HMDATA Datenschutz-Newsletter 11/22

IT-Sicherheitsvorfall: die elektronische Datenpanne

HMDATA Datenschutz-Newsletter 11/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Es sollte mittlerweile jedem klar sein: das digitale Umfeld wird aggressiver. Das liegt nicht nur an der Professionalisierung der Hacker, sondern auch an der Inkaufnahme größtmöglicher Kollateralschäden zur Erreichung minimaler Ziele, sei's von krimineller oder staatlich geduldeter Aggression ausgehend. Das Internet kennt keine Grenzen im üblichen, geografischen Sinn so dass ein Angriff im Prinzip immer weltweit durchgeführt wird, das ist einfacher als gezielt und lokal zuzuschlagen.
Die Abwehr ist aber auch kein Hexenwerk und findet immer an zwei Stellen statt: an der hauseigenen Firewall und zwischen den Ohren der Anwender - das minimiert die Eintrittswahrscheinlichkeit erfolgreicher IT-Angriffe.
Und richtig, besonders ausgeklügelte und heimtückische Angriffsszenarien wird es immer geben, auch diejenigen, die letztlich zum Erfolg für die Kriminellen führen, Risiko Null gibt es nicht. Aber auch das ist kein Beinbruch, ein gutes Backup und professioneller Umgang mit Datenpannen minimalisiert den zu erwartenden Schaden.
Incident-Management: die professionelle Reaktion auf IT-Sicherheitsvorfälle

Daraus folgt: professionelles Sicherheitsmanagement an der IT mit aktueller Firewall, Update-/Patchmanagement an allen IT-Komponenten, sinnvolles Backup, qualifizierte Mitarbeiter, aktuelle Dokumentation und - ein eingeführtes, sinnvolles Check-Up zur Erkennung und Behandlung von Datenpannen.
Nur um es nochmals klarzustellen: wir reden hier über ein Mindestmaß absoluter Selbstverständlichkeiten, deren Nichteinhaltung zwangsläufig zu unangenehmen Datenpannen führen wird. Im Zweifelsfall bitte umgehend das Gespräch mit dem IT-Verantwortlichen suchen und gemeinsam Budget, Strategie und Umsetzung diskutieren, wobei der Datenschutzbeauftragte gerne beratend zur Seite steht, bitte einfach anfragen!
Im Bewusstsein, dass das Risiko Null nicht betriebswirtschaftlich sinnvoll erreichbar ist - und im Übrigen auch von niemandem verlangt wird (s. risikobasierter Ansatz der DSGVO, Art. 25 Abs. 1 und Art. 32 Abs. 1) - ist das Eintreten einer Datenpanne also nicht ausgeschlossen.
Wenn zuvor aber risikobasiert ausreichend Prävention betrieben wurde, ist das auch kein Problem, wichtig wird hier der sichere, schnelle und professionelle Umgang mit der Datenpanne.
Zum einen weil frühe Erkennung wesentlich mehr Chancen zur Unterbrechung oder Vermeidung führt, die Schadenhöhe minimiert und vor allem auch die Tür für weitere forensische Untersuchung nicht völlig verschließt.
Das bedingt, sich präventiv vorzubereiten - also sozusagen der Erste-Hilfe-Kurs für den Datenunfall. Den Umgang regelt ein Incident-Management-Verfahren.

Was sind aktuelle Bedrohungsszenarien?

Aktuell - weil betriebswirtschaftlich aus Hackersicht am interessantesten - sind

  • Phishing: das Abgreifen von Zugangsdaten von Mitarbeitern
  • Ransomware: Verschlüsseln von Anwenderdaten mit eingeschleusten Schadprogrammen
  • Schadsoftware: Ausnutzen von Sicherheitslücken, insb. bei mangelnden oder fehlenden Updates
  • Social-Hacking: Ausnutzen von Mitarbeiternaivität zur Erlangung von Geschäftsgeheimnissen, Zugängen oder Daten
Das allgemeine Bild das Hackings, also der gezielte Angriff auf die eigene IT mit speziellem Know-How, findet so gut wie gar keine Anwendung. Ziele sind in der Regel Unternehmen, deren IT von außen erkennbare Schwachstellen aufweist und somit eine leichte Angriffsfläche bei einem hohen Maße an Aufwand und Ertrag - leichte Beute sozusagen. Wer hier keine Breitseite anbietet, wird vermutlich auch kein Opfer werden.

Was tun bei IT-Sicherheitsvorfällen?

Prävention und Schulung sind die besten Verteidigungsstrategien.

Im Schadenfall wären folgende Schritte sinnvoll:

  • Anwender: Unterbrechung der Netzwerkverbindung auf das genutzte Gerät (also Deaktivieren der WLAN-Verbindung oder einfaches Ziehen des Netzwerkkabels) falls der Angriff noch stattfindet
  • Anwender: Sofortiges (!) Informieren des IT-Sicherheitsbeauftragten / Vorgesetzten / Datenschutzbeauftragten: zur Behebung des Schadens ist das "Warum?" völlig egal, wichtig ist die Kooperation des Mitarbeiters zur Eindämmung und Abschätzung des Schadens
  • Anwender: Detaillierte Dokumentation des Schadenhergangs, Anzahl der Betroffenen, Art der Daten
  • Abstimmung der Maßnahmen zur Beendigung bzw. Eindämmung des Schadens durch die IT-Administration
  • Einschätzung der Schwere des Schadens durch den Verantwortlichen
  • Involvierung des Datenschutzbeauftragten
  • Prüfen der Meldepflicht
  • Abstimmung der Maßnahmen zur weiteren Vorgehensweise: Interne Dokumentation oder Meldung beim Landesdatenschutzamt
  • Abstimmung der Maßnahmen zur Prävention zukünftiger gleichartiger IT-Sicherheitsvorfälle
  • Mitarbeiterkommunikation
Die Erfahrung sagt, dass es zur Durchführung o.a. Schritte bei bereits eingetretenem Schaden im Rahmen der Hektik zu spät ist, wenn keine Vorbereitung im Rahmen eines Incident-Managements erfolgt ist.
Panik ist kein guter Ratgeber.

Fazit

Bitte zusammen mit allen Beteiligten wie bspw. IT-Administrator, Web-Designer, Abteilungs-/Büroleiter, Geschäftsführer Maßnahmen den aktuellen Stauts des Incident-Managements diskutieren und entsprechende Maßnahmen zur Prävention ergreifen. Als Datenschutz- und IT-Sicherheitsbeauftragter stehe ich gerne hierbei zur Moderation zur Verfügung.
Auch wäre die Beauftragung eines professionellen Penetrationstesters hilfreich, um wenigstens die eigenen Schwachstellen zu ermitteln.

©2024 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de