Wie Unternehmen sich umfassend schützen können
- September 2022, von Bodo Meseke und Gesa Pari Schatz
Aktuelle Lage
Die Minimierung von Risiken gehört zu den zentralen Aufgaben einer Geschäftsführung. Neben Risiken wie Naturkatastrophen oder einer fehlerhaften Wartung verursachen zunehmend Cyberangriffe enorme Schäden und zählen damit mittlerweile zu den häufigsten Schadensursachen.1 Allein im Jahr 2021 stieg die Zahl der Cyberangriffe um über 12%.2 Das Interesse und die Motivation der Täter sind dabei vielfältig und reichen von Wirtschaftsspionage über Erpressung (sogenannter Ransomware) bis hin zu politisch motiviertem Aktionismus. Infolge dieser Angriffe entstehen oft langfristige Schäden für Unternehmen. Diese beliefen sich im Jahr 2021 weltweit auf circa 6 Milliarden US-Dollar, mit steigender Tendenz.3 Neben den rein finanziellen Schäden können die nichtfinanziellen Schäden jedoch bedeutend höher sein, insbesondere wenn sie zu einem Verlust von Kundenvertrauen oder Reputationsschäden führen.4 Zudem hat die COVID-19-Pandemie mit dem damit verbundenen Anstieg des Homeoffice verdeutlicht, wie schnell sich die IT-Landschaft von Unternehmen ändern kann und neue Angriffsvektoren entstehen. So wird beispielsweise häufig die Nutzung privater Computer für die Einwahl ins Firmennetzwerk gestattet. Aufgrund unzureichender Sicherheitsmechanismen im Homeoffice kann die IT-Sicherheit der Unternehmen hierdurch gefährdet sein.
Auch aufgrund der aktuellen Geschehnisse in der Ukraine und der Entwicklungen in China, Russland und den USA ist es essentiell, die eigene Organisation vor Cyberangriffen zu schützen und Cyberrisiken, auch unter dem Aspekt des Haftungsausschlusses der Geschäftsführung, in ein bestehendes Compliance-Management-System zu integrieren.
Denn je besser ein Unternehmen vorbereitet ist, desto geringer ist die Wahrscheinlichkeit eines erfolgreichen Angriffs bzw. desto früher kann dieser erkannt und entsprechende Maßnahmen ohne große Verzögerung eingeleitet werden.
Ein Aspekt, der häufig bei Cyberangriffen vernachlässigt wird, ist der Diebstahl geschäftskritischer Daten, die sehr häufig personenbezogene Informationen enthalten können. Daher sollte ein ganzheitlicher interdisziplinärer Ansatz zur Vorbereitung auf Cybercrime und Datenschutzverletzungen gewählt werden.
Cybercrime als Herausforderung für Unternehmen
Cybercrime umfasst zum einen klassische Straftaten wie z. B. Betrug (§§ 263, 263a StGB) oder Beleidigung (§ 185 ff. StGB), aber auch das Ausspähen von Daten (§ 202a StGB). Seit der Einführung des sog. Hackerparagrafen (§ 202c StGB) sind zudem vorbereitende Handlungen zum Ausspähen oder Abfangen von Daten strafbar, beispielsweise die Programmierung eines Tools, das zum Ausspähen von Daten vorgesehen ist. Diese Regelung hat aber auch für IT-Sicherheitsabteilungen eine hohe Relevanz, da häufig Hackertools für Schwachstellenanalysen oder sogenannte Penetration Tests genutzt werden. Eine klare und vollständige Dokumentation hierüber ist daher unerlässlich.
Die Angriffsarten verändern sich zudem dynamisch und passen sich flexibel an technische wie auch gesellschaftliche Entwicklungen an. So haben die einleitend erwähnten verstärkten Homeofficetätigkeiten zwar zu einem Rückgang von klassischen Straftaten wie Raub und Diebstahl geführt, zum anderen jedoch einen Anstieg der Internetkriminalität wie Phishing- und Ransomwareangriffe bewirkt.
So hat sich bei Ransomwareangriffen beispielsweise ein Modus Operandi eingespielt, der als „Double Extortion Scheme“ bekannt ist, seltener gibt es die „Triple Extortion Schemes“. Bei klassischen Ransomwareangriffen zielte der Angreifer allein auf die Verschlüsselung der Unternehmensdaten ab, wodurch die IT-Systeme nicht mehr nutzbar waren, und verlangte ein Lösegeld (Ransom) für die Bereitstellung des Decryption Key („Single Extortion“). Gegenwärtig leiten die Angreifer jedoch in nahezu allen Fällen vor der Verschlüsselung Unternehmensdaten ab und verlangen ein zusätzliches Lösegeld dafür, diese Daten nicht zu veröffentlichen, wodurch der Begriff „Double Extortion“ entstand. Weitaus gravierender ist es, wenn die Angreifer ein solches Lösegeld nicht nur vom eigentlich angegriffenen Unternehmen fordern, sondern auch von dessen Kunden und Lieferanten, deren Daten sich unter den gestohlenen Daten befinden
(„Triple Extortion“).
Zielen Ransomwareattacken noch immer primär auf die Verschlüsselung ab, so geht es beim Advanced Persistent Threat (APT) ausschließlich darum, lange unentdeckt im Unternehmensnetzwerk zu verbleiben und möglichst viele, sensitive Unternehmensdaten zu erlangen, zumeist mit dem Hintergrund der Wirtschaftsspionage.
Beiden Angriffen ist gemein, dass Daten gestohlen werden und somit neben der technischen Absicherung und schnellstmöglichen Erkennung solcher Angriffe auch der Aspekt des Datenschutzes ausführliche Beachtung finden muss.
Für Unternehmen ist es daher essentiell, interne Prozesse zu definieren und an gesetzliche Neuerungen anzupassen, um bei einem Vorfall angemessen reagieren zu können. Trotz der stetig ansteigenden Gefahren haben jedoch nur rund 53% aller befragten Unternehmen der EY-Datenklaustudie Krisenpläne für einen Incident.5
Vorbereitung auf Cybervorfälle
Sofern präventiv keine Prozesse geschaffen wurden, geht im Ernstfall wichtige Zeit verloren, da notwendige organisatorische Entscheidungen erst getroffen werden müssen. Es ist daher wichtig, neben Prozessen auch Verantwortlichkeiten und Eskalationswege zu definieren und sie entsprechend allen Mitarbeitern zugänglich zu machen. Sie können beispielsweise in einer Richtlinie (z. B. Informationssicherheitsrichtlinie) oder in Notfallplänen festgehalten werden, die dann wiederum regelmäßig überprüft, getestet und aktualisiert werden müssen. Dies geschieht im Idealfall als Teil eines internen Kontrollsystems. Manuelle Sonderprozesse sollten hingegen vermieden und Maßnahmen, sofern möglich und sinnvoll, in prüfbarer Form automatisiert und dokumentiert werden.
Ein weiterer Aspekt, der in die Vorbereitung auf Cybervorfälle einbezogen werden muss, ist die Schulung der eigenen Mitarbeiter. Diese sollten über das Thema Cyberkriminalität aufgeklärt werden; außerdem sollten ihnen aufgrund der sich weiterentwickelnden Gefahren regelmäßig entsprechende Übungen und Trainings angeboten werden.
Datenschutz bei Cybervorfällen
Das Volumen an produzierten und gespeicherten Daten ist in den letzten Jahren massiv gestiegen. Verschiedene Studien schätzen, dass im Jahr 2025 weltweit 200 Zettabyte an Daten gespeichert werden – ein großer Teil davon personenbezogen. In einer Zeit, in der Daten das „neue Gold“ sind, haben es Cyberkriminelle entsprechend oft auf personenbezogene Daten wie z. B. Kundennamen, Kreditkartendaten oder Adressen abgesehen.6
Es ist daher kein Wunder, dass es bei Cybervorfällen auch sehr häufig zu Datenschutzverletzungen kommt. Darunter ist ein zufälliges oder rechtswidriges Ereignis zu verstehen, das zeitweise oder dauerhaft zum Verlust oder Missbrauch personenbezogener Daten führen kann (z. B. bezüglich Vertraulichkeit, Vollständigkeit oder Verfügbarkeit). Um betroffene Personen bestmöglich bei Datenschutzverletzungen zu schützen, hat der Gesetzgeber diverse zusätzliche Pflichten erlassen, die Unternehmen bei Datenschutzverletzungen erfüllen müssen.
Bei jedem Sicherheitsvorfall sollte daher zuvorderst mittels einer Risikoanalyse bewertet werden, ob persönliche Daten kompromittiert wurden und welche Art, Sensibilität und Umfang von personenbezogenen Daten betroffen waren. Außerdem muss analysiert werden, ob anhand der Datensätze die Möglichkeit der Identifizierung von Individuen gegeben war und welche Schwere die Datenschutzverletzung für die Individuen hat. Erst durch diese Risikoanalyse kann eine Datenschutzverletzung festgestellt werden.
Ist eine Datenschutzverletzung gegeben, müssen Unternehmen schnell handeln. Beispielsweise muss gemäß Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Datenschutzverletzung eine Meldung an die zuständigen Aufsichtsbehörden erfolgen, es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person(en). Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb des vorgegeben Zeitrahmens, ist eine Begründung für die Verzögerung beizufügen. Bei Zuwiderhandlung gegen Art. 33 Abs. 1 DSGVO drohen drakonische Strafen von bis zu 10.000.000 Euro oder bis zu 2% des weltweit erwirtschafteten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens gemäß Art. 83 Abs. 4 a DSGVO. Gegebenenfalls muss das Unternehmen neben der Aufsichtsbehörde auch die betroffene Person unverzüglich über die Datenschutzverletzung in Kenntnis setzen.
Ohne die entsprechende Vorbereitung durch implementierte Prozesse ist eine fristgerechte Meldung kaum möglich. Ein Unternehmen, das beispielsweise keinen Überblick über die gespeicherten Daten in seinen Systemen hat, kann auch nicht wissen, welche Daten bei einem Hackerangriff potentiell betroffen sind. Gerade bei Ransomwareangriffen werden Daten verschlüsselt, sodass es zu diesem Zeitpunkt oftmals nicht mehr möglich ist, die Datensituation zu analysieren.
Aus Datenschutzsicht ist Prävention daher ein Schlüsselelement. Unternehmen sollten von vornherein in der Lage sein zu sagen, in welchen Systemen welche Arten personenbezogener Daten gespeichert sind. Sogenannte Dateninventuren („Data Mapping“) unterstützen Unternehmen dabei, Datenverarbeitungsverzeichnisse zu erstellen, die in der DSGVO nach Art. 30 vorgeschrieben sind. Solche können bei Datenschutzverletzungen herangezogen werden,7 um die betroffenen Datensätze schneller identifizieren, Risikobewertungen effizient durchführen und die Aufsichtsbehörden fristgerecht benachrichtigen zu können, wenn erforderlich.
Cyberangriffe haben oft Konsequenzen für Privatpersonen, z. B. indem unverschlüsselte personenbezogene Daten auf Hackerforen veröffentlicht und speziell für betrügerische Handlungen ausgenutzt werden. Nach einer solchen Datenschutzverletzung sehen sich Unternehmen oft mit datenschutzrechtlichen Herausforderungen konfrontiert wie beispielsweise einer gestiegenen Anzahl Auskunftsanfragen von betroffenen Personen („Data Subject Access Request“, Art. 15 DSGVO). Um diese Flut von Betroffenenanfragen innerhalb der nach der DSGVO vorgeschriebenen Monatsfrist nach Eingang des Auskunftsersuchens bewältigen zu können, lohnt es sich, einen effizienten und teilautomatisierten Prozess schon präventiv zu implementieren.
Eine weitere Empfehlung, um Datenschutzverletzungen zu verhindern bzw. deren Folgen zu verringern, sind entsprechende Datenschutzschulungen und Datenschutzawarenessmaßnahmen. Laut Daten des Information Commissioners Office (ICO) waren im Jahr 2021 80% der Datenschutzverletzungen auf menschliches Versagen zurückzuführen.8 Schulungen zu Informationssicherheit und Datenschutz können somit präventiv wirken und Cyberangriffe beziehungsweise Datenschutzverletzungen effektiv verhindern und deren Auswirkungen mindern.9
Darüber hinaus können dokumentierte Verfahren und Richtlinien für die Informationsverwaltung zur Datenminimierung beitragen und die Angriffsfläche für Cyberangriffe weiter verringern.
Schäden eindämmen
Um im Ernstfall auch technisch angemessen auf einen Incident oder eine Datenschutzverletzung reagieren zu können bedarf es häufig Maßnahmen der digitalen Forensik und Incident Response (kurz DFIR).
An dieser Stelle sind die getroffenen Vorbereitungen (siehe Absatz „Vorbereitung auf Cybervorfälle“ und „Datenschutz bei Cybervorfällen“) entscheidend, da hierdurch bei einem Vorfall direkt mit der Arbeit begonnen werden kann. Dies erspart wertvolle Zeit, die sonst für die Aufklärung, z. B. der Netzwerkumgebung oder von Speicherorten, nötig wäre. Ziel von DFIR ist es, einen Incident schnellstmöglich und vollständig zu identifizieren, zu verifizieren und angemessen zu reagieren, damit der Schaden reduziert und der operative Betrieb wieder hergestellt werden kann.10
Incident Handling beschreibt hierbei die unten aufgeführten sieben Phasen und beinhaltet mit der eben erwähnten Vorbereitung sowohl präventive als auch reaktive Arbeiten. Empfehlenswert ist es, auch die oben beschriebenen Datenschutzimplikationen in das Incident Handling mit einzubeziehen. IR selbst bezeichnet „nur“ die reaktiven Phasen.
Um für einen zukünftigen Vorfall besser gerüstet zu sein und aus durchgeführten Maßnahmen zu lernen, sollte nach der Abarbeitung eines Incidents Rückschau gehalten werden. Eine solche Rückschau kann z. B. im Rahmen eines „Lessons Learned“-Workshops mit allen Beteiligten direkt nach dem Incident erfolgen. Hierbei werden die durchgeführten Maßnahmen wie auch deren Ergebnisse dokumentiert und mögliche Verbesserungen diskutiert. Eine Überprüfung der Reaktionen auf einen Vorfall soll zu angemessenen Reflexionen, Lerneffekten und Verbesserungen führen, ganz nach dem Motto „im Nachhinein ist man immer schlauer“.
Die erarbeiteten Ergebnisse und Dokumentationen helfen zudem, neuen Führungskräften oder IT-Mitarbeitern einen Überblick über den Umgang mit Incidents und verbundenen Maßnahmen zu vermitteln.
Um den Kreis an dieser Stelle zu schließen, sollten die gewonnenen Erkenntnisse wiederum genutzt werden, um die bestehenden Prozesse und Sicherheitsrichtlinien zu optimieren.
https://www.deutscheranwaltspiegel.de/compliancebusiness/compliancepraxis/risikofelder-cybercrime-und-datenschutz-29225/
