Eine neue Managementdisziplin ist geboren. Im Steuerungskanon der Unternehmensleitung ist zunehmend die Fähigkeit gefordert, mit Verletzungen der Informationssicherheit und insbesondere Cyberangriffen umzugehen. Prävention lautet das Stichwort, um Attacken zu überstehen.
Damit eines von Beginn an klar ist: Jedes Unternehmen ist entweder schon Opfer eines Angriffs geworden, ist gerade in diesem Moment Opfer oder wird es in Zukunft sein. Zu denken, dass es das eigene Unternehmen wahrscheinlich nicht treffen wird und wenn, dass die Auswirkungen dann nur minimal sein werden, ist in zweifacher Hinsicht falsch. Selbst bei erster in Augenscheinnahme vermeintlich kleiner oder unbedeutender Angriffe in vielleicht entlegene Bereiche des Unternehmens (kleiner Standort mit für den Kernbetrieb unwesentlichen Anwendungen) können sich diese rasant zu einer enormen Sicherheitsbedrohung auswachsen. Fast jeder Vorfall ist ein Datenschutzvorfall, der, falsch oder unzureichend beachtet, Vermögens- und Reputationsschäden, empfindliche Bußgelder oder Schadenersatzansprüche nach sich ziehen kann.
Gefährdungspotenziale
Die einzelnen IT-Systeme und mit ihren die gesamte IT haben sich über die letzten Jahre zu einer Komplexität enormen Ausmaßes entwickelt. Diese erfordert eine Kompetenzbreite und Kapazität im eigenen Unternehmen oder auch bei den Dienstleisterinnen und Dienstleistern, die zunehmend nicht gegeben sind. Derzeit ist nicht erkennbar, dass sich durch die zunehmende Digitalisierung diese Komplexität verringern wird. Das Gegenteil ist der Fall. Durch die zunehmende Auslagerung und Kollaboration mit Geschäftspartnern, Dienstleistern und Kooperationspartnern holt man sich deren Sicherheitslücken noch in den eigenen Verantwortungsbereich. IT-Systeme stehen zudem seit Jahren unter einem Preiskampf, der zulasten der Sicherheit geht. Das Mantra, dass IT-Kosten gesenkt werden müssen, beförderte unreife Software, billige Hardware mit fehlenden Sicherheitsfunktionen oder -Updates und in Fortfolge chronisch unterbesetzte IT-Abteilungen. Außerdem hat sich das organisierte Verbrechen in den letzten Jahren gleichermaßen digitalisiert und betreibt hoch professionelle Modelle der Zusammenarbeit. Heute kann man sich über Plattformen Schadsoftware zur Datenverschlüsselung (Ransomware) mieten und teilt sich partnerschaftlich den Erpressungserlös unter allen Beteiligten, und das nahezu risikolos. Im Darknet werden – ständig wachsend – umfassende Datenbestände gesammelt und gut aufbereitet zum Verkauf angeboten. Darunter sind Firmen-Accounts zur Anmeldung, persönliche Informationen zum Profil einer Person (Personalausweisdaten, gewöhnliche Standorte, Arbeitszeiten oder Sozialversicherungsdaten), persönliche Logins in diversen Shop-Systemen bis hin zu Bank-Accounts. Diese Datenbestände sind ideal, um organisatorische oder technische Sicherheitssysteme auszuhebeln. Daher lässt sich festhalten, dass das Management eines Unternehmens zunehmend Kompetenz in der Steuerung und Überwachung von IT insgesamt und besonders in der damit zusammenhängenden Informationssicherheit sowie im Datenschutz benötigt. Leider gibt es hier ebenso Handlungsbedarf wie aufseiten der IT. Wie so oft liegt die Lösung dann in der Prävention, also einer guten Vorbereitung auf einen entsprechenden Vorfall. Damit die Ausführungen nicht zu trocken ausfallen, werden die Bestandteile präventiver Maßnahmen und deren Nutzen an dem typischen Verlauf eines Angriffs aufgezeigt.
Einfallstore und Schutzmechanismen
Ein Angreifer hat sich über das Internet Zugang zu einem Endgerät im Unternehmensnetzwerk verschafft. Die Endgeräte, beispielsweise ein Server oder eine Videoüberwachungskamera, sind unzureichend abgesichert und wurden bislang kaum gewartet. Schon dieser erste erfolgreiche Schritt des Angreifers offenbart eine Vielzahl von Schwächen und somit Handlungsbedarf im Unternehmen. Zum einen fehlt möglicherweise der Überblick über die Systeme, die aus dem Internet aus erreichbar sind. Das ist häufig dann der Fall, wenn Systeme unzureichend verwaltet werden und aus dem Blick der Verantwortlichen verschwinden. Ebenso kann dies der Fall sein, wenn es keine definierten und nachvollziehbaren Prozesse für Wartung oder Änderungen im Netzwerk gibt und Alt- oder Testsysteme im Unternehmensnetz aktiv bleiben, obwohl sie längst abgeschaltet sein sollten. Gerade der Wartungs- oder Änderungsprozess kann das Schutzniveau im Unternehmen erheblich beeinflussen und daher braucht es hierfür feste Regeln. Unter anderem haben sich sogenannte Informationssicherheitsmanagementsysteme, wie etwa DIN EN ISO/IEC 27001 oder ISIS12, entwickelt. Innerhalb dieser Managementsysteme werden beispielsweise das Führen der Assets und die Prozesse zur Wartung und Änderung festgelegt. Auch wenn man nicht vorhat, das Unternehmen für ein solches System zertifizieren zu lassen, so ist eine analoge Anwendung im eigenen Unternehmen immer ratsam. Zudem entlastet sich das Management rechtlich und daher sind diese Systeme zusätzlich wertvoll. Fehlt in Unternehmen ein regelmäßiger und systematischer Schwachstellentest, also das Erkennen fehlender Updates oder unsicherer Einrichtungen beziehungsweise unsicherer Funktionen, ist das ein weiteres Einfallstor. Am Markt sind verschiedene Vulnerability-Scanner verfügbar, die den kompletten IT-Bestand nach Schwachstellen absuchen können. Dies kostet natürlich Geld und erfordert zur Bedienung und Auswertung Kapazitäten. Da maschinell nicht alles getestet werden kann und der menschliche Angriff immer auch variiert, sind ergänzende manuelle Analysen von Systemen nach aktuellen Angriffsmustern, sogenannte Penetrationstests, sinnvoll. Auch diese sind oft kosten- und in jedem Fall zeitintensiv. Sollten sich Systeme teilweise in der Betreuung von Dritten befinden oder sind Teile ganz ausgelagert, stellt sich die Frage, wie das Sicherheitsniveau der Dritten und deren Fähigkeit, Sicherheit zu gewährleisten, zu beurteilen ist. Hier empfiehlt sich ganz klar der Einsatz von Cybersecurity-Rating-Systemen.
Sicherheitshinweise ernst nehmen
Der oben skizzierte Angreifer hat seinen Zugang über das Darknet verkauft. Ein weiterer Angreifer, der Käufer, nutzt diesen, loggt sich in das Unternehmensnetzwerk ein, bewegt sich weiter innerhalb des Netzwerks und installiert weitere Schadsoftware und dies an unternehmenssensiblen Stellen. Beispiele sind der Admin-Rechner oder Rechner der Unternehmensleitung, die, auch ohne eingeloggt zu sein, die Steuerung der infizierten Systeme ermöglichen. Zudem lädt der Angreifer wichtige Unternehmensinformationen herunter. Ein spezialisierter Dienstleister hätte gegebenenfalls die Verfügbarkeit von Daten im Darknet bemerkt und das Unternehmen informiert. Ebenso hätten unter Umständen die Log-Systeme die Aktivitäten des ersten Angreifers schon erkennen können. Aber spätestens bei den Aktivitäten des zweiten Akteurs hätten installierte Schutzinstrumente Alarm schlagen müssen. Oft wird einem Alarm aber aus Kapazitätsengpässen oder fehlender Kompetenz heraus nicht weiter nachgegangen. Gerade die Beurteilung, ob ein Angriff definitiv vorliegt oder es sich um einen Fehlalarm handelt, fällt ungeübten IT-Mitarbeitern häufig schwer. Hier geht wertvolle Zeit verloren, da bisher womöglich noch kein tatsächlicher, echter Schaden entstanden ist. Daher sollte bei jedem Alarm geprüft werden, ob es Spuren von Angreifern gibt und wie diese einzuschätzen sind. Es gibt in den Reihen der Sicherheitsinstrumente zwischenzeitlich entsprechende Komponenten, um erfolgreiche Angriffsmuster automatisiert erkennen zu können. Sogenannte IoC-Scanner (Indicators of Compromise) verhelfen, die Sachlage schnell zu beurteilen.
Notfallkonzept
Spätestens an diesem Punkt ist es wichtig, dass das Unternehmen auf das Schlimmste vorbereitet ist. War der Angriff so erfolgreich, dass Notfallmaßnahmen eingeleitet werden müssen, um Schlimmeres zu verhindern? Wer entscheidet, ob ein Notfall vorliegt? Wer ist zu informieren? Wer entscheidet im Notfall und wer handelt konkret? Alles Fragen, die zwingend im Vorfeld geregelt sein sollten. Eine derartige Aufbau- und Ablauforganisation im Notfall regelt ein sogenanntes Business-Continuity-Managementsystem (BCM) und darin ein explizites Notfallkonzept. Diese definierte Notfallorganisation muss regelmäßig an die Anforderungen im Unternehmen angepasst werden und deren Ablauf sollte Teil einer regelmäßigen Übung sein. Ansonsten geht bei einem konkreten Notfall wertvolle Zeit verloren.
Datenpannen
Zudem ist spätestens in diesem Stadium, wenn nicht schon die Erkenntnisse des ersten Angriffs dazu führen, definitiv von einer datenschutzrechtlich relevanten Panne auszugehen. Und das hat konkrete rechtliche Konsequenzen, da über Logfiles erkennbar ist, ob Daten und Informationen das Unternehmensnetzwerk verlassen haben. Durch die in der Datenschutz-Grundverordnung (DS-GVO) statuierte Frist von 72 Stunden haben die Verantwortlichen eine Meldung an die Aufsichtsbehörden abzugeben. Allein damit weitet sich der Angriff aus, indem die staatliche Aufsicht zwingend eingebunden werden muss und diese naturgemäß unangenehme Fragen nach dem Einsatz beziehungsweise der Implementierung von technisch und organisatorisch notwendigen Maßnahmen stellt. Dabei steckt in Bezug auf diese Meldung das Problem im Detail. Die Unternehmensleitung als Verantwortliche im Sinne der DS-GVO muss sich mit dem aus dem Angriff erwachsenden Risiko für die Rechte und Freiheiten natürlicher Personen auseinandersetzen, entsprechend handeln und das Ergebnis dokumentieren.
Fazit
Die voranstehenden Ausführungen sollten einen kurzen Einblick geben, welche Steuerungsverantwortung im Hinblick auf Cybersicherheit, aber auch Informationssicherheit und Datenschutz von der Geschäftsführung beziehungsweise Leitung eines Unternehmens in heutiger Zeit gefordert ist.
Mehr dazu
Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis, Präsenzseminar, www.datev.de/shop/73105
Der zertifizierte Datenschutzbeauftragte in der Kanzlei (TÜV), Präsenzseminar, www.datev.de/shop/78075