Die Anzahl und Qualität der Cyberangriffe und Datenschutzvorfälle steigen täglich. Unternehmen, unabhängig von Branche, Größe oder Standort sind zunehmend betroffen. Besonders bedrohlich: Angriffe bei denen Unternehmensdaten verschlüsselt werden und dann Lösegeld gefordert wird.
Der Irrglaube: Solche Attacken richten sich doch nur gegen große, zahlungskräftige Unternehmen. Doch auch kleine und mittelständische Organisationen sowie staatliche Institutionen und Kommunen sind zunehmend betroffen. Dass es den Angreifenden dabei oft gar nicht um die tatsächlichen Inhalte ihrer Daten oder um die Informationen an sich geht, ist vielen Unternehmen nicht bewusst. Sie denken: Wer nicht zu verbergen hat, hat auch nichts zu befürchten. Und genau da liegt der Trugschluss: Die Angreifenden sind hauptsächlich auf ihr Geld aus. Die Daten sind dabei eher Mittel zum Zweck und fast wie eine Art Geiselnahme zu betrachten. Und sind diese erst einmal verschlüsselt, wird es richtig unangenehm. Denn nur wer Lösegeld zahlt, hat die Chance, sie wieder zu erlangen.
Cyberkriminelle setzen zunehmend auf Arbeitsteilung. Das Konzept Cybercrime-as-a-Service ermöglicht es den Angreifenden, spezialisierte Dienstleistungen zu entwickeln und als echtes Geschäftsmodell gezielt einzusetzen. Dadurch werden sie immer professioneller und effektiver. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert immer mehr Schwachstellen in digitalen Produkten und Systemen. Diese Lücken sind oft das Einfallstor für Cyberkriminelle, um Systeme und Netzwerke zu kompromittieren.
Und auch Künstliche Intelligenz wird immer häufiger für kriminelle Zwecke missbraucht. Tools wie ChatGPT, Gemini und LlaMa liefern hochwertige Ergebnisse und können Deepfakes, Phishing Mails und Schadcode generieren.
Insgesamt ist die Bedrohung im Cyberraum daher so hoch wie nie zuvor.
Unternehmen müssen ihre Sicherheitsmaßnahmen konsequent verstärken, um ihre Mitarbeitenden, Daten, Produkte und Dienstleistungen zu schützen.
Wie funktioniert ein Phishing-Angriff?
Das häufigste Einfallstor sind gut gemachte Phishing-E-Mails. Dabei versucht der Angreifer mit einer entsprechenden E-Mail, bei der sich beispielsweise als wichtige Person im Unternehmen ausgegeben wird, an den Zugang zu euren Daten zu gelangen. Mitarbeitende werden dazu verleitet, über seriös wirkende Dokumente ihre Zugangsdaten einzugeben. Die Zugangsdaten werden dabei auf gefakten Seiten abgegriffen und schon erlangen Angreifende Zugriff.
Was tun, wenn ein Angriff erfolgreich war?
Bei so einem Datenschutzvorfall in einem Unternehmen ist schnelles und strukturiertes Vorgehen notwendig, um die Auswirkungen zu minimieren und alle erforderlichen Maßnahmen zu ergreifen:
- Sofortige Erkennung und Reaktion
- Identifiziere den Vorfall so schnell wie möglich. Dies kann durch Überwachungssysteme, Mitarbeitendenberichte oder andere Hinweise erfolgen.
- Informieren Sie die relevanten internen Stellen, wie z. B. die IT-Abteilung, die Geschäftsführung und den/die Datenschutzbeauftragte*n.
- Dokumentation
- Dokumentiere den Vorfall sorgfältig. Notiere den Zeitpunkt, die betroffenen Systeme, die Art der Verletzung und die betroffenen personenbezogenen Daten.
Erfasse alle relevanten Informationen, um den Vorfall später korrekt der Aufsichtsbehörde zu melden.
- Dokumentiere den Vorfall sorgfältig. Notiere den Zeitpunkt, die betroffenen Systeme, die Art der Verletzung und die betroffenen personenbezogenen Daten.
- Bewertung und Eindämmung
- Bewerte den Umfang des Vorfalls. Welche Daten sind betroffen? Wie groß ist das Risiko für die Betroffenen?
- Ergreife Maßnahmen, um den Vorfall einzudämmen und weitere Schäden zu verhindern. Dies kann die Isolierung von Systemen, das Ändern von Passwörtern oder das Sperren von Zugriffen umfassen.
- Meldung an die zuständige Behörde
- Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Datenschutzverletzungen innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden.
Wer für den Datenschutz im Unternehmen verantwortlich ist, ist auch für diese Meldung verantwortlich (Datenschutzkoordinator*in oder Datenschutzbeauftragte*r).
- Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Datenschutzverletzungen innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden.
- Benachrichtigung der Betroffenen
- Wenn der Vorfall ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt, müssen diese ebenfalls informiert werden.
Die Benachrichtigung sollte klar und verständlich sein und alle relevanten Informationen enthalten.
- Wenn der Vorfall ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt, müssen diese ebenfalls informiert werden.
Wie kann man Angriffe proaktiv verhindern?
Das Kind ist noch nicht in den Brunnen gefallen? Ergreift schnellstmöglich präventive Maßnahmen. Gab es bereits einen erfolgreichen Angriff auf euer Unternehmen solltet ihr die Ursache dieses Vorfalls genau analysieren und entsprechende Gegenmaßnahmen ergreifen. Sorgt gemeinsam mit Expert*innen dafür, dass die Mitarbeitenden entsprechend geschult sind im Hinblick auf Datenschutz und Sicherheit.
Das Zauberwort? Securityscore!
Wenn euer Unternehmen Cloud-Technologien einsetzt, wie zum Beispiel Microsoft 365, ist es wichtig, die folgenden vier Bereiche abzusichern. So erreicht ihr einen hohen Securityscore. Dieser gibt Auskunft darüber, wie gut eure Cloud-Umgebung abgesichert ist.
- Der erste Bereich, den ihr absichern solltet, ist die Cloud-Umgebung.
Sorgt für eine sichere Authentifizierung vor dem Zugriff auf Organisationsinformationen. Dies erreicht ihr zum Beispiel durch sichere Authentifikationsmethoden wie die Multi-Faktor-Authentifizierung. Gebt Mitarbeitenden nur den Zugriffslevel, den sie tatsächlich brauchen. Benötigt jemand höheren administrativen Zugriff, sorgt dafür, dass dieser nur temporär zugewiesen werden kann. - Als nächstes solltet ihr die Identitäten in eurem Unternehmen schützen.
Zu den Identitäten gehören nicht nur die Mitarbeitenden im Unternehmen, sondern auch Clients und Geräte. Unzulänglich starke oder abgesicherte Passwörter erleichtern das Phishing. Es ist daher signifikant, entsprechende Sicherheitsmaßnahmen einzuführen, die komplexe Passwörter voraussetzen, Anmeldeversuche limitieren und Zugriffe nur zuzulassen, wenn diese durch bestimmte Bedingungen erfolgreich geprüft werden können (Conditional Access). Bedingungen können dabei sein: von welchem Gerät man kommt, von welcher IP der Zugriff erfolgt, mit welcher Applikation zugegriffen wird, oder aus welchem Land ein Zugriff erfolgt. - Der dritte Bereich ist euer E-Mail-System.
Sorgt für eine starke Malware-, Phishing- und Spam-Policy. Achtet auf die Mail-Transportregeln in eurem Mailsystem. Passt die DNS-Einstellungen an, um die Authentizität von ausgehenden E-Mails sicherzustellen. Nutzt die Sicherheitssysteme innerhalb eures E-Mail Servers zum Schutz vor Malware, kompromittierten Links und Phishing-Mails. - Als letzten und vierten Bereich wendet euch dem Schutz eurer Daten in der Cloud zu (zum Beispiel im SharePoint oder in Microsoft Teams).
Wenn ihr mit Externen zusammenarbeitet, achtet darauf, wer auf eure Daten zugreifen darf. Erstellt entsprechende Freigaberichtlinien zum gemeinsamen Arbeiten an Daten im Sharepoint und in OneDrive. Aktiviert auch hier die eingebauten Sicherheitssysteme zum Schutz vor Malware und kompromittierten Daten.
Fazit:
Wir halten fest: Die Schritte zur größtmöglichen Sicherheit sind theoretisch ganz klar definiert und implementierbar. Da jedoch jede Organisation individuelle Anforderungen, Besonderheiten und potenzielle Einfallstore für Angreifende bietet (und nur ein einziger Fehler hier im Ernstfall zum Unternehmensruin führen könnte), sollte für eine konsequent gelebte Sicherheitsstrategie unbedingt auf die Expertise von Fachkräften zurückgegriffen werden. Die setzen die Absicherung dann nicht nur technisch um, sondern beleuchten bewusst auch die Individualität eurer Organisation – und ganz bewusst auch die Menschen, die tagtäglich selbst zur Sicherheit des Arbeitgebers beitragen sollten.