Datenschutz-Blog der SDG

Incident Response bei Cyberangriffen

02. August 2021 von Wolfgang Sebastian Baer

Faktor Mensch

Während Hacker-Angriffe in Film und Fernsehen regelmäßig überaus dynamisch wirken und gerne laut inszeniert werden, sind die Mittel und Wege, mit denen sich Angreifer im echten Leben häufig Zugriff zu Systemen verschaffen, deutlich unspektakulärer. Sie sind dezent, in Ruhe geplant und für Betroffene (wenn sie denn stattfinden) oftmals kaum oder gar nicht zu bemerken. Neben technischen Sicherheitslücken zielen Hacker-Angriffe unter Einbeziehung von Social Engineering heutzutage häufig vor allem auf die größte Schwachstelle innerhalb eines jeden Sicherheitsnetzes ab: den Menschen.

Social Engineering

Ziel des sogenannten Social Engineerings ist die zwischenmenschliche Beeinflussung einzelner Personen, mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen – und diese dann für einen Angriff zu nutzen. Die Methoden sind vielfältig und reichen von fingierten, täuschend echt wirkenden E-Mails vermeintlicher Vorgesetzter und vertrauenserweckenden Anrufen mit der Bitte um bestimmte Informationen (beides Formen des sogenannten Phishings) über Dumpster Diving (das Analysieren nicht geschredderten Büromaterials) bis hin zum Verteilen von USB-Geräten mit Schadsoftware.

Trotz regelmäßiger Software-Updates zur Absicherung auf technischer Ebene und umfassender Schulungen zur Sensibilisierung aller Beteiligten wird es allerdings immer ein gewisses Restrisko geben. Angestellte oder Auftragsverarbeiter: früher oder später wird eine Person mit Einfluss auf die unternehmenseigene IT-Infrastruktur einen Fehler machen und im ungünstigsten Fall externen Angriffen (bspw. durch das Öffnen eines E-Mail-Anhangs) Zugriff auf firmeneigene Daten geben. Der Sicherheitsexperte Dmitri Alperovitch konstatiert hierzu:

“Etwa 30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst. Wenn Sie ein Verkäufer sind und jemand schickt Ihnen eine Angebotsabfrage, dann klicken Sie darauf. Es ist Ihr Job, das zu tun. Wenn es ein fähiger Angreifer wirklich drauf anlegt, kommt er in Ihr System. Die größte Schwachstelle ist immer der Mensch.” [1]

Auch wenn es sich dabei um ein Szenario handelt, das es primär zu vermeiden gilt, so muss man dennoch darauf vorbereitet sein; unter anderem, weil die DSGVO die Schaffung von Maßnahmenplänen und Meldekonzepten bei Datenpannen erforderlich macht.

Schadensminimierung mit Hilfe von Incident Response Management

Wie also sollte man sich als Unternehmen auf den Schadensfall vorbereiten? Um für den Ernstfall vorbereitet zu sein, lohnt es sich, einen auf das jeweilige Unternehmen, seine Strukturen und Möglichkeiten zugeschnittenen Incident Response Plan (IRP) aufzustellen. Dieser sollte folgende Punkte umfassen:

  • Festlegung eines festen Krisenteams, das im Falle eines Angriffs alle Vorgänge bearbeitet bzw. koordiniert, die interne Kommunikation steuert sowie die externe Kommunikation (bspw. mit Anwälten und Versicherungen) übernimmt
  • Etablierung eines strukturierten Maßnahmenplans, der alle nach einem Angriff erforderlichen Aktionen aufführt und die jeweils Verantwortlichen benennt
  • Konzept zur Dokumentation des Status quo unmittelbar nach dem Angriff

Gerade der letzte Punkt

“[…] erleichtert einerseits eine Liquidation des eingetretenen Schadens über eine Cyber-Versicherung sowie die eventuelle Geltendmachung von Schadenersatzansprüchen vor Gericht. Andererseits ist eine umfassende Dokumentation des Angriffs die Grundlage für die behördlichen Meldepflichten, die das Unternehmen treffen.” [2]

Reagieren und informieren - niemals ignorieren

Egal, wie der finale Maßnahmenplan im Detail aussehen mag und wodurch der Schaden entstanden ist (Technik oder Mensch): entscheidend für eine bestmögliche Eindämmung eines jeden Szenarios sind grundsätzlich zwei Punkte.

  1. Die unverzügliche Umsetzung der in der DSGVO verankerten Informationspflichten gegenüber Aufsichtsbehörden und (je nach Art und Umfang des Schadens) gegenüber betroffenen Kunden
  2. Eine effiziente und unmittelbare Reaktion und die Wahrnehmung der individuellen Verantwortung, anfangen beim Top-Management

“In den ersten 24 Stunden nach einem Angriff hat die mittlere Führungsebene die Aufgabe, sofort ihren Incident Reponse Plan [...] in Kraft zu setzen. C-Level-Führungskräfte hingegen müssen sich vor allem mit den rechtlichen Aspekten, der eigentlichen Angriffsursache sowie mit den Geschäftsauswirkungen auseinandersetzen.” [3]

Aufsichtsbehörden wissen durchdachte Krisenkonzepte und deren Anwendung auf jeden Fall sehr zu schätzen. Natürlich bleiben Prävention sowie die regelmäßige Schulung und auch Weiterbildung aller Angestellten und Führungskräfte das zentrale Instrument, um Datenschutz und Informationssicherheit zu gewährleisten. Gleichermaßen wichtig ist allerdings, dass man das Eintreten eines Schadensfalls nicht verdrängt, sondern als mögliches Szenario akzeptiert und sich verantwortungsbewusst und gewissenhaft darauf vorbereit.

Digitale Angriffe haben 2019 bei 70% aller deutschen Unternehmen einen Schaden verursacht. 2017 waren es erst 43% [4].

Eine umfassende, strukturierte und rechtssichere Vorbereitung auf den Ernstfall ist unumgänglich. Wir helfen Ihnen dabei.

Süddeutsche Datenschutzgesellschaft (SDG)
Abgesicht Mobil, in der Cloud usw.

Quellen:

[1] "Die Größte Schwachstelle ist der Mensch" - Interview mit Dmitri Alperovitch in der Süddeutschen Zeitung (20.02.2019)
[2] "Incident Response - Auf Cyberangriffe richtig reagieren" - Artikel von Dr. Carsten Ulbrich und Carlo Kunz im “Unternehmensjurist” (Ausgabe 02/2021)
[3] "Auf Cyberangriffe richtig reagieren" - Artikel von Joachim Kathman und Peter Schmitz im Security Insider (29.05.2017)
[4] "Wirtschaftsschutz in der digitalen Welt" - Präsentation von Achim Berg (Bitkom-Präsident) und Michael Niemeier (Vizepräsident des Bundesamtes für Verfassungsschutz) (06.11.2019)