Wenn der Alarm losgeht: Die 9 wichtige Schritte nach einer Datenpanne

Es wird oft gesagt, dass Datenschutzverletzungen nicht mehr eine Frage des „ob“, sondern nur noch des „wann“ sind – Folgendes sollte Ihr Unternehmen in diesem Fall tun oder vermeiden.

Weltweit kosten Datenschutzverletzungen heute mehr als 4.2 Millionen US-Dollar, und dies pro Vorfall. Diese Vorfälle passieren zurzeit in einem noch nie dagewesenen Ausmass, während Unternehmen ihre digitale Infrastruktur ausbauen – und unwissentlich die Angriffsfläche des Unternehmens erweitern.

In den USA zum Beispiel überstieg die Zahl der gemeldeten Datenschutzverletzungen bis zum dritten Quartal 2021 bereits die Zahl für das gesamte Jahr 2020. Es dauert noch immer viel zu lange, bis ein durchschnittliches Unternehmen eine Datenschutzverletzung findet und eindämmt – heute sind es ungefähr 287 Tage. In dieser Zeit, wo eine Verletzung unentdeckt bleibt, können potenzielle Angreifer in aller Ruhe auf die Daten zugreifen.

Doch was passiert als nächstes, wenn der Alarm ausgelöst wird? Die momentane Omnipräsenz von Ransomware wird nicht dazu führen, dass es weniger Vorfälle gibt.

Hier ein kurzer Überblick, was Sie nach einer Sicherheitsverletzung tun oder besser vermeiden sollten.

Ruhig bleiben

Eine Datenschutzverletzung ist wahrscheinlich eine der stressigsten Situationen, in der sich Ihr Unternehmen jemals befindet, insbesondere wenn der Vorfall von Ransomware-Akteuren verursacht wurde, die ihre Daten verschlüsselt haben und nun nach einer Zahlung verlangen. Allerdings können reflexartige Reaktionen mehr schaden als nützen. Während es natürlich wichtig ist, das Geschäft wieder in Betrieb zu nehmen, ist methodisches Arbeiten entscheidend. Sie müssen den «Incident Response Plan» durchgehen und zuerst den Umfang erfassen, bevor Sie grössere Schritte unternehmen.

Den Incident Response Plan befolgen

Da es sich nicht mehr um „wann“, sondern um „wenn“ handelt, bis Ihr Unternehmen Opfer eines Vorfalls wird, ist es elementar einen Incident Response Plan zu haben, dies gilt als absolute Best Practice für die Cybersicherheit.

Wenn ein schwerwiegender Verstoss festgestellt wird, sollte ein vorab definiertes Incident-Response-Team mit Stakeholdern aus dem gesamten Unternehmen die Prozesse Schritt für Schritt abarbeiten. Es ist eine gute Idee, solche Pläne regelmässig zu testen, damit alle vorbereitet sind und das Dokument selbst auf dem neuesten Stand ist.

Bewerten Sie den Umfang des Vorfalls

Einer der ersten kritischen Schritte nach einem grösseren Sicherheitsvorfall besteht darin, zu verstehen, wie stark das Unternehmen betroffen ist. Diese Informationen dienen als Grundlage für nachfolgende Aktionen wie Benachrichtigungen und Abhilfemassnahmen. Im Idealfall müssen Sie wissen, wie die Angreifer eingedrungen sind und was der „Radius“ des Angriffs ist – welche Systeme sie angefasst haben, welche Daten kompromittiert wurden und ob sie sich noch im Netzwerk befinden.

Rechtliche Abhängigkeiten

Nach einem Vorfall müssen Sie wissen, wo das Unternehmen steht.

Welche Verbindlichkeiten haben Sie? Müssen Aufsichts- / Regulierungsbehörden informiert werden? Wann sollten Kunden und/oder Partner informiert werden?

Sofern Sie über eine interne Rechtsberatung verfügen wäre das die erste Option. Ansonsten ist es sinnvoll externe Rechtsberatung hinzuzuziehen, um hier in möglichst wenig rechtliche Falltüren zu geraten. Möglicherweise wäre es auch ein guter Zeitpunkt, um einen Experten im Bereich der Informationssicherheit hinzuziehen.

Informieren Sie die Strafverfolgungsbehörden

Was auch immer mit Regulierungsbehörde passiert, Sie müssen die Strafverfolgungsbehörden mit ins Boot nehmen, insbesondere wenn sich noch Angreifer in Ihrem Netzwerk befinden. Es ist sinnvoll, diese Behörde so schnell wie möglich an Bord zu holen. Im Fall von Ransomware können diese beispielsweise in der Lage sein, Sie mit wichtigen Informationen oder der vorhandenen Erfahrung zu unterstützen.

Informieren Sie Ihre Kunden, Partner und Mitarbeiter

Dies ist ein weiterer No-Brainer auf der Post-Breach-Liste. Die Anzahl der Kunden/Mitarbeiter/Partner, die Sie informieren müssen, was Sie ihnen wann mitteilen müssen, hängt jedoch auch hier von den Details des Vorfalls und dem Diebstahl ab. Ziehen Sie in Erwägung, zunächst eine oberflächliche Erklärung zu veröffentlichen, die besagt, dass dem Unternehmen ein Vorfall bekannt ist und derzeit untersucht wird. Aber Gerüchte gedeihen schnell, also müssen Sie bald mit weiteren Details kommunizieren. IT-, PR- und Rechtsteams sollten dabei eng zusammenarbeiten.

Beginnen Sie mit der Wiederherstellung und Behebung

Sobald der Umfang des Angriffs klar ist und das Incident-Responder Team sich sicher ist, dass die Bedrohungsakteure keinen Zugriff mehr haben, ist es an der Zeit, die Dinge wieder in Gang zu bringen. Dies kann bedeuten, Systeme aus Backups wiederherzustellen, kompromittierte Server neu zu erstellen, betroffene Endpunkte zu patchen und Passwörter zurückzusetzen.

Beginnen Sie mit dem Aufbau von Widerstandsfähigkeit für zukünftige Angriffe

Angreifer teilen oft ihr Wissen über die Cyberkriminalität im Untergrund. Sie kehren auch immer häufiger zurück, um Opfer zu kompromittieren – insbesondere mit Ransomware. Daher ist es wichtiger denn je, dass Sie die Informationen aus Bedrohungserkennung und

-reaktion verwenden, um sicherzustellen, dass die Schwachstelle, die Ihre Angreifer das erste Mal genutzt haben, bei zukünftigen Angriffen nicht erneut ausgenutzt werden kann. Dies könnten Verbesserungen beim Patch- und Passwort-Management, bessere Schulungen zum Sicherheitsbewusstsein, die Implementierung von Multi-Faktor-Authentifizierung (MFA) oder komplexere Änderungen an Personen, Prozessen und Technologie sein.

Aus den Vorfällen und der Reaktion anderer lernen

Das letzte Stück des Puzzles zur Reaktion auf Vorfälle besteht darin, aus der Erfahrung zu lernen. Ein Teil davon ist der Aufbau von Resilienz für die Zukunft, wie oben beschrieben. Sie können aber auch am Beispiel anderer lernen. Die Geschichte von Datenschutzverletzungen ist übersät mit hochkarätigen Fällen schlechter Reaktion auf Vorfälle.

Letztes Wort

Was auch immer passiert, eine gute Vorbereitung kann Sie nicht vor einem erfolgreichen Angriff schützen, doch er kann das Ausmass drastisch reduzieren und mit einem guten Incident Response Plan zu einer überlegten Reaktion führen. Ihre Reaktion entscheidet am Schluss darüber, ob das Unternehmen mit einem blauen Auge davon kommt oder nicht. Je nach dem ist der finanzielle Schaden wie auch der Reputationsschaden so enorm, dass sich Ihr Unternehmen nicht mehr davon erholen wird.

Hat Ihre Unternehmen schon einen Incident Response Plan? Nein, dann ist es aller höchste Zeit dies zu ändern! Wissen Ihre Mitarbeiter über die aktuellen Angriffsvektoren Bescheid? Das ist für Ihre Informationssicherheit zentral, wenn Ihre Mitarbeiter in diesem Bereich noch nicht geschult wurden, dann ist das höchst gefährlich.

Die Security-Consultants von optimus amicus unterstützen Sie gerne bei der Ausarbeitung eines Incident Respose Plan. Gerne schulen wir auch Ihre Mitarbeiter, damit diese mit einem sicheren Umgang der Informationen vertraut sind. Gerne helfen wir Ihnen dabei, dass Sie zu dem Zeitpunkt, wenn es auch Ihr Unternehmen betrifft, richtig darauf reagieren und mit einem "blauen Auge" davon kommen.