Erfolgreiches Managen von Sicherheitsvorfällen

Ein Cyberangriff kann jedes Unternehmen treffen, unabhängig von seiner Größe oder Branche. Daher ist es entscheidend, gut vorbereitet zu sein und auch im Falle eines Sicherheitsvorfalls souverän zu bleiben. In diesem Beitrag gehen wir auf die wichtigsten Aspekte bei dem Umgang mit Sicherheitsvorfällen ein und beantworten einige der häufigsten Fragen durch Unternehmen. 

Die unterstehenden Handlungshinweise sind allgemeingültig, nicht abschließend und ersetzen keine individuelle Beratung.

Sie benötigen Unterstützung bei der Umsetzung des Datenschutzes in Ihrem Unternehmen? Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Sie tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Sie ganzheitlich bei den Themen Datenschutz und Informationssicherheit.  Kommen Sie jederzeit für ein unverbindliches Erstgespräch auf uns zu.

Ein Krisenteam ist unerlässlich, um effektiv auf einen Cyberangriff zu reagieren. Ein gut koordiniertes Krisenteam kann schnell und effizient handeln. In diesem Team sollten nach Möglichkeit verschiedene Rollen vertreten sein:

• Entscheider (zum Beispiel Vertreter des Managements),
• der Risikomanager / Risikoexperte, der einen klaren Überblick über die Auswirkungen hat,
• der Datenschutzbeauftragte, 
• IT-Experten / CISO und 
• der Kommunikationsspezialist / Krisensprecher (intern und extern).

Die Vielfalt der Rollen stellt sicher, dass alle Aspekte des Angriffs, von der technischen Analyse bis zur Kommunikation, abgedeckt sind. Wichtig ist, dass die Personen nach Möglichkeit nicht in Personalunion vertreten sein sollten, d.h. sie sollten nicht verschiedenen Rollen gleichzeitig übernehmen, sondern nur einen klar abgegrenzten Aufgabenbereich verantworten.

Praxistipp: Erstellen Sie im besten Fall im Voraus eine Liste mit Kontaktdaten aller Teammitglieder, Dienstleister und Behörden und halten Sie diese stets aktuell. Diese Liste sollte sowohl digital als auch in Papierform aufbewahrt werden.

Die Teammitglieder sollten regelmäßig Schulungen und nach Möglichkeit eine Simulation durchführen, um für den Ernstfall gewappnet zu sein.

Eine strukturierte Dokumentation ist die Grundlage für spätere Entscheidungen, z. B. um geschäftskritische Prozesse und Assets zu identifizieren und Schutzmaßnahmen prioritär zu setzen. Sie sollte chronologisch den genauen Ablauf des Angriffs, die Uhrzeit und das Datum des Vorfalls, die ergriffenen Maßnahmen und die beteiligten Personen festhalten. Die Dokumentation ist auch für die Datenschutzberatung und die Kommunikation mit externen Dienstleistern z.B. IT-Forensiker wichtig.

Es sollte unbedingt von mindestens einem Verantwortlichen dokumentiert werden, was und wann genau an welchem Rechner passiert ist. Sammeln Sie möglichst schnell und möglichst viele Informationen, um fundierte Entscheidungen treffen zu können.

Verwenden Sie ein standardisiertes Format für die Dokumentation, um sicherzustellen, dass alle relevanten Informationen erfasst werden. Die Dokumentation sollte nicht nur den Ablauf des Angriffs, sondern auch die Kommunikation innerhalb des Krisenteams und mit externen Partnern umfassen. Dies kann später dabei helfen, den gesamten Vorfall besser zu verstehen und zukünftige Angriffe zu verhindern. Bewahren Sie zudem alle Dokumente und Kommunikationsverläufe sicher auf, um sie bei Bedarf schnell abrufen zu können.

Die Dokumentation hilft und unterstützt bei dem Bewerten und verstehen der Auswirkungen:

• Betriebliche Auswirkungen (Welche Systeme sind betroffen, welche Daten sind das Ziel?)
• Rufschädigung (Wer weiß Bescheid - Presse, Kunden, Mitarbeiter?)
• Rechtliche Auswirkungen (Personenbezogenen Daten, Verträge, Schadensersatzansprüche, Bußgelder)
• Auswirkungen auf das Geschäft (Zahlungen, Aktien, Glaubwürdigkeit gegenüber den Banken)

Die Reihenfolge, in der Behörden und Dienstleister informiert werden, kann variieren, sollte jedoch in der Regel zuerst die interne IT-Abteilung, dann externe Dienstleister und schließlich die zuständigen Behörden wie das BSI umfassen. Erstellen Sie für den Ernstfall einen Notfallplan, der die Reihenfolge der zu informierenden Parteien festlegt und auch klarstellt, wer welche Informationspflichten übernimmt.

Es ist wichtig, alle relevanten Parteien so schnell wie möglich zu informieren, um den Schaden zu minimieren und die Reaktionszeit zu verkürzen. Dabei sollte jedoch darauf geachtet werden, keine sensiblen Informationen preiszugeben, die den Angriff verschlimmern könnten. Verwenden Sie zum Beispiel verschlüsselte Kommunikationskanäle, um sensible Informationen sicher zu übermitteln.

Folgende Kontakte empfehlen wir bei einem Sicherheitsvorfall im Blick behalten bzw. kontaktieren:

• Polizei (z. B. Zentrale Stelle für Cybercrime)

• Bundesamt für Sicherheit und Informationstechnik (BSI)

• DSB

• Rechtsanwalt (nach Möglichkeit mit Spezialisierung auf Cybersicherheit)

• IT-Forensiker

• IT-Sicherheitsdienstleister

• Aufsichtsbehörde

Die gute Kommunikation ist entscheidend, um das Vertrauen der Mitarbeiter, Kunden und Partner zu bewahren. Ein klarer und transparenter Kommunikationsplan kann zum Beispiel festlegen, wie und wann welche Gruppen informiert werden.

Interne Kommunikation: Achten Sie darauf, keine Informationen nach außen zu tragen. Darunter fallen auch Gespräche mit dem Ehepartner. Mitarbeiter aus dem Home-Office sollten in die Firma kommen. Es sollten nur notwendige Informationen herausgegeben werden. Die Mitarbeiter sind regelmäßig über das Geschehen zu informieren.

Externe Kommunikation: Die Presse sollte informiert werden. Wichtig ist eine ehrliche Kommunikation nach außen, denn das Darknet weiß in der Regel über den Angriff  Bescheid. Verheimlichen bringt in der Regel nicht viel.

Halten Sie vorformulierte Richtlinien für verschiedene Sicherheitsvorfälle bereit, um im Krisenfall schnell reagieren zu können. Die Kommunikation sollte nicht nur informativ, sondern auch einfühlsam sein. Es sollte mindestens einen Ansprechpartner geben, der für Mitarbeiter, Kunden oder Partner bei dringenden Rückfragen stets erreichbar bleibt.

Wichtig: Bedenken Sie, dass ein Cyberangriff für alle Beteiligten stressig ist und Unsicherheit auslösen kann. Sie können auch Handlungshinweise beifügen. Vermeiden Sie sperrige technische Fachbegriffe und erklären Sie die Situation in einer Sprache, die alle Beteiligten - unabhängig von ihrem Vorwissen - verstehen.

Der Datenschutzbeauftragte hat die Aufgabe sicherzustellen, dass alle Maßnahmen im Einklang mit den Datenschutzgesetzen stehen. Er kann sowohl für die Datenschutzberatung als auch für die Kommunikation mit den Datenschutzbehörden verantwortlich sein.

Als fachlicher Experte sollte der Datenschutzbeauftragte bereits in die Planung von Sicherheitsmaßnahmen involviert sein, um Fehler zu vermeiden.

Präventive Maßnahmen in der Informationssicherheit können von regelmäßigen Sicherheitsaudits bis hin zu Schulungen für Mitarbeiter reichen. Ein Informationssicherheitsbeauftragter kann dabei helfen, diese Maßnahmen effektiv und gemeinsam mit Ihnen umzusetzen. Führen Sie regelmäßige Risikoanalysen durch, um Schwachstellen frühzeitig zu identifizieren.

Die Schulung der Mitarbeiter ist ein oft unterschätzter, aber extrem wichtiger Aspekt der Prävention. Viele Angriffe, etwa Phishing-Versuche, zielen direkt auf die Unwissenheit der Mitarbeiter ab. Investieren Sie daher in Schulungsprogramme, die Mitarbeiter im Umgang mit potenziellen Sicherheitsrisiken schulen.

Die lokale IT-Infrastruktur spielt eine entscheidende Rolle bei der Reaktion auf einen Cyberangriff. Sie sollte so konfiguriert sein, dass sie eine schnelle Isolierung infizierter Systeme ermöglicht und gleichzeitig die Integrität der restlichen Infrastruktur sicherstellt.

Überprüfen Sie regelmäßig die Sicherheitseinstellungen Ihrer Netzwerkgeräte und aktualisieren Sie stets die in Ihrem Unternehmen genutzten Programme.

Ein weiterer wichtiger Aspekt ist die Datensicherung: 

• Stellen Sie sicher, dass alle wichtigen Daten regelmäßig gesichert und im Notfall schnell wiederhergestellt werden können. 
• Implementieren Sie zum Beispiel ein robustes Backup-System, das sowohl lokale als auch Cloud-basierte Backups umfasst.

In einem Notfall sind externe Sicherheitsdienstleister einzubeziehen. Gängige Dienstleister sind zum Beispiel IT-Sicherheitsdienstleister oder IT-Forensiker. Unternehmen sollten im Vorfeld deren Expertise, Erfahrung und Zertifizierungen sorgfältig prüfen oder prüfen lassen:

• Es ist ratsam, Referenzen einzuholen und zu überprüfen, ob der jeweilige Dienstleister Erfahrung im Bereich der Cybersicherheit und im speziellen Kontext Ihres Unternehmens hat.
• Erörtern Sie mit Ihren IT-Dienstleistern, bei welchen IT-Zwischenfällen Sie Unterstützung bieten können, wie beispielsweise bei DDoS-Angriffen, Ransomware, Online-Betrug oder Hacking der Webseite.

Die Auswahl eines externen Dienstleisters sollte nicht nur auf deren technischen oder juristischen Fähigkeiten basieren. Wichtig ist auch die Qualität der Zusammenarbeit und die Festlegung gemeinsamer Ziele. Achten Sie zum Beispiel darauf, dass der Dienstleister transparent in seiner Kommunikation ist und regelmäßige Updates zum Status der Arbeiten gibt.

Das Managen von Sicherheitsvorfällen ist eine komplexe Aufgabe, die eine gut koordinierte Reaktion von verschiedenen Abteilungen erfordert. Mit der richtigen Vorbereitung und den richtigen Ressourcen, einschließlich eines kompetenten Datenschutzbeauftragten und Informationssicherheitsbeauftragten, können Unternehmen jedoch effektiv auf Cyberangriffe reagieren und den Schaden minimieren.

Sie haben offene Fragen zum Thema Datenschutz oder Cybersicherheit? Unser Team unterstützt Sie gerne umfassend in diesen Bereichen und berät Sie mit juristischer sowie technischer Fachkompetenz in Ihrem individuellen Fall. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit unseren Experten.

Bildquelle: Pexels.com - Foto von Andrea Piacquadio: https://www.pexels.com/de-de/foto/frau-im-weissen-langarmhemd-unter-verwendung-des-silbernen-laptop-computers-3784324/