Illustration: Absmeier freepik wirestock

Die »Securities and Exchange Commission«, kurz SEC, hat neue Regeln für börsennotierte Firmen erlassen. Sie verlangen von den Unternehmen, erfolgreiche Cyberangriffe innerhalb von vier Werktagen offenzulegen, falls es sich um so genannte wesentliche Vorfälle handelt. Darunter sind Vorfälle zu verstehen, die Aktionäre bei ihrer Investitionsentscheidung als wichtig erachten würden.

Ähnliche Vorgaben zur Meldepflicht bei Cyberattacken existieren schon in anderen Ländern. Innerhalb der EU, im Vereinigten Königreich, in Kanada, Südafrika und Australien haben Unternehmen dafür 72 Stunden Zeit. In anderen Ländern wie China und Singapur sind es nur 24 Stunden, Indien muss einen Verstoß innerhalb von sechs Stunden melden. Diese rechtlichen Rahmenbedingungen fokussieren sich meist auf personenbezogene Daten. Das neue SEC-Regelwerk greift viel weiter und ist dadurch komplexer, denn es will die »Lebensfähigkeit des Unternehmens« nach der Attacke abbilden.

»Ob ein Unternehmen eine Fabrik bei einem Brand verliert – oder Millionen von Dateien bei einem Cybersicherheitsvorfall –, kann für Investoren von Bedeutung sein.«, erklärte der SEC Vorsitzende Gary Gensler. Die neuen Regeln greifen im Dezember oder 30 Tage nach Veröffentlichung im sogenannten Federal Register in den USA.

Firmen müssen eine so genannte Form 8-K einreichen, in der folgende Informationen abgefragt werden:

• Das Datum der Entdeckung und der Status des Vorfalls (laufend oder gelöst).
• Eine Beschreibung der Art und des Ausmaßes des Vorfalls.
• Alle Daten, die möglicherweise kompromittiert, verändert, abgerufen oder unbefugt verwendet wurden.
• Die Auswirkungen des Vorfalls auf die Geschäftstätigkeit des Unternehmens.
• Informationen über laufende oder abgeschlossene Eindämmungsversuche des Unternehmens.

Kleineren Betrieben wird eine zusätzliche Frist von 180 Tagen gewährt, bevor sie ihre 8-K-Formulare einreichen müssen. Bei Organisationen, die unter den Critical Infrastructure Act von 2022 fallen, weil sie wie der Name andeutet, kritische Infrastruktur betreiben, ist die Frist bereits nach drei Tagen abgelaufen. Ransomware-Zahlungen müssen innerhalb von 24 Stunden gemeldet werden.

Problem der dunklen Daten

»Die ersten und letzten beiden Punkte werden Firmen gut beantworten können. Wenn der Cyberangriff einen bestimmten Geschäftsbereich oder ein System kompromittiert, kennen die Verantwortlichen den Wert des betroffenen Geschäfts und den möglichen Schaden«, erklärt Mark Molyneux, EMEA CTO bei Cohesity.

Die meisten Firmen werden aber Schwierigkeiten haben, den Wert aller Daten richtig einzuschätzen, die möglicherweise kompromittiert, verändert, abgerufen oder unbefugt verwendet wurden.

Denn der Inhalt und damit der Wert dieser Daten ist im Dunkeln verborgen, Gartner spricht hier von Dark Data. Und wie bei der dunklen Materie in der Physik, nimmt Dark Data mit bis zu 75 Prozent den Löwenanteil der Daten in Firmen ein.

Firmen müssen diese Daten unbedingt durchleuchten, um ihren Wert für das Geschäft und damit ihre Kritikalität zu verstehen. Sie müssen die Daten kategorisieren und klassifizieren und in der Lage sein, schnell über diese Inhalte zu berichten. Nur dann können sie die Folgen eines erfolgreichen Angriffs für sich selbst einschätzen und in dem SEC-Bericht richtig darstellen. Diesen Bericht werden sie übrigens bei jeder erfolgreichen Cyberattacke gegen ihr Unternehmen vorlegen müssen.

Moderne Cloud-Dienste wie DataHawk klassifizieren die Daten akkurat und halten sie gemäß der von der Firma festgelegten Archivierungsstrategie entsprechend lang vor. Sie helfen zusätzlich bei der Gefahrenanalyse, indem sie in den Daten bekannte Schwachstellen finden, die von Angreifern ausgenutzt wurden. Sie können zudem nach Angriffsspuren im gesamten Daten-Ecosystem der Firma suchen und zeitlich versetzte Snapshots liefern, die Sicherheitsteams dann gezielt forensisch analysieren können. Diese wertvollen Einblicke helfen Firmen, den Schaden genauer zu verstehen, einzudämmen und vor allem schneller zu beseitigen. Diese effizienten Maßnahmen können im letzten Punkt des SEC-Berichts aufgeführt werden und liefern den Detailgrad, nach denen die SEC sucht. Ohne dieses Wissen würden viele Unternehmen bei der Ursachenforschung »im Dunkeln tappen«.

Auf die Vorgaben vorbereiten

Die Sicherheitsteams in den Firmen sollten sich darauf vorbereiten, die im Bericht eingeforderten Informationen zusammenzutragen und aufzubereiten. Dazu müssen sich Sicherheits- und IT-Teams koordinieren und idealerweise eine dezidierte gemeinsame Taskforce schaffen, die gezielt an dem Vorfall und dem SEC-Bericht arbeitet, damit die Firma die SEC-Frist einhalten kann. In den meisten Firmen und deren Security Operation Centern ist dieser Prozess in dieser Form noch nicht eingerichtet und die SEC-Ankündigung dürfte dies beschleunigen.

Die enge Frist von vier Tagen sollte ebenfalls in den Disaster- und Recovery-Plänen und den Cleanroom-Prozess der Firma berücksichtigt sein. Wenn die Attacke große Teile der IT außer Kraft setzt, sollten die Werkzeuge für die Erstellung des SEC-Berichts und vor allem ihre Datenquellen bei der Wiederherstellung priorisiert werden. Sonst verstreicht die Frist, während die Verantwortlichen händeringend versuchen, die richtigen Daten zu finden und die nötigen Tools wiederherzustellen. In solchen Krisenmomenten schwinden die Aussichten, den SEC-Vorgaben gerecht zu werden, da entscheidende Informationen fehlen. Die SEC hat allein im Jahr 2022 Strafen in Höhe von 6,4 Milliarden US Dollar ausgesprochen, ihre Regelwerke haben Zähne.

Das Regelwerk wird helfen, die Folgen einer Attacke auf einen bestimmten Wirtschaftssektor schneller und genauer einzuschätzen. Durch die neuen Anforderungen wird die SEC sicherstellen, dass die SEC und die Wirtschaft zu einem frühen Zeitpunkt über aktuelle Cybervorfälle informiert werden und man im Idealfall schwerwiegenderen Folgen früh eindämmen kann.

Historisch analysieren

Wer seine Daten dank Klassifizierung gut kennt, kann an anderer Stelle Vorteile ausspielen. Für wichtige Daten lassen sich engere Regeln für Cyber Resiliency festlegen. Sei es, dass die Daten oft in kürzeren Intervallen gesichert und an weitere Stellen ausgelagert werden wie einen virtuellen Cybervault.

»Werden diese Daten dann in einer Cyberattacke verändert, können die Sicherheitsteams in den dutzenden von historischen Kopien gezielt nach Indizien für Attacken suchen und so die Lücke und Methode aufspüren, welche die Angreifer nutzten,« erklärt Mark Molyneux. »Auch diese fortschrittlichen Mechanismen zur Recovery und Eindämmung können Firmen im SEC-Bericht aufführen und den Investoren zeigen, dass sie Herr der Lage sind.