Cyber-Angriff: Die richtige Reaktion im Ernstfall

Die Erfahrung zeigt, dass die IT-Infrastrukturen im Mittelstand aufgrund teils mangelnder bzw. vernachlässigter IT-und Datensicherheitsmaßnahmen ein besonders einfaches Ziel darstellen. In einem aktuellen Fall hat der Cyberangriff die operative Tätigkeit des Unternehmens mehrere Wochen „lahmgelegt“. Zudem wurde versucht ein „Lösegeld“ zu erpressen, um die IT gehackte IT wieder freizugeben.

Prävention und Reaktion müssen Hand in Hand greifen

Vorbeugende Maßnahmen zur Verbesserung der IT-Sicherheit können das Risiko, Opfer eines Cyber-Angriffs zu werden, effektiv reduzieren. So sollte es selbstverständlich sein, ein Patch-Management-System zu implementieren, um die verwendete Software stets auf dem aktuellsten Stand zu halten. Auch das immer noch unterschätzte Einfallstor „Mitarbeiter“ sollte in regelmäßigen IT-Sicherheitsschulungen für das Thema Cyber-Sicherheit sensibilisiert werden. Ganz ausschließen lässt sich das Risiko eines Angriffs damit jedoch nicht. Da Cyber-Angriffe Unternehmen zumeist unvermittelt treffen, herrscht in vielen Unternehmen nach einem Angriff „Kopflosigkeit“. Dies gilt erfahrungsgemäß unabhängig davon, ob ein Unternehmen bereits Präventionsmaßnahmen getroffen hatte, oder nicht. Dabei gibt es unmittelbar nach einem erfolgten Angriff viele Möglichkeiten, Schäden zu begrenzen. Des Weiteren bestehen für Unternehmen oftmals behördliche Informationspflichten, deren Existenz jedoch häufig unbekannt ist. In Unkenntnis der Rechtslage gehen Unternehmen dann hohe Bußgeldrisiken ein.

Daher empfehlen wir, neben Präventionsmaßnahmen auch reaktive Maßnahmen zum Verhalten unmittelbar nach einem solchen Angriff zu treffen.

Incident Response Plan - Im Ernstfall bestmöglich reagieren

Als Vorbereitung auf den Ernstfall sollte ein sogenannter Incident Response Plan (IRP) erstellt werden. Dieser ist auf das Unternehmen individuell anzupassen und sollte gerade die rechtlichen Besonderheiten des jeweiligen Unternehmens berücksichtigen. Hierin kann ein Krisenteam benannt werden, das im Fall eines Angriffs alle Vorgänge im Zusammenhang mit dem Angriff bearbeitet bzw. koordiniert. Daneben soll dieses Team die interne Kommunikation der einzelnen Fachabteilungen mit der Unternehmensleitung kanalisieren sowie die externe Kommunikation mit Technikern, Anwälten und Versicherungen übernehmen. Auf diese Weise werden die Fachabteilungen entlastet, sodass das operative Tagesgeschäft - so gut es geht - fortgeführt werden kann.

Ein möglichst detaillierter Ablaufplan, der die nach einem Angriff erforderlichen Aktionen aufführt und die jeweils verantwortlichen Mitarbeiter benennt, hilft dabei, effektiv und effizient auf einen erfolgten Angriff zu reagieren. Dieser kann im Rahmen eines regelmäßigen „Cyber-Drills“ eingeübt und laufend verbessert werden. Sofern abzusehen ist, dass die hauseigene IT-Abteilung mit derartigen Maßnahmen überfordert ist, sollte bereits im Voraus ein externer Dienstleister identifiziert werden, der im Ernstfall rasch unterstützen kann.

Umfangreiche behördliche Meldepflichten beachten – Bußgelder vermeiden

In vielen Fällen ist die Meldung eines erfolgten Cyber-Angriffsnach der Datenschutzgrundverordnung (DSGVO) an die zuständigen Aufsichtsbehörden zwingend vorgeschrieben.

Hier gilt es, auf der Grundlage einer rechtlichen Risikoabwägung zu entscheiden, ob bloß die Aufsichtsbehörde, oder aber auch (sämtliche) betroffenen Kunden des Unternehmens informiert werden müssen.

Soweit eine Meldepflicht nach Art 33 DSGVO (Meldung an die Datenschutzbehörde) oder Art 34 DSGVO (Meldung an die betroffenen Personen) vorgesehen ist, muss diese innerhalb von 72 Stunden nach Kenntnis erfolgen.

Die rechtskonforme inhaltliche Ausgestaltung der jeweiligen Meldung und deren fristgerechte Abgabe sind von zentraler Bedeutung. Werden Meldungen verspätet, gar nicht oder nicht rechtskonform abgegeben drohen hohe Bußgelder. Daneben hat die Ausgestaltung der Meldung auch erheblichen Einfluss auf die Reputation des Unternehmens, insbesondere bei der Mitteilung an betroffene Kunden sowie bei ad-hoc-Mitteilungen.

Die Behandlung dieser Meldepflichten sollte daher im individuellen Fall gründlich abgewogen werden, um Reputationsschäden so gering wie möglich zu halten, und trotzdem alle rechtlichen Verpflichtungen zu erfüllen.

Die Erfahrung zeigt, dass eine professionelle und schnelle Reaktion bei Cyberangriffen elementar ist, um den Schaden möglichst gering zu halten. Je nach Schwere sollte ein Taskforce eingerichtet werden, die die Bestandsaufnahme verantwortet und die notwendigen Maßnahmen in die Wege leitet.