Cyber Incident Management

Die Frage ist nicht, ob Sie angegriffen werden, sondern wann. Dieser Satz wird immer wieder wiederholt und er ist wahr. Nun ja: einmal auf den falschen Anhang geklickt oder den falschen Link und schon sind die Daten verschlüsselt. Auch der Abgriff der Daten kann auf diese Art erfolgen. Dieser kurze Beitrag soll Ihnen Hinweise und Tipps für die Praxis geben, wie Sie mit Datenschutzvorfällen nach einem Angriff aus dem Internet vorgehen. Es geht um das Cyber Incident Management.

Nach dem erfolgreichen Angriff haben Sie viele Baustellen auf einmal: Können wir arbeiten? Wann können wir wieder arbeiten? Sind Daten abgeflossen? Was müssen wir wem melden? Und wie schnell? Wen müssen wir wie informieren? Zahlt jemand unseren Schaden? 

Der Erste Schritt nach einem Vorfall ist zu klären, was eigentlich passiert ist und wann. Welche Auswirkungen hat der Cyber Incident? Wurden Daten verschlüsselt? Sind welche ausgelesen und ggf. verkauft worden? Können Back-Ups bei der Behebung der Schäden einfach helfen?

Wenn das geklärt ist bzw. wenn Sie hier erste Anhaltspunkte haben, sollten Sie entscheiden, was Sie tun wollen und wo Ihre Prioritäten liegen. Wollen Sie schnell weiterarbeiten oder begreifen Sie den Vorfall als Chance. Ein neues System aufzusetzen (wenn es möglich ist)? Soll der oder die Täter ermittelt und zur Verantwortung gezogen werden? Diese Entscheidung regeln auch die nächsten Schritte.

Der zweite Schritt sollten die Informationen sein – an die IT-Versicherung und Ihren Datenschutzbeauftragten. Beide werden Sie unterstützen. Ein Tipp vorab: Die Kontaktdaten sollten offline gespeichert werden oder auf einem Onlineportal, auf das auch im Fall einer Cyberattacke zugegriffen werden kann.

Sie müssen den IT-Dienstleister Grundsätzlich nicht austauschen: Es sprechen aber sowohl Argumente für als auch gegen einen Austausch des Dienstleisters. Dafür sprechen eine gewisse Vertuschungsgefahr und eingefahrene Strukturen, die erst zu dem Vorfall geführt haben. Dagegen sprechen die eingefahrenen Strukturen, schließlich kennt Ihr Dienstleister die Strukturen und Sie vertrauen ihm. Gegen die Auswechslung sprechen auch die damit einhergehenden Kosten. Dafür spricht allerdings die Gelegenheit des Neuanfangs. Hier ein kleiner Hinweis am Rande: der Nachweis von Wartungsfehlern des IT-Dienstleisters gelingt in der Regel nicht. 

Sie können dies tun, müssen Sie aber nicht. Wie gut die forensische Tätigkeit der Polizei ist, kann und will ich nicht beurteilen. In der Praxis ist es aber so, dass die Behörden den Server mitnehmen, um diesen forensisch zu untersuchen. Das BKA will sich selbst einen Überblick über die Lage verschaffen. In dem Fall ist der Server weg. Wie lange hängt auch davon ab, wie überlastet die Polizei selbst ist. Daher folgt hier der Tipp eines Kollegen: Ermitteln Sie erst selbst – mit der IT-Versicherung und Ihrem IT-Dienstleister und dann erstatten Sie die Anzeige bei der Polizei.

In Art. 33 und 34 DS-GVO sind Meldepflichten normiert. Dazu haben wir schon berichtet. 

Ein Datenschutzvorfall muss binnen 72 Stunden nach Kenntnis an die Datenschutzbehörde gemeldet werden, gegebenenfalls sollte hier stufenweise gemeldet werden. Das ist immer dann ratsam, wenn Sie selbst erst ermitteln müssen, was passiert ist. Ein Formularzwang besteht hier nicht. Bei der Meldung wird Sie Ihr Datenschutzbeauftragter unterstützen.

Auch die betroffenen Personen sind zu benachrichtigen. Wann diese Meldepflicht und die Benachrichtigungspflicht besteht und wann nicht, regeln Art. 33 und 34 DS-GVO.

Diese Frage kann ich nicht beantworten. Die Experten sind hier auch uneins. Fakt ist: Sie dürfen verhandeln. Unseres Erachtens machen Sie sich auch nicht strafbar, wenn Sie das „Lösegeld“ zahlen. Aber dies hängt aber immer vom Einzelfall ab und von dem Druck, unter dem Sie stehen. Bei der Entscheidung darüber kann die Beantwortung folgender Fragen helfen: 

Ist das System ausgefallen oder sind „nur“ Daten betroffen? Ist ein Back-Up- einspielbar? Welcher Schaden droht bei längerer Untätigkeit?

Und vergessen Sie nicht: Der Erpresser weiß mehr als die Unternehmen. Der Erpresser hat die Daten und die Informationen.

Das Wichtigste zuerst: Schulen Sie Ihre Mitarbeiter im Umgang mit E-Mails und Datenanhängen! Üben Sie! Egal welche Prozesse Sie auch aufsetzen und wie gut Sie versichert sind, die Abwehr des Angriffs ist das beste Managementtool. 

Versichern Sie sich gegen derartige Vorfälle mit einer speziellen IT-Versicherung und bestimmen Sie diejenige Person in Ihrem Unternehmen, die für die Kommunikation zuständig ist. Dies sollte jemand sein, der mit der Versicherung, Ihrem IT-Dienstleister, dem Datenschutzbeauftragten, den Datenschutzbehörden, den Ermittlungsbehörden, Ihre Kunden und vor allem mit Ihren Mitarbeitern kommuniziert.

Sie sollten externe Ansprechpartner definieren und deren Kontaktdaten offline hinterlegen. Stimmen Sie auch innerhalb Ihre Unternehmens Ansprechpartner ab und dokumentieren Sie diese Prozesse (auch offline). Und last, but not least: Testen Sie die Prozesse!