„Wir hatten einen Cyber-Angriff. Was müssen wir tun?“

Anrufe dieser oder ähnlicher Art erreichen uns immer häufiger. Zumeist herrscht zu diesem Zeitpunkt bei vielen Unternehmen Ungewissheit über das Ausmaß des Angriffs sowie über die betroffenen IT-Systeme und Daten. Es ist den Verantwortlichen zudem häufig unklar, welche konkreten Maßnahmen sofort und im weiteren Verlauf zu treffen sind. In diesem hektischen Umfeld wird häufig nur noch spontan auf auftretende Ereignisse reagiert, ohne konkret zu wissen, ob die ergriffenen Maßnahmen ausreichend oder zielführend sind. Diesem rein reaktiven Handeln kann durch eine gute Vorbereitung und einen klaren Vorgehensplan für Cyber-Angriffe eine Struktur gegeben und damit eine deutliche Abmilderung der möglichen Folgen erreicht werden.

Ein solcher Anruf erreichte uns kürzlich von einem in Deutschland ansässigen, international agierenden Konzern, den wir bei der Aufarbeitung des Cyber-Angriffs umfassend unterstützt haben.
 

Was ist passiert und wie wurde es entdeckt?

Cyber-Angriffe werden von den eingerichteten Schutzsystemen und den Mitarbeitern in vielen Fällen nicht sofort erkannt. Im aktuellen Fall versagte ein IT-gesteuertes System plötzlich und ohne erkennbaren Grund ihren Dienst. Die Fehlersuche führte zur Aufdeckung eines Angriffs auf die IT-Systeminfrastruktur durch den Einsatz von Ransomware - eine Art von Schadsoftware, welche die IT-Systeme verschlüsselt, so dass die darauf gespeicherten Daten für das Unternehmen nicht mehr verfügbar sind. Oft wird von den Hackern im nächsten Schritt die Zahlung eines Lösegelds (englisch "ransom") gefordert, um die Daten zu entschlüsseln. 

So auch im vorliegenden Fall: Die Verfügbarkeit der IT-Systeme des Konzerns war durch die Ransomware länderübergreifend eingebrochen und eine Vielzahl von Daten und Systemen wurde durch den Angriff verschlüsselt. Eine Fortführung der Geschäftstätigkeit war infolgedessen nur noch eingeschränkt möglich. Zusätzlich waren auf den Fileservern gespeicherte, teils vertrauliche Daten in die Hände der Hacker geraten.

Der Konzern war Opfer professioneller Hacker geworden. Eine Lösegeldforderung für die Entschlüsselung und Freigabe von Daten lag kurze Zeit nach dem Angriff vor.

Sollte einer solchen Lösegeldforderung nachgekommen werden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät regelmäßig davon ab. Stattdessen empfiehlt das BSI, im Vorfeld Schutzmaßnahmen zu treffen, um Cyber-Angriffe zu vermeiden oder im Eintrittsfall schnell eindämmen und beheben zu können.
 

Strukturiertes Vorgehen mit dem Blick auf geltende Fristen

Ziel in einer solchen Situation muss es sein, durch im Vorfeld sorgfältig abgestimmte, zielgerichtete Maßnahmen unverzüglich reagieren zu können. Hierzu sind zunächst gezielte IT-Sicherheitsmaßnahmen zu ergreifen, um den Cyber-Angriff zu stoppen bzw. einzudämmen, die Auswirkungen auf IT-Systeme und Geschäftsbetrieb zu minimieren und schnellstmöglich die Verfügbarkeit der Daten und Systeme wiederherzustellen.

Erschwerend kommt hinzu, dass oft auch personenbezogene Daten von Cyber-Angriffen betroffen sind. Aufgrund der Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) kann hieraus die Pflicht einer Meldung des Vorfalls an die zuständige Aufsichtsbehörde resultieren. Nach Bekanntwerden des Vorfalls muss die Meldung mit einer zeitlichen Frist von 72 Stunden erfolgen. Je nach Schwere, Risiken sowie Art und Umfang der Schutzverletzung kann auch eine unverzügliche Informierung der von dem Vorfall betroffenen Personen erforderlich sein. 

Die Meldung an die Aufsichtsbehörde beinhaltet eine strukturierte Beschreibung des Cyber-Angriffs in Verbindung mit einer Beurteilung des Risikos, möglicher Konsequenzen und der Schwere der möglichen Auswirkungen. Des Weiteren sollten die bereits vor dem Cyber-Angriff getroffenen sowie die in Folge des Cyber-Angriffs veranlassten oder noch zu ergreifenden Maßnahmen umfassend beschrieben werden. 

Unter Einhaltung der gesetzlich vorgegebenen Frist von 72 Stunden kann eine solche Erstmeldung in vielen Fällen noch nicht vollumfänglich sein, da die umfassende Aufarbeitung des Cyber-Angriffs in der Regel deutlich mehr Zeit in Anspruch nimmt. In den Online-Meldeformularen der Aufsichtsbehörden besteht daher oft die Möglichkeit, die Meldung zunächst als „vorläufig“ einzustufen und diese im Nachgang um eine vollständige Meldung zu ergänzen.
 

„Wir haben alles im Griff und einen Plan, dem wir folgen“

Aus der Art und dem Umfang der Meldung sollte in jedem Fall deutlich hervorgehen, dass sowohl in der Prävention als auch in der Auf- und Nachbereitung des Cyber-Angriffs umfassende Maßnahmen zur Risikominimierung ergriffen wurden und auch zukünftig die fortlaufende Umsetzung von Maßnahmen zur Vermeidung ähnlicher Vorfälle vorgesehen ist.

„Wir haben alles im Griff und einen Plan, dem wir folgen“ - das muss die wahrgenommene Botschaft sein.
 

Fragenkataloge von Aufsichtsbehörden ernst nehmen und detailliert beantworten

Auch im Falle des aktuellen Cyber-Angriffs war für den Konzern im Rahmen der fristgerecht eingereichten Erstmeldung noch keine abschließende Meldung der Schutzverletzung an die Aufsichtsbehörde möglich. Ergänzend zur abschließenden Meldung forderte die Aufsichtsbehörde zudem die Beantwortung weiterführender Fragen zum Vorfall sowie die Bereitstellung eines Abschlussberichtes ein. 

Durch unser strukturiertes Vorgehen konnten wir die Konzern-IT unseres Mandanten bei der datenschutzrechtlichen Aufarbeitung des Cyber-Angriffs zielgerichtet unterstützen. 
 

Abschlussbericht mit Sternchen: „Ich danke für die Aufmerksamkeit in dieser datenschutzrechtlichen Angelegenheit und der sehr guten Aufarbeitung der Datenschutzverletzung“

Der in Abstimmung mit dem Konzern erstellte Abschlussbericht an die Aufsichtsbehörde enthielt alle erforderlichen Informationen und führte zu einer - in der Regel eher unüblichen - sehr positiven Abschlussmeldung seitens der Aufsichtsbehörde, das Verfahren wurde zudem eingestellt. Der Umgang mit dem Cyber-Angriff und die professionelle, schnelle und strukturierte Vorgehensweise bei der Aufarbeitung wurde von der Aufsichtsbehörde ausdrücklich lobend erwähnt: „Ich danke für die Aufmerksamkeit in dieser datenschutzrechtlichen Angelegenheit und der sehr guten Aufarbeitung der Datenschutzverletzung“.

Dieses ist nur ein Beispiel, welches uns in unserer Vorgehensweise bestärkt, eng mit unseren Kunden zusammenzuarbeiten und Ihnen bei kleinen und großen Datenschutzfragestellungen helfend zur Seite zu stehen. Neben dem Tagesgeschäft spielen hierbei insbesondere Ausnahmesituationen wie der dargestellte Cyber-Angriff eine zentrale Rolle, da diese ein schnelles und zielgerichtetes Handeln erfordern.