Insbesondere Angriffe mit Ransomware sind vermehrt zu verzeichnen. Ransomware, auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Da es keine absolute Sicherheit gibt, müssen Sie sich auf den Ernstfall vorbereiten. Sie brauchen in Ihrem Unternehmen klare Handlungsanweisungen und klar definierte Prozesse, um im Schadenfall tatsächlich Erste Hilfe leisten zu können und den Schaden zu minimieren. Fehlen diese Dinge, kann es auch passieren, dass Sie auf den Kosten und Schäden sitzen bleiben, auch wenn Sie eine Cyber-Versicherung abgeschlossen haben.
Erste Hilfe nach einem Angriff: Worauf muss ich mich vorbereiten?
Tritt ein Sicherheitsvorfall auf, müssen Sie mit dem Ausfall wesentlicher IT-Systeme und einem vollständigen Ausfall zentraler Geschäftsprozesse und ggf. Fertigungsketten rechnen. Das kann im Ernstfall schnell zu einem kompletten Betriebsausfall führen, der mehrere Tage Ihren Geschäftsprozess beeinflussen kann. Bei einem Ransomware-Angriff müssen z. B. regelmäßig sämtliche IT-Systeme komplett ausgetauscht werden. Das betrifft auch vermeintlich „saubere“ IT-Systeme.
Zudem müssen bei einem Betriebsausfall regelmäßig die Kunden, die Presse sowie Ihre Kolleginnen und Kollegen informiert werden. Sind personenbezogene Daten betroffen, müssen Sie auch die Aufsichtsbehörde innerhalb von 72 Stunden informieren. Hier sind Sie als Datenschutzbeauftragter ganz konkret involviert. In der Regel führt dies auch zu einem erheblichen Bußgeld, wenn hier nicht ordnungsgemäß mit geeigneten technisch-organisatorischen Maßnahmen vorgebeugt wurde oder die Geschäftsprozesse nicht ausreichend mit klaren Verfahrensbeschreibungen bedacht wurden.
Auf die Risiken hinweisen
Bei einem Sicherheitsvorfall müssen meistens externe Spezialisten hinzugezogen werden. All diese Maßnahmen müssen koordiniert und sachgerecht umgesetzt werden. Dies ist zwar nicht Ihre primäre Aufgabe des Datenschutzbeauftragten, jedoch sollte er involviert werden. Er sollte stets versuchen, die Geschäftsleitung als auch die IT-Abteilung auf die vorherrschenden Risiken über fehlenden Datenschutzanstrengungen hinweisen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang 2020 die zentralen Maßnahmen bei einem Sicherheitsvorfall beschrieben. Wirken Sie als Datenschutzbeauftragter darauf hin, dass sich Ihre IT-Abteilung mit diesem Maßnahmen beschäftigt und die erforderlichen Maßnahmen auf Ihr Unternehmen anpasst.
Mein Tipp: Gute Vorbereitung ist wichtig
Ein schwerer Sicherheitsvorfall ist ohne sachgerechte Vorbereitung nicht zu bewältigen. Ihr Unternehmen benötigt ein konzeptionellen Ansatz, in das die Behandlung eines Sicherheitsvorfalls integriert ist. Entsprechende Konzepte können von uns erstellt und beschrieben werden. Wir passen unsere Konzepte speziell auf Ihr Unternehmen an und beschreiben in gegenseitiger Übereinstimmung alle wesentlichen Verfahren, die Sie in einem solchen Fall beachten und berücksichtigen sollten.
Sicherheitsvorfall: Was muss ich konkret tun?
Der Datenschutzbeauftragte kann Sie in nachfolgenden organisatorischen Schritte als Handlungsleitfaden für den Ernstfall mit Ihrer IT-Abteilung und der Geschäftsführung besprechen.
Bewahren Sie Ruhe und handeln Sie nicht übereilt.
Richten Sie einen Krisenstab (oder eine Projektgruppe) ein.
Klären Sie regelmäßig folgende Fragen:
Wer macht was bis wann?
Welche Tagesaufgaben können für die Bewältigung des Vorfalls liegengelassen werden?
Wer trifft die relevanten Entscheidungen?
Sollen Systeme schnell wieder aufgesetzt oder Spuren gesichert werden?
Wer kommuniziert was bis wann an wen?
Wollen Sie Anzeige erstatten?
Denken Sie an Meldepflichten (Datenschutz usw.).
Holen Sie sich bei Bedarf frühzeitig externe Unterstützung.
Kurzfristig für den Notbetrieb wichtige Daten können sich auch an ggf. abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden, die (noch) nicht betroffen sind.
Mein Tipp: Versicherung ist sinnvoll
Der Abschluss einer Cyber-Versicherung kann in vielen Fällen sehr Hilfreich sein! Prüfen Sie, ob die Versicherung die wesentlichsten monetären Risiken minimieren kann. Solche Versicherungen bieten in der Regel bei einem Sicherheitsvorfall auch Unterstützung durch Spezialistenteams an. Achten Sie jedoch darauf, dass Sie alle notwendigen Schritte zur Vermeidung solcher Risiken ergriffen haben, da sonst auch ein guter Versicherer seine Schadensersatzleistungen verweigern kann.
Wir beraten Sie in diesem Bereich gerne und können auch entsprechendes Fachpersonal vermitteln!
Fazit: Sie müssen vorbereitet sein
Achten Sie auf die beratende Tätigkeit Ihres Datenschutzbeauftragter, der Ihr Unternehmen auf einen Sicherheitsvorfall vorbereitet. Das BSI bietet mit dem Standard 100-4 (BCM) und dem Leitfaden „Erste Hilfe bei einem Sicherheitsvorfall“ eine sehr gute Unterstützung. Weisen Sie auf die Risiken hin und machen Sie Ihren Stakeholdern verständlich, dass die Risiken nur mit sachgerechten Standardprozessen und Maßnahmen minimiert werden können. Das bedeutet aber einen erheblichen Arbeitsaufwand von mehreren Monaten für die Einführung und viel Aufwand für den nachfolgenden Linienbetrieb. Haben Sie Fragen oder brauchen Sie konzeptionelle Hilfe, dann setzen Sie sich mit uns in Verbindung! Wir beraten Sie gerne, stellen bei Bedarf den eDSB oder führen über unsere eDSA Auditierungen in Ihrem Unternehmen durch.
Wir wünschen Ihnen alles Gute. Und bleiben Sie gesund!