Prävention ist der beste Schutz vor Datenpannen
Mit der Digitalisierung hat die Zukunft in Unternehmen Einzug gehalten – sei es durch nahezu grenzenlose Vernetzung oder durch mobiles Arbeiten. Dies führt auch zu einem rasanten Anstieg der Cyberkriminalität in Deutschland. Tatsächlich ist es nicht die Frage, ob Ihr Unternehmen angegriffen wird, sondern wann und wie schwerwiegend der Angriff sein wird.
Auch unsere Kunden sind zunehmend von Hackerangriffen betroffen.
Der größte Risikofaktor: die MitarbeiterInnen selbst, die durch kleine Nachlässigkeiten an sich geschützte Infrastrukturen gefährden können, sei es durch die Verwendung unsicherer Passwörter, das Öffnen einer E-Mail mit infiziertem Anhang oder Link oder das (versehentliche) Preisgeben von Informationen.
Bei einem Hackerangriff handelt es sich häufig gleichzeitig um einen Datenschutzvorfall. Davon spricht man, wenn durch den Angriff die Vertraulichkeit sensibler Daten nicht mehr gewährleistet ist. Bei solch einem Datenschutzvorfall erhalten Dritte Zugriff auf sensible oder vertrauliche Informationen eines Unternehmens oder einer Person. In vielen Fällen werden die Daten dann auch, beispielsweise über das Internet, veröffentlicht und für einen weiteren Personenkreis zugänglich gemacht. Besonders häufig sind solche Vorfälle im Zusammenhang mit Finanzdaten (z.B. Kontoinformationen oder Kreditkartendaten), Gesundheitsdaten sowie Betriebsgeheimnissen.
Ein gutes Risikomanagement, starke technische und organisatorische Maßnahmen und eine geschickte Strategie sind für Cybersicherheit im Unternehmen daher umso wichtiger!
In vielen Fällen müssen Sie die Datenschutzverletzung der zuständigen Aufsichtsbehörde melden. Darüber hinaus könnten externe Beschwerden von betroffenen Personen eingehen. Dies zieht häufig das unmittelbare Eingreifen der Datenschutzbehörden nach sich. Falls diese Mängel in Ihrer Datenschutzorganisation feststellen, können hohe Bußgelder die Folge sein.
Sofortmaßnahmen bei einem Hackerangriff
Isolieren des Angriffs
Führen Sie eine Bestandsaufnahme des Schadens durch. Was ist passiert? Wann ist es passiert? Welche Daten sind verloren gegangen? Sind personenbezogene Daten dem Hacker zum Opfer gefallen?
Informieren des Datenschutzbeauftragen
Informieren Sie umgehend Ihren Datenschutzbeauftragten. Wir stimmen zusammen mit Ihnen ab, ob eine Meldepflicht besteht. Nachdem ein meldepflichtiger Datenschutzvorfall bekannt wird, haben Sie noch 72 Stunden Zeit für die Meldung!
Analyse und Beseitigung der Angriffsursache
Wie erfolgte der Angriff? Handelt es sich um eine Sicherheitslücke in der Software, einen Phishing-Angriff, ein kompromittiertes Passwort oder liegt eine andere Schwachstelle vor? Sobald die Ursache erkannt ist, müssen Sie Maßnahmen ergreifen, um sie zu beseitigen und zukünftige Angriffe zu verhindern. Dies kann beispielsweise durch Patchen der betroffenen Software, Ändern der Passwörter oder Schulung der Mitarbeiter zur Verbesserung der Sicherheitspraktiken geschehen.
Präventionsmaßnahmen
- Datensicherung: Daten müssen gegen Verlust gesichert sein. Die Backups müssen von Cyberattacken unberührt bleiben können. Die Sicherungen müssen zudem regelmäßig erfolgen und sollten auch auf „Funktion“ geprüft werden.
- Firewall: Konfigurieren Sie Ihre Firewall. Lassen Sie ausschließlich erforderliche Datenverbindungen zu.
- Monitoring: Ein Frühwarnsystem hilft den Systemverantwortlichen dabei größere Schaden abzuwenden wenn z.B. ein ungewöhnlich hoher, oder ungewöhnlicher Datenverkehr herrscht.
- Benutzerkonten nach Need-to-Know-Prinzip: gewähren Sie nur solchen autorisierten MitarbeiterInnen Zugriff auf sensible Daten, die diese Informationen zur Ausübung ihrer beruflichen Aufgaben tatsächlich benötigen. So kann das Risiko eines unbefugten Zugriffs minimiert werden.
- Notfallplan: Erstellen Sie einen Notfallplan. Üben Sie den Ernstfall und überprüfen Sie dabei die Umsetzbarkeit Ihrer Planung in der Praxis. Regeln Sie in Ihrem Notfallplan wann wer informiert werden soll. Denken Sie dabei an die IT, den Datenschutzbeauftragten, MitarbeiterInnen.
- frühzeitige Kommunikation: Informieren Sie betroffene Personen und Abteilungen so schnell wie möglich über Vorfälle. Eventuell auch dann, wenn noch nicht klar ist, ob und welche (personenbezogenen) Daten betroffen sind.
- regelmäßige Fortbildung: Sorgen Sie für eine regelmäßige Fortbildung der Verantwortlichen für die IT und alle anderen im Unternehmen, die für die Sicherheit der IT zuständig sind.
Unsere Empfehlung
Etablieren Sie ein Risikomanagement in Ihrem Unternehmen. Durch eine strukturierte Analyse können Sie potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen. Dies umfasst sowohl interne als auch externe Bedrohungen, wie etwa Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder menschliches Fehlverhalten.
Dazu zählen u.a.:
- Interne Regelungen: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
- Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
- Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette
- Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
- Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
- Kryptografie: Einsatz von Verschlüsselung im IT-Verbund
- Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
- Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
- Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall
NIS-2-Richtlinie: Umsetzung bis Oktober 2024
Liegen diese Sicherheitsmaßnahmen in Ihrem Unternehmen vor, erfüllen Sie zu großen Teilen auch gleichzeitig die Anforderungen nach der NIS-2-Richtlinie (NIS2) der EU. In Deutschland wird diese Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, für das ein aktueller Gesetzesentwurf vorliegt. Mit dem Inkrafttreten des Gesetzes ist ab Herbst 2024 zu rechnen.
Die wichtigsten Eckpunkte dazu hier einmal im Überblick:
Die NIS2 besagt, dass betroffene Unternehmen in bestimmten Sektoren ab 50 MitarbeiterInnen oder 10 Mio. EUR Umsatz bestimmte Informationssicherheitsstandards einhalten müssen. Zu den betroffenen Unternehmen zählen unter anderem Online-Marktplätze, Lebensmittelversorger, Forschungseinrichtungen. Hier können Sie prüfen ob Sie selbst zu den regulierten Unternehmen gehören: https://betroffenheitspruefung-nis-2.bsi.de/
Die Sicherheit im Unternehmen ist Chefsache. Es ist direkt im Gesetz verankert, dass Geschäftsleitungen sich fortbilden müssen zu den Themen Risikomanagement und Informationssicherheit. Die Geschäftsleitung muss dazu in der Lage sein, die erforderlichen Maßnahmen und Risiken bewerten und priorisieren zu können. Sollte doch etwas passieren und der IT-Sicherheit nicht genügend Rechnung getragen werden, so ist die Geschäftsleitung unmittelbar haftbar!
Neben der Einhaltung von Informationssicherheitsstandards, bringt die Richtlinie auch eine unverzügliche Meldung (innerhalb von 24h) signifikante Störungen, Vorfälle und IT-Bedrohungen an die zuständige Behörde mit sich. Dies gilt jedoch ausschließlich für die regulierten Unternehmen.
Nähere Informationen finden Sie auch hier.