Falls der Ernstfall eintritt: Was im Fall von Cybercrime zu tun ist

Viele Unternehmen haben angesichts der cyberkriminellen Bedrohungsszenarien große Sicherheitsbedenken. Sie sind sich ihrer Verantwortung durchaus bewusst, doch manchmal mit der Aufgabe, für Datenschutz und Datensicherheit zu sorgen, überfordert. Unzählige technische und rechtliche Vorgaben sind zu beachten und stellen oftmals auch einen entscheidenden Kostenfaktor dar.  Doch jede große Aufgabe lässt sich bekanntlich am besten bewältigen, indem man sie in kleinere Bereiche unterteilt. Und der erste Schritt im Bereich der IT-Sicherheit ist es, eine für diese Themen verantwortliche Person im Unternehmen zu bestimmen. Damit ist ein wichtiger Schritt getan.

Um für den Ernstfall gewappnet zu sein, ist es wichtig, sich frühzeitig über mögliche Schadenszenarien Gedanken zu machen. Das ist nicht ganz einfach, doch ist es hilfreich zu wissen, welche Daten ein Unternehmen überhaupt hat und wo diese Daten gespeichert sind.  Daten können in den unterschiedlichsten Formen elektronisch gespeichert und verarbeitet werden. So beispielsweise in Mitarbeiterverzeichnissen, Kundendatenbanken, elektronischen Fahrtenbüchern, Veranstaltungsnewslettern, Lieferantenlisten, automatisierten Analysen des Onlineverhaltens der Kunden, mobilen Devices wie Smartphones, Tablets oder digitalen Fotoapparaten, um nur einige zu nennen.

Zentrale Aufgabenstellungen im Bereich der Cybersicherheit stellen darüber hinaus die Frühwarnung und Schaffung eines IT-Sicherheitsbewusstseins bei  Mitarbeitern dar. Neben der Anforderung, dass die verwendeten IT-Systeme dem aktuellen Stand der Technik entsprechen müssen, ergibt sich eine grobe Abschätzung des potenziellen Schadensausmaßes bzw. der darüber hinaus gehenden Bedrohungslage durch die Branchenzuordnung des Unternehmens. Als besonders wahrscheinliche Angriffsziele für externe Cyberangriffe gelten Unternehmen der Medizinbranche, Banken und Versicherungen, sowie Unternehmen, die über große Sammlungen von Daten verfügen.

Risikoanalyse

Im Mittelpunkt einer vorsorgenden Risikoanalyse steht die Kernfrage, ob ein Verarbeitungsvorgang mit Hilfe von IT-Systemen ein Risiko für betroffene Personen oder wichtige Daten birgt. Hier ist stets zu unterscheiden, ob Daten einen Personenbezug haben und damit zum Gegenstand des Datenschutzrechts werden, oder nicht. Anonymisierte Daten unterliegen nämlich nicht dem Datenschutzrecht. Was allerdings nicht bedeutet, dass Daten ohne Personenbezug, wie etwa immaterielle Güter (beispielsweise Forschungsergebnisse, Firmengeheimnisse, Bilanzen oder Patente), für ein Unternehmen nicht von außergewöhnlicher Bedeutung sein können und geschützt werden müssen.
Die datenschutzrechtliche Risikoanalyse hat die Aufgabe festzustellen, wie die Auswirkungen einer beabsichtigten Datenverarbeitung auf die Rechte und Freiheiten einer betroffenen Person zu bewerten sind. Der Datenschutz befasst sich –  wie erwähnt – mit personenbezogenen Daten und dabei gelten sensible Daten als besonders schutzwürdig. Dabei handelt es sich um Daten, die sich beispielsweise auf die Gesundheit, das Religionsbekenntnis oder die sexuelle Orientierung eines Menschen beziehen, denn diese Daten berühren die private Sphäre eines Menschen ganz besonders. Für diese Daten sehen auch die Rechtsnormen besonderen Schutz vor, etwa dass für bestimmte Datenverarbeitungen eine ausdrückliche Zustimmung der betroffenen Personen vorliegen muss, die vom Unternehmen gegenüber einer Aufsichtsbehörde auch nachgewiesen werden muss.

Schon diese Beispiele zeigen, wie wichtig hier ein strukturiertes und gut organsiertes Vorgehen ist.

Das  Instrument der Risikoanalyse im Datenschutz diente von jeher dazu, bereits vor der technischen Realisierung eines Systems oder einer Datenanwendung spezifische Risiken für die Rechte und Freiheiten der Betroffenen abzuschätzen. Es ist auch hilfreich, eine entsprechende Schutzbedarfsfeststellung durchzuführen.

Hierfür muss das Unternehmen folgende Fragen beantworten:

Welche Verfahren und welche zu verarbeitenden Informationen werden betrachtet?
Wie hoch ist der Schutzbedarf zu bewerten?
Welche Objekte werden bedroht?
Welchen Bedrohungen sind die Objekte ausgesetzt?

In Folge sind Schutzbedarf und ermittelte Bedrohung zusammenzuführen, damit die Eintrittswahrscheinlichkeit möglicher Schäden eruiert werden kann.

Folgende Fragen müssen beantwortet werden:

Wie hoch ist der mögliche Schaden, der bei den einzelnen Objekten auftreten kann?
Wie hoch ist die Wahrscheinlichkeit, dass eine bestimmte Bedrohung eintritt?

Um eine Annäherung an diese Frage zu finden, sind folgende Kriterien zu berücksichtigen:

Was ist der Nutzen des Angreifers?
Welcher Aufwand ist nötig, damit der Angreifer sein Ziel erreicht?
Welche Kenntnisse benötigt ein Angreifer, um ins System einzudringen?
Welcher Gefahr setzt sich ein Angreifer aus?
Welche Schwere der Sanktion hat er zu befürchten?
Wie sieht die Häufigkeit der Angriffsmöglichkeit aus, etwa im Bereich der Datenübertragung?
Wie ist es um die Zugänglichkeit der einzelnen Komponenten bestellt?
Wie hoch ist die Anzahl der Personen, die Zugang zu einem bestimmten Verfahren haben?

Schutzmaßnahmen treffen

In einem letzten Schritt kommt es schließlich zur Anwendung von geeigneten Schutzmaßnahmen. Werden beispielsweise sehr hohe oder sogar untragbare Risiken identifiziert, müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um diese zu beseitigen oder einzudämmen. Zu derartigen Maßnahmen zählen beispielweise die Minimierung von Datenbeständen, Anonymisierungen oder Pseudonymisierungen von Daten, oder bestimmte Sicherheitsvorkehrungen und Verhaltensregeln in Betrieben. Natürlich können diese Maßnahmen nur dann funktionieren, wenn sie mit den bestehenden Regeln und Betriebsvereinbarungen, sowie den Rechtsnormen im Einklang stehen. Es darf zudem nicht unterschätzt werden, dass personalbezogene Maßnahmen, wie etwa die Aktzeptanz der Nutzer unter Berücksichtigung ihrer Qualifikationen und auch Arbeitsbedingungen eine wichtige Rolle für die Effizienz derartiger Maßnahmen spielen.

WENN DER ERNSTFALL EINTRITT: Was ist zu tun?

Wenn ein Unternehmen also feststellt, dass es zu einem Abfluss von Daten gekommen ist, das der Worst Case für jedes Unternehmen. Im Fall einer Datenpanne ist es für jedes Unternehmen überlebensnotwendig, klare Regeln für den Ernstfall zu besitzen, denn jeder Datenmissbrauch stellt eine massive Krisensituation für jedes Unternehmen dar.

Für die Konzeption von Sicherheitskonzepten sind folgende Fragen von der Unternehmensorganisation zu stellen, damit bereits im Vorfeld präventiv entsprechende Vorsorgekonzepte entwickelt werden können:

Was ist bei einer Datenpanne zu tun?
Wie groß ist das Schadensausmaß?
Welche technischen (Sicherheits)maßnahmen sind zu setzen?
Welche rechtlichen Schritte sind zu ergreifen?
Wer ist zu informieren? (Data-Breach-Notification: Informationspflicht bei Datenmissbrauch an entsprechende Aufsichtsbehörden)
Wer weiß bis dato über den Vorfall Bescheid?
Ist es notwendig, zum aktuellen Zeitpunkt die Öffentlichkeit zu informieren?

Wenn ja:
Wer wird informiert?
Wie und in welcher Form werden die Medien informiert?
Wie werden die Mitarbeiter informiert?
Wie werden die Kunden, Lieferanten und Dienstleister informiert bzw. kontaktiert?

Wenn nein:
Wann ist der geeignete Zeitpunkt, die Informationsmaßnahmen in die Wege zu leiten?
Welche Maßnahmen sind für den Fall eines ungeplanten Bekanntwerdens vorzubereiten?

Faktor Mensch

Zu guter Letzt ist noch eine Frage bewusst zu stellen: Was bedeutet der „Faktor Mensch“ im Zusammenhang mit IT-Systemen in unserem Unternehmen? Wie sich in unserem Buch „Der unsichtbare Feind“ sehr plastisch zeigen ließ, sind die meisten Bedrohungen im Bereich des Cybercrime immer noch mit mangelndem IT-Sicherheits-Bewusstsein der Menschen im Bereich des Identitätsdiebstahls und des Human Hacking zu finden.

Nach wie vor bieten menschliche Emotionen oder Unachsamkeiten die häufigsten Eintrittstore für Cyberkriminelle. Hier geht es daher um Bewusstseinsbildung und um das Erkennen der neuen Rahmenbedingungen, die durch die Komplexität neuer Netz-Infrastrukturen entstanden sind. Es gilt daher, neben technischen Vorkehrungen wie Penetration Testing, Informationssicherheit, sichererer Softwareentwicklung, Sicherheitsüberprüfungen von Produkten und Software auch das eigene Sicherheitsbewusstsein und das der Mitarbeiter zu trainieren. Dazu sollten geeignete Simulationen und Tests durchgeführt werden.

 

 

Autoren: Martin Zechner/Elisabeth Hödl

Elisabeth Hödl ist  Gastautorin bei krisenkompass.at. Sie ist promovierte Juristin, Spezialistin für IT-Recht, Zukunftsfragen und Digitalstrategien. Elisabeth Hödl referiert dazu auf nationalen und internationalen Kongressen und publiziert in Fachmedien. Ihre Spezialisierung gilt der Frage, wie sich Digitalisierung und technische Innovationen auf Recht und Organisationen auswirken. Sie ist Lektorin für Datenschutzrecht an der FH Joanneum (Graz) und bei der Styria Media Group AG tätig. Als Herausgeberin des Blogs ubifacts.org, befasst sie sich mit Strömungen der Digitalgesellschaft.

Martin Zechner wirkte im Rahmen seiner Berufslaufbahn bei mehr als 250 nationalen wie internationalen Krisen- und Risikoprojekten sämtlicher Komplexitätsgrade mit und trägt die redaktionelle Verantwortung für krisenkompass.at. Er erlangte in den USA (CSUEB) einen Master der Betriebswirtschaft, lehrt am Institut für Wirtschafts- und Betriebswissenschaften an der Montanuniversität Leoben und ist zertifizierter psychosozialer Krisen- und Traumaberater (Sigmund Freud Privatuniversität).

Kommentar schreiben