Dropbox verfügt über Richtlinien und Verfahren zur Reaktion auf Vorfälle, um Probleme mit der Verfügbarkeit, der Integrität, der Sicherheit, dem Datenschutz und der Vertraulichkeit des Dienstes anzugehen. Im Rahmen unserer Verfahren zur Reaktion auf Vorfälle verfügen wir über spezielle Teams, die wie folgt geschult sind:
- Umgehende Reaktion auf Hinweise zu potenziellen Sicherheitsvorfällen
- Bestimmung des Schweregrads eines Vorfalls
- Gegebenenfalls Ergreifen von Maßnahmen zur Schadensbegrenzung und -minderung
- Kommunikation mit relevanten internen und externen Beteiligten, dazu gehört die Benachrichtigung betroffener Kunden, um unserer Meldepflicht bei Zwischenfällen nachzukommen und die jeweiligen gesetzlichen Vorschriften und Bestimmungen zu erfüllen
- Sicherung der Beweise zu Untersuchungszwecken
- Dokumentieren Sie eine Nachuntersuchung und entwickeln Sie einen Plan zur Schadensbegrenzung.
Unsere Richtlinien zum Umgang mit Sicherheitsvorfällen werden im Rahmen unserer SOC 2+, ISO/IEC 27001 und anderer Sicherheitsabschätzungen überprüft.
Zur Behandlung von Sicherheitsvorfällen hat Dropbox standardmäßig folgendes Verfahren etabliert:
- Entdeckung
- Benachrichtigung
- Antwort
- Evaluierung
- Korrekturmaßnahme
Nachdem ein Vorfall mit Auswirkungen auf Kunden gemeldet wurde, unabhängig davon, ob dieser durch externe Akteure oder Personen mit autorisiertem Zugriff verursacht wurde, wird eine Bewertung der Auswirkungen vorgenommen, um einen Maßnahmenplan zur Behebung der identifizierten Probleme zu erstellen. Sofern dies durch geltendes Recht oder vertragliche Verpflichtungen erforderlich ist oder wenn anderweitig Bedarf hierfür besteht, benachrichtigt Dropbox die betroffenen Kunden über den Vorfall, wie im Dropbox-Datenverarbeitungsvertrag beschrieben.
Die im Rahmen eines Vorfalls ermittelten Probleme werden in zwei Hauptkategorien eingeteilt:
- Maßnahmen: Kurzfristige Maßnahmen zur Risikominderung und Behebung eines Vorfalls; und
- Sicherheitsprobleme: Langfristige Projekte, die an bestimmte Technologien oder Systeme gebunden sind, um negative Auswirkungen auf das Sicherheitsrisiko zu minimieren.
Aktionselemente werden den entsprechenden Mitarbeitenden im Unternehmen zugewiesen. Diese koordinieren dann die Behebung des Problems, informieren die internen Beteiligten und stellen sicher, dass Ressourcen zur Unterstützung bereitgestellt werden.
Das Problem gilt als gelöst, wenn alle Punkte des Maßnahmenplans abgeschlossen sind.
Nach der Eindämmung eines Vorfalls wird eine Nachuntersuchung durchgeführt, um die Ursache(n) eines Problems vollständig zu verstehen, Maßnahmen und Sicherheitsprobleme zu identifizieren und alle verbleibenden Arbeiten abzuschließen, um ein erneutes Auftreten der Probleme zu verhindern. Vorfälle durchlaufen eine Reihe von Überprüfungen, um Input und Erkenntnisse auf den verschiedenen Ebenen des Unternehmens zu sammeln. Je schwerwiegender das Problem ist, desto höher ist die Überprüfungsstufe des Vorfalls. Längerfristige Arbeitsabläufe werden in Sprints und Roadmaps aufgenommen, und gewonnene Erkenntnisse werden an die entsprechenden Teams weitergegeben.
Durch diesen stufenweisen Ansatz wird sichergestellt, dass Dropbox immer alle erforderlichen Schritte zur Behebung von Sicherheitsvorfällen unternimmt, wodurch zukünftige Probleme vermieden werden können.
