) sicher generieren.
  • Speichern oder übertragen Sie vertrauliche Daten nicht im Klartext . Verwenden Sie die Transitverschlüsselung für Rechnungsdaten und andere wichtige Daten. Die FTC hat Klagen gegen Lifelock, RockYou und ValueClick wegen Klartextdatenspeicherung und -übertragung erhoben.
  • Die Übertragungs- und Speicherverschlüsselung ist auch relevant für die Einhaltung der Datenschutzgesetze der Bundesstaaten – die vorschreiben, dass Sie dem Generalstaatsanwalt und den Endbenutzern melden müssen, wenn „personenbezogene Daten“ verletzt werden. Personenbezogene Daten nach den Gesetzen von Kalifornien und anderen Bundesstaaten umfassen unverschlüsselte Daten – im Klartext gespeicherte Daten, z. B. Kreditkarteninformationen, mit Passwort gespeicherte E-Mail-Adressen.
  • Bleiben Sie nach dem Start Ihrer App involviert . Täglich treten neue Schwachstellen auf, und selbst die seriösesten Softwarebibliotheken erfordern Sicherheitsupdates.

Beginnen Sie also mit der Sicherheit

Die Entscheidung des Third Circuit gegen Wyndham ist eine wichtige Erinnerung daran, dass alle Unternehmen, die mit personenbezogenen und sensiblen Daten handeln, ihre Daten- und Sicherheitspraktiken überprüfen sollten. Ein Verstoß gegen solche Daten kann zu FTC-Haftungen, Sammelklagen und vor allem zum Verlust des Vertrauens Ihrer Endbenutzer führen.

Sind Sie bereit, dieses Risiko einzugehen? Wenn nicht, dann ist es sinnvoll, heute „Start with Security“ zu machen.

Eine weitere wichtige Ressource:

Wenn Sie noch detaillierter erfahren möchten, was „angemessene“ Datensicherheit ist und wie sie für Ihr Unternehmen gelten könnte, dann lohnt es sich, das „Common Law of Privacy“ der bekannten Datenschutzwissenschaftler Dan Solove und Woody Hartzog zu lesen. Es untersucht, wie die FTC das moderne US-Datenschutzrecht durch „Consent Decrees“ gestalten konnte, dh Vergleiche, die das Unternehmen dazu verpflichten, bestimmte spezifische Handlungen für einen festgelegten Zeitraum (normalerweise 20 Jahre) vorzunehmen. Dazu gehört eine Datensicherheits-Zustimmungsverfügung gegen Microsoft (für Passport); Die Agentur hat jetzt Datenschutzvereinbarungen mit Facebook (über die Änderungen der Datenschutzrichtlinie von 2009) und Google (über die Einführung von Buzz im Jahr 2010).

Bildnachweis: @dcillustrated

Gefällt Ihnen dieser Artikel? Melden Sie sich für unsere Blog-Digest-E-Mails an.