Kurzbeitrag : Cyber-Attacken in den Griff bekommen : aus der RDV 2/2016, Seite 93 bis 94
Wie Unternehmen Datenschutzverletzungen durch Hacker-Angriffe erfolgreich abwickeln
In den vergangenen fünf bis zehn Jahren ist die Anzahl der Cyber-Attacken auf Unternehmen angestiegen. Dabei versuchen die Hacker sensibler Daten habhaft zu werden, um Profit daraus zu schlagen. In der Regel handelt es sich um Informationen wie Namen, Adressen, Bank- und Kreditkarteninformationen, die dann für Betrugszwecke genutzt werden.
Der Datenraub, dem Sony Pictures im November 2014 zum Opfer fiel, folgte jedoch einem anderen Muster. Bei dieser Cyber-Attacke standen atypische Informationen im Fokus, darunter Gehälter von Mitarbeitern, persönlicher E-Mail-Verkehr zwischen Führungskräften und Prominenten, kreative Inhalte und andere Details zu Filmen, die vor der Veröffentlichung standen. Mit Hilfe dieser Daten verschafften sich die Hacker keinen wirtschaftlichen Vorteil, sondern nutzten sie lediglich zur Rufschädigung des Konzerns.
Die Regeln des Spiels scheinen sich zu ändern. Es sieht so aus, als bestünde unter Hackern ein Wettbewerb, bei dem der Status durch den Umfang und die Auswirkungen einer erfolgreichen Attacke bemessen wird. Die Bedrohungsszenarien werden dadurch vielfältiger und schlechter überschaubar. Unternehmen sollten daher eine genaue Bewertung ihrer Präventionsmaßnahmen sowie ihrer Reaktionsfähigkeit im Fall eines Datenklaus durchführen.
Bis vor kurzem begannen Firmen sich erst dann mit der Datenschutzverletzung auseinander zu setzen, nachdem der Angriff bereits stattgefunden hatte und bemerkt wurde. Das sorgte nicht selten für Panik, denn zu diesem Zeitpunkt waren das Ausmaß der Schädigung und die Art der gestohlenen Informationen meist nicht bekannt. Unternehmen suchten in der Regel umgehend die Unterstützung von Versicherungsunternehmen, Anwaltskanzleien, Beratern und externen Ermittlern, um alle offenen Fragen in Bezug auf den Datenklau zu klären und zu sehen, wie dem Datenverlust ein Riegel vorgeschoben werden könne.
Da sich das Vorgehen der Hacker jedoch verändert und von unterschiedlichen Motiven getrieben ist, arbeiten Rechtsberater und IT-Experten mittlerweile mit der Unternehmensführung umfassendere Data-Breach-Response-Pläne aus, die in verschiedenen Szenarien Anwendung finden können. Das Ziel dabei ist, eine Strategie für den Umgang mit Datenschutzverletzungen durch Cyber-Attacken vom Zeitpunkt der Aufdeckung bis hin zu möglichen Rechtsverfahren im Griff zu haben. Proaktives Informationsmanagement ist eine wichtige Voraussetzung, um sowohl das Risiko erfolgreicher Angriffe zu reduzieren als auch mögliche Folgeschäden einzuschränken.
Wenn es zum Datenklau gekommen ist, kann eine E-Discovery wertvolle Hilfestellung bei der effizienten Abwicklung rechtlicher Verfahren leisten. Das erleichtert Forensik und Beweissammlung sowie die Prüfung, Verwertung und Zusammenstellung von Dokumenten. Ob es tatsächlich zu einem Gerichtsverfahren kommt, wird häufig durch den Umfang des Schadens und die Art der gestohlenen Daten bestimmt. Oft spielt es auch eine Rolle, welche Unternehmen und Kunden betroffen sind. Durch eine E-Discovery können Firmen dann die Sammlung, Bearbeitung und Bewertung elektronischer Dokumente und Mitteilungen abwickeln. Mit Hilfe passender Technologien können beispielsweise automatisierte Stichwortsuchen durchgeführt werden, um die Relevanz bestimmter Datensätze für den Fall zu bestimmen. Dadurch können Unternehmen sowohl Zeit als auch Kosten sparen.
Ist es zu einer Datenschutzverletzung durch eine Cyber-Attacke gekommen, muss die betroffene Organisation nachweisen können, dass sie bereits zuvor Maßnahmen getroffen hatte, um das Risiko eines Datenklaus so weit als möglich einzuschränken. Die Aufsichtsbehörden verlangen in der Regel Beweise dafür, dass klare und umfassend kommunizierte Unternehmensrichtlinien zum Datenschutz und damit zusammenhängende Prüfungsverfahren vorhanden waren. Außerdem muss gezeigt werden können, dass es im Voraus keine klaren Anzeichen für eine potenzielle Bedrohung gab und das Unternehmen den Schaden umgehend gemeldet hat.
Eine umfassende Dokumentenprüfung ist ein wesentlicher Bestandteil dieses Prozesses und schließt eine detaillierte Analyse relevanter Kommunikation ein. Das kann insbesondere dann eine große Herausforderung darstellen, wenn große Mengen an Dokumenten auf ihre Relevanz hin beurteilt und dann von Experten innerhalb kurzer Zeit gesichtet werden müssen. Auch in so einem Fall schafft eine E-Discovery Erleichterung für alle beteiligten Parteien.
Cyber-Attacken stellen ein immer häufiger eintretendes Bedrohungsszenario für Unternehmen aller Wirtschaftsbereiche dar. Sie können nicht nur finanziellen Schaden anrichten, sondern auch die Reputation nachhaltig beeinträchtigen. Zudem sind Hacker-Angriffe immer schwerer einzuordnen und daher weniger vorhersehbar. Deshalb sollten Firmen sicherstellen, dass sie im Fall einer Datenschutzverletzung durch Cyber-Attacken über adäquate Data-Breach-Response-Mechanismen verfügen und eine proaktive Strategie für das elektronische Informationsmanagement entwickeln.
* Der Autor ist Vice President of Data Breach Solutions, Epiq System.