Einen Cyber-Angriff entdecken

Die Cyber-Kriminalität nimmt ständig zu, nicht zuletzt seit Beginn des Krieges zwischen Russland und Ukraine. Die Angriffe werden immer ausgeklügelter, die Technik der Angreifer dabei und die Vorgehensweisen entwickeln sich weiter. Um betroffene Personen, Unternehmen und aber auch die Behörden- bzw. Geschäftstätigkeit und Geschäftsgeheimnisse zu schützen, ist es daher wichtig, dass verantwortliche Stellen Prozesse implementieren, um einen Cyber-Angriff entdecken zu können, möglichst noch, bevor er erfolgreich ist. Was hat dies nun mit dem Datenschutz zu tun? Dies erklären wir in diesem Beitrag und auch, welche möglichen Maßnahmen ein Verantwortlicher ergreifen kann.

Cyber-Angriffe

Es gibt verschiedene Arten von Cyber-Angriffen. – Ein paar solcher haben wir in diesem Beitrag erklärt. – Teils zielen sie darauf ab, einem Unternehmen oder einer Einrichtung Schaden zuzufügen, ohne einen Vorteil daraus zu erhalten. Noch immer sind Angriffe für Cyber-Kriminelle aber lukrativ – es spielt also oftmals auch die Aussicht auf Profit eine Rolle. Der besagte Profit ergibt sich dabei wahrscheinlich entweder aus dem Verkauf der erbeuteten Daten oder/und aus Lösegeldzahlungen der Verantwortlichen, die ihre IT-Systeme wieder entschlüsseln und Zugriff auf ihre Daten zurückerhalten möchten.

Vorbeugen und Abwehr von Cyber-Angriffen

Mindestens zwei Dinge begünstigen einen erfolgreichen Cyber-Angriff: eine Schwachstelle und ein Angriff, den das Opfer erst bemerkt, wenn es zu spät ist. Schwachstellen gibt es leider immer. – Man denke dabei nur an das berühmte Beispiel des Menschen selbst als Schwachstelle. – Das heißt allerdings nicht, dass ein Verantwortlicher Cyber-Kriminellen komplett hilflos gegenübersteht. Er kann organisatorische Maßnahmen zur Vorbeugung eines und zum Schutz bei einem laufenden Angriff implementieren. Die geläufigste Maßnahme dabei ist die Sensibilisierung der Beschäftigten auf die vielfältigen Angriffstaktiken von Cyber-Kriminellen. Es gibt aber auch zusätzliche technische Maßnahmen, deren Implementation wir empfehlen. Im Folgenden nennen wir ein paar Beispiele und erläutern kurz, wie sie helfen können, einen Angriff möglichst frühzeitig zu erkennen.

Protokollierung der Anmeldungen

Wir empfehlen Verantwortlichen, System-Anmeldungen zu protokollieren. Dabei sollten nicht nur die erfolgreichen Anmeldungen protokolliert werden, sondern auch die Versuche. Eine Überlegung hierbei wäre, die Anzahl der möglichen Anmeldeversuche auf drei zu begrenzen. So lässt sich dann erkennen, wenn beispielsweise ein Brute-Force-Angriff stattfindet. Des Weiteren lässt sich dann natürlich allgemein nachvollziehen, ob eventuell eine unbefugte Person es geschafft hat, sich selbst System-Zugang zu verschaffen und sich mit einem unbekannten Profil anmeldet.

Beobachtung der Netzwerkaktivitäten

Cyber-Kriminelle bereiten einen Angriff mitunter dadurch vor, indem sie im Netzwerk auskundschaften, wer beispielsweise welche Rechte hat. So gelangen sie dann eventuell an Nutzernamen und Passwörter, um diese für zukünftige Systemzugriffe zu nutzen oder erstellen für sich selbst ein Nutzerkonto. Folglich ist es hilfreich, die Netzwerkaktivitäten zu loggen und regelmäßig auf verdächtige Vorgänge zu prüfen.

End-Point-Schutz

End-Points bzw. Endpunkte sind in der IT die Verbindungen zwischen Netzwerken, Servern und IT-Geräten. Auch hier empfiehlt sich die Installation einer entsprechenden Schutzvorrichtung, also eines End-Point-Schutzes. So wird es Angreifern erschwert, wenn nicht sogar verwehrt, überhaupt von außen auf den Server zugreifen zu können.

Weitere Maßnahmen

Die Notwendigkeit der Einführung von weiteren Systemen zur Angriffserkennung ist zu prüfen (§ 8a Abs. 1a BSIG). Dabei sind folgende nicht zu vergessen: Intrusion-Detection-Systeme, Viren-Scanner, Firewalls, Datenanonymisierung und -pseudonymisierung, eine möglichst geringe Menge an verarbeiteten Daten, getrennte Aufbewahrung von Passwörtern und Zugangs-Codes zu den Backup-Systemen.

Pflicht, Schutzmaßnahmen zu ergreifen

Es sollte allerdings nicht nur im eigenen Geschäftsinteresse liegen sollte, sich vor Cyber-Angriffen zu schützen. Demnach hat jeder Verantwortliche die gesetzliche Pflicht, nach dem Stand der Technik geeignete und angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und zu dokumentieren. Dies ergibt sich aus Art. 5 Abs. 1 lit. f) DSGVO i. V. m. Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 2 DSGVO, Art. 25 Abs. 1 DSGVO und Art. 32 DSGVO. Auch hier kann eine Missachtung oder nicht ausreichende Absicherung der Daten nach Art. 83 Abs. 2 lit. d) DSGVO als Bußgeld erhöhender Umstand ins Gewicht fallen oder sogar selbst ein Bußgeld auslösen (Art. 83 Abs. 4 lit. a) DSGVO).

Weitere Vorgaben der DSGVO

Dabei unterstützen u. a. die oben genannten Maßnahmen. Sie reichen allerdings nicht aus für einen umfassenden Schutz, sodass unbedingt weitere Maßnahmen für einen möglichst umfassenden Schutz zu ergreifen sind. Dabei ist nicht zu vergessen: die Dokumentation hierzu. Denn diese hilft dem Verantwortlichen nicht nur einen Überblick über den vorhandenen Schutzgrad zu behalten, sondern auch etwaigen Nachweispflichten nach Art. 5 Abs. 2 DSGVO nachzukommen. Daraus ergibt sich, dass die Liste der technischen und organisatorischen Maßnahmen aktuell zu halten ist. Bei Einbindung externer Dienstleister ist ggf. der Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 Abs. 3 DSGVO vonnöten. Des Weiteren ist das Verzeichnis von Verarbeitungstätigkeiten entsprechend zu ergänzen, falls im Zuge der jeweiligen Schutz- oder Abwehrmaßnahme personenbezogene Daten verarbeitet werden. Wichtig dabei ist auch Lösch- und Berechtigungskonzept – schließlich ist es auch hier nicht nötig, dass jeder Beschäftigte die relevanten Daten einsehen kann. Als Maßnahme zählen auch die Richtlinien, sodass alle Beschäftigten wissen, was in welcher Situation – wenn also beispielsweise ein Verdacht eines Cyber-Angriffes vorliegt – zu unternehmen ist. Abschließend sind die genannten Dokumente nicht zwangsläufig.

Notfallplan

Schließlich bedarf es eines Notfallplanes, um zu regeln, wie mit entdeckten Cyber-Angriffen umzugehen ist. Das beginnt mit der Abwehr oder Eingrenzung, der Aufklärung der Ursachen, der Umsetzung von Verbesserungsmaßnahmen bis hin zur datenschutzrechtlichen Bewertung. Hier ist ggf. mit dem Datenschutzbeauftragten abzuwägen, ob ein Datenschutzvorfall vorliegt, worüber der Verantwortliche die Datenschutzaufsichtsbehörde informieren muss (Art. 33 DSGVO). Bei der Prüfung ergibt sich womöglich dann, dass ein schwerwiegender Datenschutzvorfall vorliegt und die betroffenen Personen umgehend darüber aufzuklären sind (Art. 34 DSGVO).

Fazit

Die IT-Sicherheit und der Datenschutz liegen nah beieinander. Demzufolge lässt sich nicht vermeiden, dass ein Verantwortlicher sich auch mit der technischen Seite des Datenschutzes befassen muss. Dabei können wir Sie als externe Datenschutzbeauftragte unterstützen und beraten. Kontaktieren Sie uns für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.