Gerade mit Einführung der DSGVO machen sich immer mehr Unternehmen Gedanken um Datensicherheit. Hierzu gehört neben guter Vorsorge auch ein angemessenes Krisenmanagement: Wie reagiere ich, wenn doch einmal etwas passiert? Damit durch digitales Verbrechen kein untragbarer Schaden entsteht, sollte jedes Unternehmen über einen Notfallplan verfügen. Was dieser enthalten sollte, erklärt Ihnen STC.
Grundsätzlich lässt sich sagen: Datendiebe können von innen oder von außen agieren, d.h. sie können aus dem eigenen Betrieb stammen oder von extern, auch aus dem Ausland kommen. Auch heute gibt es natürlich noch den „klassischen“ Diebstahl: Wird ein Laptop oder auch nur das Smartphone eines Mitarbeiters entwendet, kann dabei bereits die Sicherheit wichtiger Daten dahin sein. Doch auch und gerade im Internet und Netzwerken gibt es zahlreiche weitere Gefahren. Obwohl sich die Welt der Malware rasend schnell entwickelt, finden Sie hier die wichtigsten Variationen:
Wie der Name schon sagt, gelangen Trojaner und Würmer unbemerkt in das Computersystem und nisten sich dort ein. Ziel: Datendiebstahl und E-Mails infizieren. Obwohl diese Schadstoffe durch Anti-Viren-Programme geblockt werden können, bleibt die Hälfte von ihnen unbemerkt.
Virenbaukästen, auch Exploit Kits genannt, sind Programme, die individuelle Schadsoftwares entwickeln und daher Cyberangriffe selbst automatisieren. Sie leiten beispielsweise Downloads ein oder finden andere Verbreitungswege, um weiter Computer zu infizieren.
Beliebtes Mittel des Phishing sind gefälschte E-Mails und Links, die auf gewohnte und bekannte Seiten wie Online-Händler, Soziale Netzwerke oder Bezahldienste leiten. Dort geben Opfer oft nichtsahnend ihre persönlichen Daten preis, die dann durch einen versteckten Trojaner „geklaut“ werden. Ziel: möglichst viele private Daten in kurzer Zeit.
Bei solchen Attacken sollen bestimmte Dienste blockiert werden, ein Server oder eine Webadresse sollen also möglichst so ausgelastet werden, dass er nicht mehr erreichbar ist. Dies kann durch das Versenden massenhafter Datenpakete oder E-Mails geschehen. Diese Attacke kann auch als Ablenkungsmanöver gelten, um parallel im Hintergrund eine Schadsoftware zu installieren oder geistiges Eigentum zu klauen. Im Arbeitsalltag kann das neben Datenverlust auch eine Verzögerung im Kundenkontakt oder der Verlust von Schriftverkehr bedeuten.
Datenmissbrauch hat viele unterschiedliche Gesichter, das beliebteste bleibt der Missbrauch von Kunden-Bankdaten eines Unternehmens. Zugang zu sensiblen Kundendaten aber auch betriebsinternen Daten und Geheimnissen können Angreifer durch Schadsoftware (z.B. Keylogger), Hardware (z.B. gestohlener Laptop) oder über Mitarbeiter (z.B. „geborgter Zugang“) erhalten.
Auch digitale Erpressung ist keine Besonderheit mehr. Verbreitung gibt es beispielsweise über den bekannten „BKA-Trojaner“. Hier wird der Zugriff auf den eigenen Rechner blockiert und suggeriert, dass diese erst nach Zahlung eines „Bußgeldes“ aufgehoben wird. Daneben gibt es auch viele weitere Erpressungsansätze, wie die Drohung, Kundendaten zu verkaufen.
Da ein großer Teil der Unternehmen (noch) nicht ausreichend auf den Notfall vorbereitet ist, finden Sie im Weiteren einen Überblick darüber, welche Maßnahmen im Notfallplan bedacht werden sollten. Dabei sind folgende Themenkomplexe zu bedenken:
Die erste Frage, die Sie sich – in IT- wie auch in anderen Notfallplänen – stellen sollten, ist: Wer ist für was verantwortlich? Sowohl Ihre Mitarbeiter als auch Sie selbst sollten immer schnell nachschlagen können, wer im Notfall zu informieren ist. Dazu gehören auch Kontaktdaten von Datenschutz- und IT-Beauftragten Ihres Unternehmens sowohl ein Protokoll, das angibt, wer über welche Vorfälle zu informieren ist. Es ist zudem sinnvoll, diese Informationen ganz klassisch auf Papier zur Hand zu haben – schließlich nützen Ihnen die umfangreichsten Informationen nichts, wenn sie auf einem Rechner gespeichert sind, der nicht mehr funktioniert.
Welche technischen Maßnahmen genau zu ergreifen sind, sagt Ihnen im konkreten Fall am besten Ihr IT-Beauftragter. Doch nicht jedes Unternehmen verfügt über eine IT-Abteilung, und manchmal muss schnell Hilfe her. Damit Sie nicht unvorbereitet sind, hier die wichtigsten Maßnahmen bei Dos-Attacken, Malware und digitaler Erpressung:
Malware: Viren, Würmer, Trojaner
DoS-Angriff: Überlastung eines Servers aufgrund eines Angriffs
Digitale Erpressung
Kryptotrojaner: Verschlüsselung der Daten und Lösegeldforderung
Je nachdem, was für eine Art von Unternehmen Sie führen und wie schwerwiegend eine Datenschutzverletzung ist, haben Sie Meldepflichten gegenüber den zuständigen Aufsichtsbehörden. Die Erfüllung dieser Meldepflichten ist absolut notwendig: Auch dann, wenn ein Dritter Ihre Daten gestohlen hat, tragen Sie doch die Verantwortung. Daher sollten Sie im Vorhinein feststellen, welche Pflichten Sie haben, und diese im Notfallplan festhalten.
Folgende Meldepflichten bestehen:
Die Betreiber kritischer Infrastrukturen wie Energieversorger, Telekommunikations- und Transportunternehmen sind verpflichtet, jede „erhebliche“ Störung unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. „Erheblich“ bedeutet, dass die Störung nicht mithilfe branchenüblicher, dem Stand der Technik entsprechender Methoden behoben werden konnte. Es gilt: Zeitnah ist wichtiger als Komplett – ist eine Störung erkannt, aber noch nicht analysiert, so ist es besser, eine unvollständige Meldung zu machen, als zu warten.
Das Bundesdatenschutzgesetz (BDSG) beschreibt Meldepflichten bezogen auf sensible personenbezogene Daten (also Daten, aus denen beispielsweise ethnische Herkunft, Religion, sexuelle Identität etc. hervorgehen, sowie medizinische Daten). Jedes unrechtmäßige Übermitteln und jede unrechtmäßige Kenntnisnahme solcher Daten geht mit einer schwerwiegenden Beeinträchtigung der Rechte der entsprechenden Personen einher. Daher müssen im Falle eines entsprechenden Vorfalls sowohl die Datenschutzbehörde als auch die betroffenen informiert werden.
Seit kurzem ist die EU-Datenschutzgrundverordnung (DSGVO) in Deutschland anwendbar. Sie besagt nicht nur, dass sämtliche Störungen und Datenschutzmaßnahmen dokumentiert werden müssen, sondern auch, dass jede Verletzung nach Artikel 4 Abs. 12 der zuständigen Aufsichtsbehörde gemeldet werden muss; in Deutschland ist dies die Datenschutzbehörde.
Für die Meldung wird den Verantwortlichen eine Frist von 72 Stunden nach Erkennen der Verletzung gewährt. Es wird nicht näher benannt, wie schnell Störungen erkannt werden müssen – dies wird voraussichtlich im Einzelfall anhand der eingegangenen Risiken und der Sensibilität der Daten entschieden. In jedem Fall ist es nicht ratsam, aus strategischen Gründen mit der Meldung zu warten.
Wie in Punkt 2.3 dargelegt, haben Sie als Unternehmen bestimmte Meldepflichten, was Datenschutzverletzungen angeht. Abgesehen von den Kommunikationen, die Sie führen müssen, sollten Sie aber im Notfallplan auch festlegen, welche Kommunikationen für Sie als Unternehmen Sinn machen. Ab wann ist es ratsam, Ihre Kunden über eine Störung zu unterrichten? Welche Mitarbeiter müssen informiert werden?
In jedem Fall ist es ratsam, nicht sofort sämtliche Mitarbeiter, Kunden oder gar die Presse zu informieren, bevor Sie nicht sicher sind, um was für eine Art von Störung es sich handelt. Abgesehen von den gesetzlichen Meldepflichten gilt: Informieren Sie zunächst nur die Menschen, die von der Störung wissen müssen und sie gegebenenfalls beheben können.
Halten Sie in Ihrem Notfallplan also unbedingt fest, wer zu welchem Zeitpunkt informiert werden sollte und wer nicht, und stellen Sie sicher, dass Ihre Mitarbeiter über den Notfallplan informiert sind.
Datenschutzverletzungen können immer auch zu erheblichen Vermögensschäden führen. Nicht nur Cyberkriminelle können über Datendiebstahl Millionen ergaunern, auch die Bußgelder bei selbstverschuldetem Datenverlust sind nicht zu unterschätzen. Daher ist es für Unternehmen, die mit personenbezogenen Daten zu tun haben, ratsam, eine Cyber-Police in Betracht zu ziehen. Je nach Branche, Betriebsgröße und Risiko gibt es hier verschiedenste Optionen, wie Sie sich auch digital absichern können – und das Angebot wächst stetig.
Viele Versicherer bieten als Teil der Cyber-Police auch Hilfe beim Erstellen eines Notfallplans an; zudem stellen sie meist einen Ansprechpartner, der Ihnen unter die Arme greift, wenn schnell „erste Hilfe“ benötigt wird. Mehr zu Versicherungsmöglichkeiten für Ihre Daten finden sie hier.
Falls Sie nicht genau wissen, wie Sie den Notfallplan in Ihrem Gewerbe spezifisch implementieren können, eine Beratung zu der besten Absicherung für Ihre Bedürfnisse suchen oder weitere Fragen haben, können Sie uns jederzeit kontaktieren. Füllen Sie einfach das untenstehende Formular aus – STC meldet sich schnellstmöglich bei Ihnen.