Letzte Woche haben wir über einen Datenschutzverstoß bei Roblox berichtet, der erstmals im Jahr 2020 auftrat und offenbar im Jahr 2021 an einigen schändlichen Orten verbreitet wurde, aber erst wann allgemein bekannt wurde Das Leck wurde am 18. Juli erneut veröffentlicht. In diesen gehackten Daten befanden sich zahlreiche identifizierende Informationen über Personen, die an der Roblox-Entwicklerkonferenz teilgenommen hatten, und einige könnten die Zeitspanne zwischen dem Hackerangriff und der Anerkennung durch die Roblox Corporation als ziemlich überraschend empfinden.
Gaming-Unternehmen sind keineswegs die einzigen, die Zielscheibe für Kriminelle sind, denn Cyberkriminalität stellt mittlerweile eine allgegenwärtige Bedrohung in allen Wirtschaftszweigen dar. Und egal, wie gut die Abwehrmaßnahmen werden, wir werden für den Rest unseres Lebens von erfolgreichen Hacks auf hochkarätige Ziele lesen. Die US-amerikanische Börsenaufsichtsbehörde (Security and Exchanges Commission) ist eindeutig dieser Meinung und wie berichtet von The Register hat für die Verabschiedung neuer Anforderungen gestimmt, die erstmals im März 2022 vorgeschlagen wurden und wonach jedes öffentliche Unternehmen, das ein Computerverbrechen erleidet, das wahrscheinlich einen „materiellen“ Schaden verursachen wird, nun eine Frist von vier Tagen hat, um den Vorfall offenzulegen. Ein materieller Schaden ist im Grunde alles, worüber sich Anleger Sorgen machen sollten.
Angesichts der Tatsache, dass die überwiegende Mehrheit der großen Gaming-Unternehmen in den USA börsennotiert ist, bedeutet dies, dass die neue Regel (die in 30 Tagen in Kraft tritt) für Unternehmen wie Activision Blizzard, Electronic Arts, Microsoft, Nexon, Nintendo gilt. Paradox Interactive, Riot Games, Roblox Corporation, Sony und Take-Two Interactive. Darin befinden sich zahlreiche andere berühmte Studios wie Blizzard, Bungie, Rockstar und Zynga.
Jedes Unternehmen, das einen Cybersicherheitsvorfall erlitten hat, der wesentliche Auswirkungen haben könnte, muss nun entscheiden, ob dieser „ohne angemessene Verzögerung“ offengelegt werden soll, und muss, falls dies der Fall sein sollte, sofort einen Bericht auf Formular 8-K einreichen, der jetzt einen neuen Abschnitt zur Cybersicherheit enthält . Dabei legt das Unternehmen dar, was seiner Meinung nach „Art, Umfang und Zeitpunkt“ des Verstoßes ist und welche Auswirkungen es seiner Meinung nach auf das Unternehmen haben wird. Diese 8-K-Formulare werden von der SEC veröffentlicht.
Es gibt einige Ausnahmen, die für Glücksspielunternehmen wahrscheinlich nicht gelten, wie zum Beispiel Risiken für die nationale oder öffentliche Sicherheit, und die Offenlegungsregeln gehen mit einer neuen Meldepflicht einher, wonach öffentliche Unternehmen ihre Prozesse zur Identifizierung und Bewältigung von Cyber-Bedrohungen darlegen müssen . Ausländische Unternehmen, die in den USA Geschäfte tätigen, sind nicht davon ausgenommen, und für ihre Formulare (6-K und 20-F, Faktenfans) gelten ähnliche Regeln.
Der Fokus liegt hier eher auf Investoren als auf den kleinen Leuten, aber das Ergebnis sollte ein öffentliches Gut sein. Die genaue Definition des Wortes „Material“ wird ziemlich wichtig werden, und natürlich gibt es eine Vielzahl verschiedener möglicher Cyberkriminalität, die diese Regel abdeckt, aber das Beispiel der Kompromittierung von Kundendaten scheint etwas zu sein, das offengelegt werden sollte sobald es bekannt wird.
Hilfreicherweise stimmt die SEC zu: in den Regeln steht, dass: „Zur Veranschaulichung: Eine Schädigung des Rufs, der Kunden- oder Lieferantenbeziehungen oder der Wettbewerbsfähigkeit eines Unternehmens kann Beispiele für eine wesentliche Auswirkung auf das Unternehmen sein.“
Die Gesetze der US-Bundesstaaten verpflichten Unternehmen bereits dazu, Benutzer zu benachrichtigen, deren Daten möglicherweise kompromittiert wurden. Daher ist diese neue Regelung eher ergänzend als völlig neu, eine weitere Compliance-Ebene, die nicht gemeldete Verstöße aufdecken kann. Es kann auch die Details von Verstößen beleuchten, bei denen es nicht um Benutzerdaten geht, wie etwa beim GTA 6-Hack vom letzten Jahr, über den Unternehmen normalerweise verärgert sind. Nicht jeder ist ein Fan dieser neuen Regeln, und einige weisen darauf hin, dass Öffentlichkeit nach einem möglicherweise katastrophalen Hackerangriff das Letzte sein kann, was man sich wünscht. Aber die neuen Regeln sehen Ausnahmen für genau solche Eventualitäten vor, und eine schnelle öffentliche Offenlegung scheint den Versuch wert zu sein.