Kontakt

Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
Fax unter
+49 711 86040 01

Richtige Reaktion im Ernstfall – Incident Response bei Cyber-Angriffen

Fachbeiträge
Richtige Reaktion im Ernstfall – Incident Response bei Cyber-Angriffen

Angriffe auf die IT-Landschaft von Unternehmen werden immer häufiger und führen uns vor Augen, dass die IT ein verletzliches Rückgrat sowohl der öffentlichen Daseinsvorsorge als auch der Privatwirtschaft darstellt.

Prävention und Reaktion müssen Hand in Hand greifen

Vorbeugende Maßnahmen zur Verbesserung der IT-Sicherheit können das Risiko, Opfer eines Cyber-Angriffs zu werden, effektiv reduzieren. So sollte es selbstverständlich sein, ein Patch-Management-System zu implementieren, um die verwendete Software stets auf dem aktuellsten Stand zu halten. Auch das immer noch unterschätzte Einfallstor „Mitarbeiter“ sollte in regelmäßigen IT-Sicherheitsschulungen für das Thema Cyber-Sicherheit sensibilisiert werden. Ganz ausschließen lässt sich das Risiko eines Angriffs damit jedoch nicht. Da Cyber-Angriffe Unternehmen zumeist unvermittelt treffen, herrscht in vielen Unternehmen nach einem Angriff „Kopflosigkeit“. Dies gilt erfahrungsgemäß unabhängig davon, ob ein Unternehmen bereits Präventionsmaßnahmen getroffen hatte, oder nicht. Dabei gibt es unmittelbar nach einem erfolgten Angriff viele Möglichkeiten, Schäden zu begrenzen. Des Weiteren bestehen für Unternehmen oftmals behördliche Informationspflichten, deren Existenz jedoch häufig unbekannt ist. In Unkenntnis der Rechtslage gehen Unternehmen dann hohe Bußgeldrisiken ein.

Daher empfehlen wir, neben Präventionsmaßnahmen auch reaktive Maßnahmen zum Verhalten unmittelbar nach einem solchen Angriff zu treffen.

Incident Response Plan - Im Ernstfall bestmöglich reagieren

Als Vorbereitung auf den Ernstfall sollte ein sogenannter Incident Response Plan (IRP) erstellt werden. Dieser ist auf das Unternehmen individuell anzupassen und sollte gerade die rechtlichen Besonderheiten des jeweiligen Unternehmens berücksichtigen. Hierin kann ein Krisenteam benannt werden, das im Fall eines Angriffs alle Vorgänge im Zusammenhang mit dem Angriff bearbeitet bzw. koordiniert. Daneben soll dieses Team die interne Kommunikation der einzelnen Fachabteilungen mit der Unternehmensleitung kanalisieren sowie die externe Kommunikation mit Technikern, Anwälten und Versicherungen übernehmen. Auf diese Weise werden die Fachabteilungen entlastet, sodass das operative Tagesgeschäft - so gut es geht - fortgeführt werden kann.

Ein möglichst detaillierter Ablaufplan, der die nach einem Angriff erforderlichen Aktionen aufführt und die jeweils verantwortlichen Mitarbeiter benennt, hilft dabei, effektiv und effizient auf einen erfolgten Angriff zu reagieren. Dieser kann im Rahmen eines regelmäßigen „Cyber-Drills“ eingeübt und laufend verbessert werden. Sofern abzusehen ist, dass die hauseigene IT-Abteilung mit derartigen Maßnahmen überfordert ist, sollte bereits im Voraus ein externer Dienstleister identifiziert werden, der im Ernstfall rasch unterstützen kann.

Umfangreiche behördliche Meldepflichten beachten – Bußgelder vermeiden

Zwingend erforderlich kann die Meldung eines erfolgten Cyber-Angriffs an die zuständigen Aufsichtsbehörden sein. Meldepflichten gegenüber der Landesdatenschutzbehörde bestehen beispielsweise gemäß der Datenschutzgrundverordnung (DSGVO). Hier gilt es, auf der Grundlage einer rechtlichen Risikoabwägung zu entscheiden, ob bloß die Aufsichtsbehörde, oder aber auch (sämtliche) betroffenen Kunden des Unternehmens informiert werden müssen.

Unternehmen aus den Branchen Energie- und Wasserversorgung sowie Gesundheit, große Lebensmittel-Hersteller und Händler, Banken, IT-Dienstleister wie Server-Farmen und Hosting-Betreiber gelten darüber hinaus als Betreiber kritischer Infrastrukturen (KRITIS). Sie treffen daneben zusätzliche Informationspflichten aus dem BSI-Gesetz. Zahlungsdienstleister müssen Meldungen gemäß dem Zahlungsdiensteaufsichtsgesetz (ZAG) abgeben, börsennotierte Unternehmen trifft eventuell die Pflicht zu einer ad-hoc-Mitteilung.

Die rechtskonforme inhaltliche Ausgestaltung der jeweiligen Meldung und deren fristgerechte Abgabe sind von zentraler Bedeutung. Werden Meldungen verspätet, gar nicht oder nicht rechtskonform abgegeben drohen hohe Bußgelder. Daneben hat die Ausgestaltung der Meldung auch erheblichen Einfluss auf die Reputation des Unternehmens, insbesondere bei der Mitteilung an betroffene Kunden sowie bei ad-hoc-Mitteilungen.

Die Behandlung dieser Meldepflichten sollte daher im individuellen Fall gründlich abgewogen werden, um Reputationsschäden so gering wie möglich zu halten, und trotzdem alle rechtlichen Verpflichtungen zu erfüllen.

Zurück