Reaktion auf einen Hacker-Angriff oder gezielte Cyber-Attacken

Erläuterungen unseres Notfallplans...

Wenn ein Hackerangriff (im folgenden fiktiv) auf unsere IT-Systeme oder Kunden-Systeme erfolgt sein sollte und dabei zusätzlich Auftrags- / Kundendaten gefährdet wurden, ist es wichtig, sofort zu handeln. 
Zuerst werden wir den Vorfall bei allen beteiligten Parteien melden und die zuständigen Entscheider und technischen Sachverständigen informieren.

Unsere Sofortmaßnahmen - nach einem (fiktiven) Datenleck bzw. Hacker-Angriff

Wenn ein Hackerangriff auf unsere IT-Systeme erfolgt ist, müssen wir unverzüglich handeln.

Im folgenden werden grob und kompakt die entsprechenden Abläufe, Hintergründe, DSGVO-Belange und Koordinations-Maßnahmen aufgezeigt: 

1

Sofortige Reaktion:

Wir schalten (wenn nötig und möglich) alle betroffenen Systeme sofort ab, um den Schaden zu minimieren.  

Externer Info-Link...

2

Krisenstab einrichten:

Wir rufen einen fachkundigen, internen Krisenstab zusammen, um die Situation zu koordinieren.

Externer Info-Link...

3

Eindämmung:

Wir identifizieren und isolieren den Angriff, um seine Ausbreitung zu verhindern.

 

4

Analyse undDokumentation:

Wir sammeln alle relevanten Informationen und Meldungen über den Vorfall und dokumentieren alles möglichst detailliert.

 

5

Wiederherstellung:

Wir rebooten und stellen die betroffenen Systeme und Daten wieder her und protokollieren, dass keine Schadsoftware mehr vorhanden ist.

 

6

Meldepflicht prüfen:

Wir müssen (in Absprache mit unseren Kunden) überprüfen, ob wir verpflichtet sind, den Vorfall offiziell zu melden. Weitere Details dazu enthält die DSGVO.

Daten-Meldung gemäß DSGVO...

7

Unterstützung anfordern :

Wir identifizieren und isolieren den Angriff, um seine Ausbreitung zu verhindern.

Externer Info-Link...​ 

8

Reflexion und Anpassung:

Wir identifizieren und isolieren den Angriff, um seine Ausbreitung zu verhindern.

 

9

Kontinuierliche Verbesserung:

Auch noch nach dem eigentlichen Cyber-Vorfall führen wir regelmäßige Sicherheits-Überprüfungen und Penetrations-Tests durch.

 

Cyber-Massnahmen als PDF... 

Externe Ressourcen für Ihre/unsere Recherchen zur DSGVO

Wichtiger Hinweis: Die folgenden Links zu externen Webseiten dienen ausschließlich zur allgemeinen Orientierung. Wir übernehmen keine Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der bereitgestellten Informationen.

DSGVO-Übersicht

Übersichtlich und mit Such- und Filterfunktionen 

DSGVO-Verarbeitung

Verantwortlicher und Auftragsverarbeiter

DSGVO-Meldung

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde 

DSGVO-Meldung

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen (IHK) 

DSGVO-Umsetzung

DS-GVO und ihre praktische Umsetzung - PDF der IHK

DSGVO-Verletzung

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen 

DSGVO-Wikipedia

Datenschutz-Grundverordnung (DSGVO oder DS-GVO)  nach der freien Enzyklopädie

DSGVO-EU-Seite

Eine offizielle Website der Europäischen Union EU

Praxis-Dr. Datenschutz

Benachrichtigungspflicht der Kunden bei einem Datenschutzvorfall 

Cyber-Massnahmen als PDF... 

(1) Sofortige Reaktion  und Erste Maßnahmen

  1. Erkennung und Bewertung des Vorfalls
    • Bestätigung des Vorfalls: Verifizieren Sie, dass es sich tatsächlich um einen Cyber-Angriff handelt.
    • Vorläufige Bewertung: Bestimmen Sie das Ausmaß und die Auswirkungen des Angriffs auf Ihre Systeme und Daten.
  2. Aktivierung des Incident Response Teams
    • Team-Benachrichtigung: Informieren Sie sofort alle Mitglieder des Incident Response Teams.
    • Rollenverteilung: Weisen Sie klare Verantwortlichkeiten zu, um eine koordinierte Reaktion sicherzustellen.
  3. Eindämmung des Angriffs
    • Systemtrennung: Trennen Sie betroffene Systeme vom Netzwerk, um die Ausbreitung des Angriffs zu verhindern.
    • Temporäre Maßnahmen: Implementieren Sie Sofortmaßnahmen wie das Blockieren verdächtiger IP-Adressen oder das Erhöhen der Zugangskontrollen.

(2 ) Krisenstab  einrichten

  1. Zusammenstellen des Teams
    • Vielfältige Expertise: Wählen Sie Mitglieder mit unterschiedlichen Fachkenntnissen aus IT-Sicherheit, Recht, Kommunikation und Management.
    • Rollen und Verantwortlichkeiten: Definieren Sie klare Aufgaben und Verantwortlichkeiten für jedes Mitglied des Krisenstabs.
  2. Etablierung der Kommunikationskanäle
    • Sichere Kommunikationswege: Richten Sie sichere Kommunikationsmittel wie verschlüsselte E-Mails oder gesicherte Messenger ein.
    • Regelmäßige Updates: Planen Sie regelmäßige Briefings und Updates, um alle Mitglieder des Krisenstabs auf dem neuesten Stand zu halten.
  3. Entwicklung eines Krisenplans
    • Notfallprotokolle: Erstellen Sie detaillierte Notfallprotokolle und Checklisten für verschiedene Szenarien.
    • Ressourcen und Werkzeuge: Stellen Sie sicher, dass alle notwendigen Ressourcen und Werkzeuge für den Krisenstab verfügbar sind.

(3 ) Eindämmung

  1. Betroffene Systeme isolieren
    • Netzwerktrennung: Trennen Sie die betroffenen Systeme sofort vom Netzwerk, um die Ausbreitung des Angriffs zu stoppen.
    • Sperrung von Benutzerkonten: Deaktivieren Sie kompromittierte Benutzerkonten und erhöhen Sie die Sicherheitsvorkehrungen für noch aktive Konten.
  2. Vorläufige Sicherheitsmaßnahmen einleiten
    • Blockierung verdächtiger IP-Adressen: Identifizieren und blockieren Sie verdächtige IP-Adressen, die mit dem Angriff in Verbindung stehen.
    • Erhöhte Zugangskontrollen: Implementieren Sie vorübergehend strengere Zugangskontrollen, wie Multi-Faktor-Authentifizierung (MFA), um unbefugten Zugriff zu verhindern.
  3. Schadensbegrenzung
    • Daten sichern und sichern: Sichern Sie alle kritischen Daten und erstellen Sie Backups, um Datenverlust zu vermeiden.
    • Temporäre Systemfixes: Führen Sie vorläufige Patches oder Updates ein, um bekannte Sicherheitslücken zu schließen, bis eine umfassendere Lösung implementiert werden kann.

( 4) Analyse und Dokumentation

  1. Forensische Untersuchung
    • Vorfallanalyse: Untersuchen Sie die Ursache des Angriffs, die angewandten Methoden und die betroffenen Daten.
    • Beweismittelsicherung: Sichern Sie alle relevanten Beweismittel wie Protokolldateien, Netzwerkverkehr und betroffene Dateien für eine detaillierte Analyse und mögliche rechtliche Schritte.
  2. Schwachstellenanalyse
    • Identifikation von Sicherheitslücken: Bestimmen Sie die Schwachstellen, die den Angriff ermöglicht haben.
    • Risikobewertung: Bewerten Sie das Risiko dieser Schwachstellen und priorisieren Sie die Behebung entsprechend ihrer Kritikalität.
  3. Dokumentation des Vorfalls
    • Chronologische Aufzeichnung: Erstellen Sie eine detaillierte, chronologische Dokumentation aller Ereignisse und Maßnahmen, die während des Vorfalls durchgeführt wurden.
    • Erstellung eines Vorfallberichts: Fassen Sie die Ergebnisse der Analyse und die ergriffenen Maßnahmen in einem umfassenden Vorfallbericht zusammen, der für interne Schulungen und zukünftige Referenzzwecke verwendet werden kann

(5 ) Wiederherstellung

  1. System- und Datenwiederherstellung
    • Sichere Backups verwenden: Stellen Sie die betroffenen Systeme und Daten aus zuvor erstellten sicheren Backups wieder her, um den Normalbetrieb schnellstmöglich wieder aufzunehmen.
    • Integritätsprüfung: Überprüfen Sie die Integrität der wiederhergestellten Daten und Systeme, um sicherzustellen, dass keine Schadsoftware oder beschädigten Dateien vorhanden sind.
  2. Überprüfung und Validierung
    • Funktionsprüfung: Führen Sie umfassende Tests durch, um sicherzustellen, dass alle wiederhergestellten Systeme und Anwendungen ordnungsgemäß funktionieren.
    • Sicherheitsprüfung: Stellen Sie sicher, dass alle bekannten Sicherheitslücken geschlossen wurden und keine weiteren Schwachstellen bestehen.
  3. Kommunikation und Dokumentation
    • Interne Information: Informieren Sie alle Mitarbeiter über den Abschluss der Wiederherstellungsmaßnahmen und geben Sie Anweisungen, wie weiter vorzugehen ist.
    • Berichterstattung: Dokumentieren Sie den gesamten Wiederherstellungsprozess und erstellen Sie einen Bericht, der die durchgeführten Maßnahmen und die aktuellen Systemzustände beschreibt.

(6) Meldepflicht prüfen

  1. Risikobewertung des Datenvorfalls
    • Schweregrad des Vorfalls bewerten: Bestimmen Sie, ob der Datenverlust oder der Cyber-Angriff ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
    • Betroffene Datenarten analysieren: Prüfen Sie, welche Arten von personenbezogenen Daten betroffen sind (z. B. Finanzdaten, Gesundheitsinformationen, Identitätsdaten).
  2. Relevante rechtliche Anforderungen überprüfen
    • Gesetzliche Meldepflichten identifizieren: Ermitteln Sie, welche spezifischen gesetzlichen Meldepflichten in Ihrem Land oder Ihrer Region gelten (z. B. DSGVO in der EU, BDSG in Deutschland).
    • Behördliche Anforderungen erfüllen: Stellen Sie sicher, dass alle Anforderungen der zuständigen Datenschutzbehörde, wie die Meldung innerhalb von 72 Stunden, eingehalten werden.
  3. Informationsumfang und Verantwortlichkeiten festlegen
    • Erforderliche Informationen zusammenstellen: Sammeln Sie alle notwendigen Details, die in der Meldung enthalten sein müssen, wie die Art des Vorfalls, die betroffenen Daten und die ergriffenen Maßnahmen.
    • Verantwortliche Person benennen: Bestimmen Sie, wer für die Durchführung der Meldung an die Datenschutzbehörde und die Kommunikation mit den betroffenen Personen verantwortlich ist.

(7) Unterstützung anfordern

  1. Interne Unterstützung mobilisieren
    • Kollegen und Fachabteilungen: Informieren Sie relevante Fachabteilungen und Kollegen, um schnelle interne Hilfe und Ressourcen zu mobilisieren.
    • Schlüsselpersonen benennen: Identifizieren Sie Schlüsselpersonen, die spezifische Expertise oder Verantwortung in der Krisenbewältigung haben.
  2. Externe Experten hinzuziehen
    • IT-Sicherheitsexperten: Engagieren Sie externe IT-Sicherheitsexperten oder Dienstleister, die auf die Reaktion und Bewältigung von Cyber-Angriffen spezialisiert sind.
    • Rechtliche Beratung: Ziehen Sie rechtliche Berater hinzu, um sicherzustellen, dass alle rechtlichen Anforderungen eingehalten werden und rechtliche Schritte korrekt eingeleitet werden.
  3. Behördliche Unterstützung
    • Kontaktaufnahme zu Behörden: Melden Sie den Vorfall bei den zuständigen Datenschutzbehörden und bitten Sie gegebenenfalls um Unterstützung oder Anleitung.
    • Zusammenarbeit mit Strafverfolgungsbehörden: Bei schwerwiegenden Vorfällen arbeiten Sie eng mit den Strafverfolgungsbehörden zusammen, um die Täter zu identifizieren und rechtlich zu verfolgen.

(8) Reflexion und Anpassung

  1. Erfahrungsbewertung
    • Lehren aus dem Vorfall: Analysieren Sie den gesamten Vorfall und identifizieren Sie, welche Maßnahmen gut funktioniert haben und welche verbessert werden müssen.
    • Feedback sammeln: Holen Sie Feedback von allen Beteiligten ein, um verschiedene Perspektiven und Erfahrungen zu berücksichtigen.
  2. Prozessoptimierung
    • Anpassung der Notfallpläne: Aktualisieren und optimieren Sie Ihre Notfall- und Wiederherstellungspläne basierend auf den Erkenntnissen aus der Reflexion.
    • Sicherheitsrichtlinien verbessern: Überprüfen und verstärken Sie Ihre Sicherheitsrichtlinien und -protokolle, um ähnliche Vorfälle in Zukunft zu verhindern.
  3. Technologische Verbesserungen
    • Neue Sicherheitsmaßnahmen implementieren: Evaluieren und implementieren Sie neue Technologien und Tools, die Ihre Sicherheitsinfrastruktur stärken.
    • System-Updates und Patching: Stellen Sie sicher, dass alle Systeme auf dem neuesten Stand sind und regelmäßige Sicherheitsupdates und Patches eingespielt werden.

(9) Kontinuierliche Verbesserung

  1. Regelmäßige Überprüfungen und Audits
    • Sicherheitsaudits: Führen Sie regelmäßige Sicherheitsaudits und Penetrationstests durch, um mögliche Schwachstellen zu identifizieren und zu beheben.
    • Prozessbewertungen: Überprüfen Sie regelmäßig Ihre Sicherheitsprozesse und -richtlinien, um sicherzustellen, dass sie aktuell und effektiv sind.
  2. Feedbackschleifen und Optimierungen
    • Feedbackintegration: Integrieren Sie Feedback aus Vorfällen und Übungen in Ihre Sicherheitsstrategie, um kontinuierliche Verbesserungen vorzunehmen.
    • Optimierungsmaßnahmen: Entwickeln und implementieren Sie Maßnahmen zur Optimierung Ihrer Sicherheitsinfrastruktur basierend auf den Ergebnissen der Feedbackschleifen.
  3. Einsatz von KI-gestützten Lösungen
    • KI-basierte Bedrohungserkennung: Nutzen Sie Künstliche Intelligenz, um Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.
    • Automatisierte Analyse: Implementieren Sie KI-gestützte Analysewerkzeuge, um große Mengen an Sicherheitsdaten effizient zu verarbeiten und potenzielle Schwachstellen schneller zu identifizieren.
Cyber-Massnahmen als PDF... 

Meldung eines Datenverlusts gemäß und nach Vorgaben der aktuellen DSGVO

D​ie zuständigen Behörden haben uns aus gegebenem Anlass auf verstärkte Cyberattacken von Home-Office-Infrastrukturen hingewiesen.

Zum Schutz Ihrer Daten:

  • Aktualisieren Sie Ihre Sicherheitssoftware regelmäßig.
  • Verwenden Sie starke und einzigartige Passwörter.
  • Seien Sie wachsam bei verdächtigen E-Mails und Links.
  • Sichern Sie Ihre Daten regelmäßig.

Bleiben Sie aufmerksam und schützen Sie Ihre digitalen Ressourcen!