Was ist eine Datenschutzverletzung? Die Antwort ist einfach: Eine Datenschutzverletzung liegt vor, wenn eine unbefugte Person Zugang zu vertraulichen Daten erhält.
Was dann passiert, ist nicht so einfach. Angreifer können diese vertraulichen Daten ändern oder löschen. Oder sie können sie exfiltrieren und an andere weitergeben. Alle diese Handlungen haben schwerwiegende negative Folgen für das angegriffene Unternehmen.
Dieser Artikel befasst sich damit, was gegen diese Bedrohung getan werden kann. Er erörtert potenzielle Reaktionen auf Datenschutzverletzungen sowie die Bedeutung der Entwicklung einer koordinierten Strategie zur Reaktion auf Datenschutzverletzungen. Eine wirksame Reaktion auf eine Sicherheitsverletzung erfordert die Koordination von Mitarbeitern, Prozessen und Technologien, die in der Regel mehrere Abteilungen eines Unternehmens umfassen. Die Reaktion beginnt bereits vor dem Eintreten der Sicherheitsverletzung mit Vorbereitungs- und Präventivmaßnahmen.
Verständnis von Datenschutzverletzungen
Es gibt viele verschiedene Arten von Datenschutzverletzungen. Einige sind heimlich, wie z. B. solche, die von Geheimdiensten eingesetzt werden. So wird beispielsweise vermutet, dass chinesische Geheimdienstmitarbeiter in die Systeme von Luft- und Raumfahrtunternehmen eingedrungen sind und die digitalen Pläne für den F-35-Kampfjet exfiltriert haben. Der Angriff war für die Zielperson erst nach geraumer Zeit erkennbar.
Andere Angriffe sind sofort offensichtlich, da der Angreifer peinliche Informationen an die Öffentlichkeit gelangen lässt, z. B. wie bei Wikileaks.
Ein mögliches Ziel einer Datenschutzverletzung ist der Diebstahl von Daten, ein anderes die Installation von Malware in einem Datenspeicher. Ransomware kann während einer Datenschutzverletzung eingeschleust werden – einige Angriffe erfolgen öffentlich und in Echtzeit, andere wiederum schlummern heimlich bis zur Aktivierung. Ein solcher Angriff kann die Daten des Opfers verschlüsseln und ein Lösegeld erpressen.
Ursachen von Datenschutzverletzungen
Angreifern steht für eine Datenschutzverletzung eine Vielzahl von Angriffsvektoren zur Verfügung.
Gestohlene Anmeldedaten: Angreifer können schlechte Passwort-Praktiken ausnutzen oder Phishing-Kampagnen nutzen, um sich legitimer Benutzerkonten zu bemächtigen.
Brute Force: Angreifer versuchen mithilfe von Trial-and-Error-Methoden, legitime Benutzeranmeldeinformationen zu erraten und sich Zugang zum System zu verschaffen.
Man-in-the-Middle: Angreifer nutzen Netzwerk-Exploits, um auf Daten zuzugreifen, während sie zwischen verschiedenen Systemen übertragen werden.
Social Engineering: Angreifer nutzen menschliche Interaktionen und Fehler aus, um Anmeldedaten direkt von Benutzern zu extrahieren.
Auswirkungen von Datenschutzverletzungen auf Unternehmen
Eine Datenschutzverletzung kann eine Katastrophe sein. Oder ein Ärgernis. Aber selbst eine geringfügige Sicherheitsverletzung erfordert eine Reaktion, die die Wiederherstellung der betroffenen Systeme und die Benachrichtigung der wichtigsten Beteiligten umfasst.
Unabhängig davon bedeutet die Bewältigung einer Datenschutzverletzung eine Menge Arbeit und einen nicht unerheblichen finanziellen Aufwand.
Zu den kostspieligen Aufgaben bei einer Sicherheitsverletzung gehören:
Forensische Analyse des Ursprungs des Angriffs und seiner Auswirkungen auf Systeme und Daten
Sanierung der betroffenen Systeme
Wiederherstellung von Daten, die bei der Sicherheitsverletzung gelöscht oder verändert wurden
Bestimmung des Ausmaßes des Verstoßes und des Umfangs der betroffenen Parteien, z. B. Kunden und Partner
Benachrichtigung der betroffenen Parteien, einschließlich staatlicher Stellen wie der Bundesstaat Kalifornien bei Verstößen gegen den CCPA, Kunden, Versicherungsträger usw.
Zahlung von Bußgeldern, z. B. für Verstöße gegen die EU-DSGVO
Bestimmung der rechtlichen Haftung, falls zutreffend
Bearbeitung von Kunden-, Medien- und Investorenanfragen
Die Kosten für diese Aktivitäten können sich summieren. Laut einer Studie von IBM kostete eine Datenschutzverletzung im Jahr 2023 durchschnittlich 4,45 Millionen USD, was einem Anstieg von 15 % gegenüber den vorangegangenen drei Jahren entspricht.
Und diese Kosten berücksichtigen nicht den Schaden für den Markenruf, der schwerwiegend sein kann. So könnte beispielsweise ein Finanzunternehmen, dessen Marke auf Vertrauen beruht, das Vertrauen des Marktes verlieren, wenn der Verlust von Kundendaten durch Hacker falsch gehandhabt wird. Darüber hinaus können die Bußgelder beträchtlich sein; Verstöße gegen die Datenschutzgrundverordnung können beispielsweise bis zu 10 Millionen EUR kosten. Und der Umfang der Vorschriften, die sich auf die Meldung von Datenschutzverletzungen und deren Behebung auswirken, wächst weiter.
Die Notwendigkeit eines Plans zur Reaktion auf Datenverletzungen
Wenn Sie nicht bereit sind, 4,45 Millionen USD auszugeben und eine erzwungene Unterbrechung des regulären Geschäftsbetriebs in Kauf zu nehmen, ist es unerlässlich, dass Ihr Unternehmen einen kohärenten Plan für die Reaktion auf eine Datenverletzung entwickelt und umsetzt.
Ein Plan für die Reaktion auf Datenverletzungen ist ein Muss. Ohne ein solches reagieren Sie auf eine potenziell geschäftsschädigende Krise ohne Drehbuch. Wenn Sie von einer Sicherheitsverletzung überrascht werden, müssen Sie improvisieren, was die Dauer, den Schaden und die Kosten einer Datenschutzverletzung erhöhen kann.
Ein guter Plan kann einige der haftungs- und aufsichtsrechtlichen Folgen einer Datenschutzverletzung abmildern. Der Plan zeigt Ihr Engagement für Sicherheit und „gebührende Sorgfalt“ im Umgang mit sensiblen Daten. Im Falle einer Sicherheitsverletzung – und es ist wahrscheinlich, dass jede Organisation irgendwann von einer solchen betroffen sein wird – leitet der Plan Ihre Mitarbeiter durch den Reaktionsprozess. Er macht die Erfahrung so einfach und ökonomisch wie möglich.
Ein Plan zur Reaktion auf Datenschutzverletzungen kann Teil eines allgemeinen Business-Continuity-Plans sein.
Die vier Schlüsselelemente eines Plans zur Reaktion auf Datenverletzungen
Was macht einen wirksamen Reaktionsplan für Datenschutzverletzungen aus? Zwar ist jeder Plan anders und passt sich den individuellen Bedürfnissen einer bestimmten Organisation an, doch die besten Pläne folgen alle einem ähnlichen Muster. Sie folgen, grob gesagt, dem Verlauf der Sicherheitsverletzung selbst, beginnend mit den Ereignissen, die vor dem Angriff eintreten. Hier sind die vier Schlüsselelemente eines Reaktionsplans auf Datenschutzverletzungen:
Vorbereitung
Die Vorbeugung von Sicherheitsverletzungen beginnt mit starken allgemeinen Cyber-Sicherheitsmaßnahmen. Wenn es schwer ist, in Ihre Umgebung einzudringen, haben Sie das Risiko eines Einbruchs verringert.
Es ist auch sinnvoll, Praktiken zur Vorbereitung auf Sicherheitsverletzungen zu implementieren, wie z. B. die Erkennung sensibler Daten. Zu wissen, welche Daten Sie haben und wo sie sich befinden, kann sehr nützlich sein, wenn es zu einem Verstoß kommt. Außerdem ist es hilfreich, die Benutzerrollen genau zu kennen – wer wer ist und auf welche Daten er Zugriff hat.
Holen Sie sich auch die Unterstützung von Experten, die die Cyber-Sicherheitsstrategie Ihres Unternehmens in konkrete Verfahren für die Cyber-Resilienz umsetzen können. Wenn ein Cyber-Vorfall eintritt (und Untersuchungen zeigen, dass ein Cyber-Vorfall mit höchster Wahrscheinlichkeit eintreten wird), ist es wichtig, einen kühlen Kopf zu bewahren und den Plan zu befolgen.
Ein wichtiger Bestandteil dieses Plans ist ein gutes Sicherungs- und Wiederherstellungssystem . Auf diese Weise können Sie im Falle einer Beschädigung oder eines Ausfalls von Daten den Betrieb schnell wieder aufnehmen. Mit automatisierten Runbooks kann Ihr Cyber-Sicherheitsteam unternehmenskritische und sensible Daten wiederherstellen, indem es einen kristallklaren Plan befolgt. Dann können die Daten, die sich an einem isolierten Wiederherstellungsort befinden, in Übereinstimmung mit den Cyber-Sicherheitsplänen zurück in die Produktion kopiert werden.
Abwehr und Neutralisierung eingehender Bedrohungen
Auf eine Sicherheitsverletzung vorbereitet zu sein bedeutet auch, in der Lage zu sein, Bedrohungen zu erkennen und zu identifizieren, die Ihre Daten gefährden könnten. Dazu gehört die Analyse von Bedrohungsdaten, die den Einsatz von Technologien zur Überwachung von Bedrohungen für die Bedrohungsjagd einschließt.
So kann beispielsweise ein System wie Rubrik Threat Monitoring anhand eines aktuellen Threat-Intelligence-Feeds automatisch Indikatoren für eine Gefährdung in Backups erkennen. Auf diese Weise ist es möglich, Malware zu identifizieren, die in Ihrer Infrastruktur lauert. Die Bedrohungssuche umfasst die Analyse von Backup-Snapshots und die Erkennung von Malware, die bei der Datenwiederherstellung zu einer erneuten Infektion führen kann. Parallel dazu sucht der Prozess nach nicht infizierten Snapshots, die für die Wiederherstellung verwendet werden können.
Eindämmung und Ausmerzung erfolgreicher Verstöße
Wenn Sie einen Einbruch erleiden, sollten Sie das Schadensausmaß des Angriffs begrenzen und herausfinden, was davon betroffen wurde.
Danach ist es am besten, zur Eindämmung überzugehen. Bei diesem Schritt geht es darum, Angriffspfade für böswillige Aktionen und Malware zu schließen und somit den Schaden zu minimieren. Wenn der Angreifer beispielsweise in eine SQL-Server-Instanz eindringt, wäre es gut, wenn er nicht zur nächsten Instanz weitergehen könnte.
Um dieses Ziel zu erreichen, könnte eine Netzwerksegmentierung oder eine Zero-Trust-Architektur erforderlich sein. Bei der Zero-Trust-Methode wird den Benutzern nur der Zugriff auf eine begrenzte Anzahl von Daten gestattet, was die Auswirkungen einer Sicherheitsverletzung minimiert.
Wiederherstellung und Behebung
Nach einer Sicherheitsverletzung ist eine schnelle und vollständige Wiederherstellung erforderlich. Aber wie können Sie die neueste Version Ihrer Unternehmensdaten wiederherstellen, ohne eine Schwachstelle oder ein Exploit aus der Zeit vor dem Angriff wieder einzuführen? Hier ist die Wahl der Sicherungs- und Wiederherstellungssysteme entscheidend.
Die richtige Lösung wird eine sein, die eine rasche Erholung ermöglicht. Im Falle von Ransomware kann eine Wiederherstellung ohne Zahlung eines Lösegelds möglich sein, wenn Sie eine per Air Gap geschützte Kopie Ihrer Daten aufbewahren. Auf diese Weise können die Angreifer Ihre Sicherungsdaten nicht erbeuten. Außerdem können Sie in Ihrem Wiederherstellungssystem nach Bedrohungen suchen und so eine erneute Infektion verhindern. Mit einer solchen Wiederherstellungslösung können Sie den IT-Betrieb schnell und ohne größere Unterbrechungen wieder aufnehmen.
Ein Verstoß muss auch weiterverfolgt werden. Dazu kann eine gründliche forensische Untersuchung gehören, um die Ursache des Angriffs zu ermitteln, sowie ein Folgeprozess, der sicherstellt, dass alle Schwachstellen, die zu dem Angriff geführt haben, behoben werden. Zu den Folgemaßnahmen könnten auch die Verstärkung der Cyber-Abwehr sowie eine gründliche Suche nach „Implantaten“ gehören. Cyber-Angreifer, vor allem bei Ransomware, hinterlassen oft versteckte Malware, damit sie zurückkehren und weiteren Schaden anrichten können. Am besten ist es, wenn Sie diese eingebetteten Bedrohungen entdecken und beseitigen können.
Fünf Best Practices für die Reaktion auf Datenverletzungen
Die Realität im Bereich der Cyber-Sicherheit ist ein gemischter Segen: Es hat so viele Datenschutzverletzungen gegeben, dass wir auf eine Vielzahl von Best Practices zurückgreifen können, um auf Datenschutzverletzungen zu reagieren. Aber alle Antworten haben eines gemeinsam: Bei der Bewältigung einer Sicherheitsverletzung müssen die Menschen und die organisatorischen Faktoren im Mittelpunkt stehen. Der Reaktionsprozess erfordert, dass Menschen aus verschiedenen Bereichen eines Unternehmens gut zusammenarbeiten. Kommunikation ist unerlässlich.
Nicht vergessen:
Reagieren Sie rechtzeitig: Im Idealfall reagieren Sie auf die Sicherheitsverletzung, bevor sie ernsthaften Schaden anrichtet; ansonsten ist auch eine schnelle Sensibilisierung eine wünschenswerte Fähigkeit. Je schneller Sie dann die erforderlichen Wiederherstellungsmaßnahmen ergreifen und die wichtigsten Stakeholder benachrichtigen können, desto besser für alle Beteiligten.
Testen Sie regelmäßig: Da sich die Technologie in einem Unternehmen verändert und Mitarbeiter ihre Rollen wechseln, ist es unerlässlich, die Reaktion auf Sicherheitsverletzungen zu testen und entsprechend zu aktualisieren.
Einhaltung der Vorschriften: Wenn Sie die einschlägigen Compliance-Vorschriften befolgen und die obligatorische Berichterstattung durchführen, werden Sie feststellen, dass Sie bereits einiges getan haben, um die Auswirkungen einer Datenschutzverletzung abzumildern, z. B. durch die Einführung strenger Zugangskontrollen.
Überwachen Sie Ihre Daten: Überwachen Sie Ihre Daten stets auf Anomalien und andere Signale, die auf einen bevorstehenden Verstoß hinweisen.
Hören Sie nie auf, sich zu verbessern: Lernen Sie von anderen und arbeiten Sie daran, bei der Reaktion auf Datenschutzverletzungen besser zu werden.
Fallstudie zu Datenschutzverletzungen: Ransomware-Abwehr
Der Lewis County Public Utility District (LCPUD) versorgt 35.000 Kunden im Bundesstaat Washington und war 2019 das Opfer eines Ransomware-Angriffs. Fast augenblicklich wurden die Daten des Versorgungsunternehmens verschlüsselt, und die Angreifer verlangten ein schockierendes Lösegeld in Höhe von 10 Millionen USD, um sie zu entschlüsseln. Dieser potenziell verheerende Vorfall entpuppte sich jedoch als kleine Unannehmlichkeit, da das Unternehmen zuvor die Rubrik Security Cloud implementiert hatte.
Mit Rubrik Security Cloud wurden die Daten von LCPUD in unveränderlicher Form gesichert. Die Angreifer konnten sie weder verschlüsseln noch löschen, sodass die Daten sicher waren und sich leicht wiederherstellen ließen. Die Daten wurden wiederhergestellt und alle Systeme waren in nur zwei Stunden wieder einsatzbereit.
Die Zukunft der Reaktion auf Datenverletzungen
Die Reaktion auf Datenschutzverletzungen muss sich ständig weiterentwickeln, denn die Angreifer stehen nicht still. Die Zukunft von Datenschutzverletzungen wird wahrscheinlich noch raffiniertere und verschleiertere Bedrohungen, aber auch neue Formen der Erpressung mit sich bringen. Der einfache Ransomware-Angriff mit Verschlüsselung und Entschlüsselung wird schnell durch vielschichtige Erpressungsangriffe ersetzt. Bei einem doppelten Erpressungsangriff könnte der Hacker zum Beispiel die Daten des Opfers stehlen und verkaufen und sie zusätzlich sperren. Bei einem dreifachen Erpressungsangriff könnte die ursprüngliche Ransomware-Forderung durch einen Denial-of-Service-Angriff (DoS) oder andere Störungsarten ergänzt werden.
Vorbereitung auf den unvermeidlichen Einbruch
Die Risiken sind hoch. Eine Datenschutzverletzung ist wahrscheinlich, wenn nicht sogar unvermeidlich. Und die Bedrohungen sind erheblich, ebenso wie die Kosten für den Umgang mit einem Verstoß. Aus diesen Gründen ist es am besten, mit einem gründlich durchdachten und getesteten Reaktionsplan auf Datenschutzverletzungen vorbereitet zu sein. Rubrik Security Cloud kann helfen. Rubrik ermöglicht es Ihnen, Ihre Daten zu sichern, das Datenrisiko zu überwachen und Daten und Anwendungen wiederherzustellen, damit Sie Ihr Geschäft weiterführen können.