Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Tina Miroshnichenko, Pexels
Hafnium und welche Lehre wir daraus ziehen können
Hafnium ist seit der Sicherheitslücke bei Microsoft Exchange wohl allen ein Begriff. Mittlerweile haben die meisten Unternehmen die wichtigsten Maßnahmen eingeleitet und mit dem Patch von Microsoft die Sicherheitslücke geschlossen. Doch damit ist das Thema nicht vorbei. Hafnium hat uns wieder einmal gezeigt, dass keine Software fehlerfrei ist. Und daraus können wir unsere Lehre ziehen: Vorbereitung ist alles.
Wir haben die wichtigsten Punkte zum Umgang mit Datenschutzvorfällen zusammengestellt und zeigen Ihnen, wie Sie Gefahren vermeiden und mit Notfällen umgehen können. Auch wenn Sie mit dem Schrecken davongekommen sind: Nutzen Sie den Anstoß und stellen Sie sich datenschutzkonform und sicher auf!
1. Das Wichtigste rund um Datenschutzvorfälle
Kein Unternehmen möchte sich mit Datenschutzvorfällen konfrontiert sehen. Trotzdem bzw. gerade deshalb ist es wichtig, Prozesse zum Vorgehen zu etablieren und umzusetzen.
Vorgehen
Beginnen wir am Anfang: Eine Person – dies kann sowohl von intern als auch von extern sein – erkennt eine mögliche Datenschutzverletzung und meldet sie bei den zuvor festgelegten Zuständigen. Diese müssen nun sofort handeln: Das Sammeln der zur Bewertung benötigten Informationen sowie ggf. die Einleitung von Sofortmaßnahmen zur Schadensbegrenzung sind die ersten Schritte. Erscheint eine Datenschutzverletzung als wahrscheinlich, wird das Datenschutzteam informiert.
Nur weil – wie bei Hafnium – eine mögliche Kompromittierung vorliegt, heißt das nicht automatisch, dass personenbezogene Daten betroffen sind. Dies sollte nun das Datenschutzteam überprüfen. Neue Informationen bedeuten auch jedes Mal eine neue Bewertung. Je nach Ergebnis der Risikoanalyse und Befugnis, meldet das Datenschutzteam eine Datenschutzverletzung an die zuständige Aufsichtsbehörde und informiert die Betroffenen.
Bereits während der Bewertung und vor allem im Anschluss gilt es vor allem noch eines zu tun: die Dokumentation. Dabei wird der Vorgang gemäß Ihrer internen Richtlinie umfassend dokumentiert – ganz nach Ihrer Pflicht. Außerdem sollten Sie die Grundlagen Ihrer Bewertung zum jeweiligen Informationsstand nachvollziehbar machen.
Risikoanalyse
Die Risikoanalyse erfolgt auf Grundlage der potentiellen Schäden für Betroffene sowie deren Eintrittswahrscheinlichkeit. Hier gilt folgende gesetzliche Regelung: Ist das Risiko nicht gering, sollten Sie den Vorfall unverzüglich bei der Behörde melden und stufen Sie es als hoch ein, dann müssen Sie auch die Betroffenen informieren. In Bezug auf Hafnium sollten Sie sich allerdings detailliert bei Ihrer zuständigen Aufsichtsbehörde informieren. Die Aussagen zur Meldepflicht variieren hier stark je nach Bundesland.
Meldefrist
Beachten Sie auch die Meldefrist. Diese gilt unabhängig von Wochenenden und Feiertagen. Sobald Sie Kenntnis von einer möglichen Datenschutzverletzung haben, sind Sie verpflichtet, diese innerhalb von 72 Stunden bei Ihrer zuständigen Aufsichtsbehörde melden, soweit ein Risiko bestehen könnte. Bei der Meldung müssen Sie detaillierte Informationen dazu geben, was passiert ist und wie das Risiko für die Betroffenen einzuschätzen ist.
In vielen Fällen – wie beispielsweise auch bei einer Kompromittierung durch Hafnium – dauert es aber einige Zeit, um den Hergang oder das mögliche Schadensausmaß zu rekonstruieren. Um die Meldefrist einzuhalten, können Sie einen Vorfall auch schrittweise melden, wenn noch nicht alle benötigten Informationen vorliegen. Diese müssen Sie dann durch Folgemeldungen ergänzen.
Sie sind sich unsicher, ob Sie einen Vorfall melden sollten? Lassen Sie sich beraten! Und im Zweifel: Lieber einmal zu viel als zu wenig melden.
Doch wie können Sie verhindern, dass es überhaupt erst so weit kommt?
2. Wie Sie Gefahren vermeiden
Am liebsten wäre es Ihnen natürlich, wenn Sie gar nicht erst Datenschutzverstöße melden müssten und derartigen Gefahren vorbeugen können. Bei der Abwendung von möglichen Hacking-Angriffen gilt: Vorbereitung ist alles. Wie auch bei dem Umgang mit Datenschutzvorfallen benötigen Sie klare Strukturen und Prozesse. Nur durch systematisches Vorgehen können Sie Ihr Unternehmen und die Daten Ihrer Kund:innen schützen.
Patch- und Update-Management
Daher ist es sinnvoll, entsprechende Handlungsweisen und Prozesse zu etablieren, umzusetzen sowie zu kommunizieren. Hierzu gehört ein Patch- und Update-Management nach dem Stand der Technik. Neben der Verantwortlichkeit sollten Sie auch den Umgang mit Patches regeln. Idealerweise werden Patches erst in einer Testumgebung eingespielt. Außerdem ist es wichtig, dass Sie vor dem Einspielen ein Backup erstellen, auf das Sie im Notfall zurückgreifen können. So sollten Sie auch beim Konfigurationsmanagement verfahren.
Damit Sie wichtige Entwicklungen nicht verpassen, sollten Sie regelmäßig nach Patches, Updates sowie Fehlermeldungen suchen. Nur wenn Ihr System auf dem neusten Stand ist, sind Sie auch vor bekannten Angriffen geschützt.
Monitoring von IT-Systemen
Um Ihr Unternehmen zu schützen, sollten Sie allerdings nicht nur ein Auge auf Patches, sondern auch auf Ihre eigenen Systeme haben. Durch Monitoring können Sie Fehlermeldungen in Ihrem System schneller erkennen – und zwar bevor Ihre Mitarbeitenden oder Kund:innen Sie darauf aufmerksam machen.
Beim Monitoring gibt es dabei eine große Bandbreite an Möglichkeiten. Das eine Ende der Skala: Sie können automatisiert Pings an Ihren Server schicken und sich benachrichtigen lassen, wenn dieser nicht antwortet. Fällt der Server aus, werden Sie informiert, aber Ihnen stehen keine Details zur Verfügung.
Auf der anderen Seite gibt es auch Tools, die Ihnen erlauben, Ihre Server genau zu überwachen. Vom Füllstand des Speichers über die CPU bis zur Hardwarediagnose – beim End-to-End-Monitoring definieren Sie die Normalwerte und werden alarmiert, sobald etwas abweicht. So haben Sie wirklich alles im Blick und erkennen Engpässe, bevor sie auftreten.
Sensibilisierung der Mitarbeitenden
Nur wenn Ihr Personal sich auskennt, weiß es, was zu tun ist. Das gilt sowohl für Datenschutzvorfälle als auch Ihre IT-Sicherheit. Investieren Sie also in geeignete Schulungen, Sensibilisierungen und üben Sie den Umgang mit Ausnahmesituationen. Auch eine gesunde Paranoia ist hier nicht verkehrt.
3. Notfälle: Wie mit ihnen umzugehen ist
Selbst die beste Vorbereitung reicht leider nicht immer aus. Sie sind Ziel eines Angriffs geworden. Was nun? Hier greift Ihr Incident-Management und profitieren Sie von Ihrer guten Vorbereitung. Damit Sie im Ernstfall keine wertvolle Zeit verlieren, sollten Sie bereits im Vorfeld Prozesse zum Umgang mit Notfällen sowie deren Dokumentation etablieren. Diese umfassen sowohl eine klare Regelung zur Verantwortlichkeit als auch die Schritte und Maßnahmen, die im Notfall einzuleiten sind. Da es bei Hacking-Angriffen auch zu Datenschutzvorfällen kommen kann, sollten Sie die Zuständigkeiten und Prozesse sowohl im Datenschutz als auch in der IT (-Sicherheit) regeln.
Die besten Prozesse nützen allerdings nichts, wenn sie nicht auch in der Praxis funktionieren. Daher: Testen Sie die Umsetzbarkeit der Prozesse bereits im Vorfeld und üben Sie den Ablauf mit Ihren Mitarbeitenden ein. Können Backups beispielsweise problemlos wiederhergestellt werden? So stellen Sie mögliche Problemfelder fest.
Datenschutzvorfälle und Hacking-Angriffe sind für jedes Unternehmen gefährlich. Doch mit der richtigen Vorbereitung können Sie sich absichern und das Risiko minimieren. Nutzen Sie das Momentum durch Hafnium und stellen Sie sich sicher auf!