So reagieren Sie auf Sicherheitsvorfälle

foto cc0 pixabay bykst crime scene

foto cc0

Aus Sicht des Datenschutzes

Computerspiele sind oft nützlicher, als man zunächst denkt. Sie bieten die Möglichkeit Strategien zu überarbeiten, bestimmte Vorgehensweisen zu testen und sukzessive deren erfolgreiche Umsetzung zu verbessern. Ganz ähnlich verhält es sich mit Notfall- oder Krisenplänen in Sachen IT-Sicherheit. Die mit Cyberangriffen verbundenen Risiken steigen weiter, Entwarnung ist nicht in Sicht. Was also im Falle eines Falles tun oder wie sich am besten vorbereiten? Unsere 5 Schritte liefern Anhaltspunkte.

Notfallplan und definierte Ressourcen

Ein altes Sprichwort der Samurai besagt »Wichtige Angelegenheiten sollte man auf die leichte Schulter nehmen«. Das hört sich zunächst widersprüchlich an. Gemeint ist aber, dass man bei wichtigen Angelegenheiten gut vorbereitet sein sollte. Die Zeit vor einem potenziell schwerwiegenden Datenschutzvorfall sollte man nutzen, um verschiedene Reaktionsmöglichkeiten durchzuspielen und die bestmögliche Strategie auszuwählen. Also Zeit in die Krisenplanung investieren.

Bevor ein Problem tatsächlich auftritt, sollten Pläne zur Business Continuity vorliegen sowie Prozesse und Handlungsoptionen in einem Krisenplan fixiert worden sein. Hat man diese Vorgänge in einem Rahmenplan zusammengefasst, kann im Falle eines Datenschutzvorfalls schnell und besonnen reagieren. Allerdings sind diese Pläne nichts für die sprichwörtliche Schreibtischschublade: Sämtliche im Falle einer Krise gefragten Personen sollten die notwendigen Schritte kennen und wissen wie und in welcher Reihenfolge sie ausgeführt werden. Das spart im Notfall viel Zeit.

Im Idealfall gibt es im Unternehmen eine Person, die im Notfall die betreffenden Prozesse steuert, sich mit den geplanten Schritten auskennt und das Unternehmen durch den Ernstfall führt. Da Datenschutzvorfälle sich selten an die üblichen Arbeitszeiten halten, stehen Security Manager in aller Regel einem Unternehmen sowohl tagsüber als auch nachts im Ernstfall zur Verfügung.

Eine gute Vorbereitung ist also der wichtigste Schritt.

Verhindern Sie, dass mehr gestohlen wird als nötig

Es gibt viele Wege wie Daten in die falschen Hände geraten. Es kann zum Beispiel menschliches Versagen vorliegen – ein gestohlener Laptop oder ein verlegter USB-Stick. Trainings und technische Kontrollmechanismen senken dieses Risiko.

Aber es gibt sehr viel komplexere Angriffe. Beispielsweise wenn ein Hacker Unternehmenssysteme nutzt, um an weitere Daten zu gelangen. Konzentriert man sich in diesem Szenario auf einen Hackerangriff, ist es die oberste Priorität weitere Dateizugriffe und Datenverluste unbedingt zu vermeiden. Dazu muss man die Kommunikationskanäle, die ein Hacker benutzt hat, unterbrechen. Manchmal reicht es schon, den Internetzugang zu sperren. Auf jeden Fall müssen Sie sicherstellen, dass weder Dateien und Daten ins System eingeschleust noch abgezogen werden.

Herausfinden, was passiert ist

Nachdem Sie den Hackern den Zugang auf die Systeme abgeschnitten haben, ist es wichtig herauszufinden was genau sie dort getan haben und worauf sie zugreifen konnten.

Dabei hilft eine regelmäßige Datenüberwachung. Server und Systeme stellen sämtliche Logs bereit. Sie können so eingestellt werden, dass sie viele Daten sammeln oder nur vereinzelte Informationen. Um Datensicherheit zu gewährleisten, ist es entscheidend, die Logs richtig zu konfigurieren und die Auswertungen an einem sicheren Ort zu speichern. Dieses Vorgehen sorgt dafür, dass Sie nach einem Datenschutzvorfall maximalen Einblick haben, was vorgefallen ist.

Für kleinere Unternehmen empfiehlt es sich einen Sicherheits- oder IT-Berater um Rat zu fragen, wenn es darum geht Prozesse zur Unternehmenssicherheit festzulegen und einzuführen. Ein guter IT-Berater wird Ihnen empfehlen Datensätze streng auseinander zu halten, Strategien zu entwerfen, um Außenstehenden schnell den Zugang abzuschneiden und Abteilungen voneinander zu trennen. So sollte beispielsweise nur der Vertrieb Zugang zu Vertriebsdaten haben, und nur die Buchhaltung zu den Account-Details. Wenn dann die Vertriebsdaten gehackt wurden, sind nicht auch gleich die Buchhaltungsdaten gefährdet.

In größeren und sicherheitsaffinen Unternehmen sind solche Sicherheitsmaßnahmen sehr wahrscheinlich bereits umgesetzt. Eine zusätzliche Möglichkeit ist es beispielsweise die Internet-Schnittstellen aktiv zu kontrollieren. So kann man, falls nötig, bis ins kleinste Detail nachvollziehen was und wie genau übertragen wurde, welche Befehle ausgeführt wurden, und welche Daten im Einzelnen betroffen sind.

Und denken Sie nicht nur an gestohlene Daten: prüfen Sie auch, ob vielleicht etwas dazu gekommen ist, zum Beispiel Hintertüren, die für zukünftige Angriffe benutzt werden sollen.

Wenn Daten öffentlich werden – Die Konsequenzen

Eine geplante Reaktion auf eine mögliche Datenpanne will gut durchdacht sein. Ein Unternehmen muss wissen, was welche Daten wert sind und welche Auswirkungen es haben kann, sollten diese Daten an die Öffentlichkeit gelangen. Das ist von Unternehmen zu Unternehmen verschieden.

Falls persönliche Informationen gestohlen werden, müssen Sie wissen, wen Sie benachrichtigen müssen. In großen Unternehmen sollte ein Datenschutzbeauftragter die Nutzung von persönlichen Daten überwachen. Er weiß, welche Auswirkungen es haben kann, wenn solche Daten gestohlen werden. Auch regionale Besonderheiten und rechtliche Vorgaben in Bezug auf den Datenschutz gilt es zu berücksichtigen.

Ein Unternehmen ist verpflichtet Betroffene im Falle eines Datenverlustes zu benachrichtigen. Das größte Risiko besteht aber darin, dass man nicht sicher sagen kann, welche Daten gestohlen wurden. Dann muss man im Umkehrschluss davon ausgehen, dass auf alle Daten der betroffenen Systeme zugegriffen worden ist und sie sich jetzt in Händen von Angreifern oder Wettbewerbern befinden.

Wiederherstellung & Backup

Der Umfang der Wiederherstellung hängt stark davon ab, um welchen Art von Angriff es sich gehandelt hat. Möglicherweise betrifft er nur einen vergleichsweise kleinen Teil der Systeme, zum Beispiel das Content Management System der Website oder den Social Media Account. Haben Sie herausgefunden, worauf die Angreifer Zugriff hatten, können Sie die Schwachstelle(n) beheben. Diese Art Attacke kann dann so nicht noch einmal vorkommen. Danach stellen Sie Daten und Accounts wieder her und aktualisieren die Passwörter.

Falls zum Beispiel eine nicht korrekt konfigurierte Firewall ausgenutzt wurde, um in das Content Management System der Website zu gelangen, vielleicht um Informationen auf der Website zu ändern, muss man zunächst die Konfiguration berichtigen. Erst dann kann man das System wiederherstellen, die Website berichtigten und die internen Systeme auf den ursprünglichen Stand zurücksetzen. Abschließend werden die Passwörter aktualisiert und, falls nötig, die Attacke dem zuständigen Überwachungsgremium gemeldet.

Wenn die Situation entschärft ist, kann man damit beginnen den Angriff zu analysieren und die bestehenden Notfallpläne dahingehend anzupassen. Es ist mehr als wahrscheinlich, dass die bestehenden Pläne offensichtlich nicht alle Bereiche abgedeckt haben.

Simon Wood, GobalSign

Bei aller gut vorbereiteten Notfallplanung, am besten ist es sich von vornherein besser zu schützen. GlobalSign bietet Identitäten fürs Internet der Dinge. Hier finden Sie zusätzliche Informationen wie Sie Ihr Unternehmen mit digitalen Zertifikaten, PKI und Identity & Access Management noch besser schützen.

Jedes zweite Unternehmen nicht auf IT-Notfälle vorbereitet

IT-Notfälle: Unternehmen wiegen sich in Sicherheit

Backup- und Disaster Recovery – StorageCraft verstärkt Aktivitäten im deutschen Markt

Industrialisierte Cyberkriminalität bedroht die (Welt)Wirtschaft

Sicher durch den Sommer: So werden Smartphone und Tablet fit für den Urlaub

File Sharing im Unternehmen: Strategie gesucht

Schreiben Sie einen Kommentar