Auf Grund der vielfältigen Varianten von Cyberattacken und der unterschiedlichen Infrastrukturen gibt es keine allgemein gültige Handlungsempfehlung. Dennoch sollten Sie für Ihre Situation einen Ablaufplan erstellen, was zu tun ist und wer informiert werden muss, damit sich der Schaden begrenzen lässt und Cyber-Vorfall schnellstmöglich in die richtigen Hände gegeben wird. Der Idealfall wäre, wenn alles vorbereitet ist und man mit wenigen Anrufen die Angelegenheit in die richtigen Hände legt.
Ob der Vorfall im Privatbereich oder in einer Unternehmensstruktur Auftritt spielt grundlegend keine große Rolle – ein Cyberangriff kann im aller schlimmsten Falle sowohl bei Privatpersonen als auch für Unternehmen Existenzbedrohend sein. Doch ist der Vorfall bei Privatpersonen in der Regel schneller zu beheben, weil weniger Geräte und Daten betroffen sein sollten. Wichtig ist in beiden Fällen, dass der Vorfall frühstmöglich erkannt wird und Maßnahmen eingeleitet werden. Wir werden uns aber auch hier wieder mehr auf Unternehmen beziehen mit unseren Beispielen.
Bitte beachten Sie, dass sich Hacker und Kriminelle sich nicht an Ihre Geschäftszeiten halten. Im Ernstfall sollten Sie auch Nachts und an Feiertagen einen Kontakt haben, der Sie unterstützt!
Inhalt
1 Vorfall richtig identifizieren
2 Ein Cyber-Vorfall wurde identifiziert
2.1 Schadensbegrenzung
2.2 Analyse und Konsequenzen
2.3 Wer kann mir helfen?
3 Vorfall melden und zur Anzeige bringen
3.1 Anzeige stellen
3.2 Meldepflicht bei Datenschutzbehörden
3.3 Meldepflicht bei Betroffenen
3.4 Kommunikation mit der Öffentlichkeit
4 Den laufenden Prozess betreuen und koordinieren
5 Nach Wiederherstellung aller Systeme und Daten
5.1 Nach der Cyberattacke ist vor der Cyberattacke
6 Fazit
Handelt es sich überhaupt um einen Cyber-Vorfall? Manchmal kann es sich auch um eine Störung der Hardware handeln oder um ein einfaches Versehen Dritter. So könnte Ihre IT versehentlich Ihren Zugang zum System gesperrt haben oder die Grafikkarte hat einen Schaden und der Bildschirm flackert einfach nur sehr wild.
Hier wäre als erstes die eigene IT zu kontaktieren egal ob intern oder extern. Wenn dies nicht weiterhilft und die IT keinen Kontakt zur weiteren Analyse hat, dann empfiehlt es sich hier einen Digitalen-Ersthelfer auf den Seiten des Bundesamt für Sicherheit in der Informationstechnik zu suchen und zu kontaktieren. In der Regel ist die Dienstleistung des Digitalen-Ersthelfer kostenlos und dient dazu den Vorfall aufzunehmen und weitere Handlungsempfehlungen und dazugehörige Kontakte zu geben. Nebenbei sind wir auch Teil des Digitaler Ersthelfer im Cyber-Sicherheitsnetzwerk.
Wer eine Cyberversicherung hat kann auch hier schon die Notfall-Hotline anrufen und wird Fall spezifisch von Experten betreut und kann den Fall in die Hände von Experten übergeben. Hier finden Sie mehr Infos zu Cyberversicherungen.
Die im Folgenden beschriebenen Maßnahmen können teilweise zeitgleich ablaufen und bestimmen die ersten Stunden nach der Cyberattacke.
Ihre IT ist informiert und übernimmt im Idealfall sofort erste Maßnahmen. Diese sollen im Ersten Schritt verhindern, dass der Vorfall sich ausbreitet und weitere Systeme beeinflusst oder über die Datenverbindung weitere Daten abfließen. So kann es je nach Fall ratsam sein, alle Geräte vom Internet zu trennen. Ebenso könnte es ratsam sein Maschinen zu stoppen und auszuschalten, welche von vernetzten Computersystem gesteuert werden, um zu verhindern, dass diese die falschen Befehle erhalten.
Die eigene IT kann, je nach schwere des Vorfalls, gegebenenfalls nur die nötigen ersten Sofortmaßnahmen durchführen und könnte schnell Hilfe von Experten benötigen, die auf solche Vorfälle spezialisiert sind. Die zu erledigenden Aufgaben sind die Erstellung eines genauen Schadenprotokolls, Wiederherstellung der Systeme und/oder Daten sowie die Schließung der Sicherheitslücken. Wenn Sie hier keinen Kontakt vorliegen haben, dann können Sie:
Bitte seien Sie sich bewußt, dass in einer akuten Notlage der vermeintliche Helfer Ihre Situation ausnutzen könnte! Deswegen empfehlen wir Ihnen dringend für den Notfall mindestens 3 seriöse Kontakte zu recherchieren. Ferner würden wir Ihnen empfehlen mit dem favorisierten Anbieter im Vorfeld Kontakt aufzunehmen um sich in den Kundenstamm eintragen zu lassen und ggf. Notfallkontaktdaten zu erfragen.
Die ersten Maßnahmen sind getroffen und die Spezialisten sind an der Arbeit. Jetzt, da die ersten Informationen zur Art und des Ziels des Angriffs vorliegen, ist es an der Zeit den Vorfall ggf. zu melden und bei der Polizei zur Anzeige zu bringen.
Für die Anzeige bei den Ermittlungsbehörden wenden Sie sich an:
Die polizeiliche Ermittlungsarbeit hat den positiven Nebeneffekt, dass die Analyse der Ermittlungsbehörden weitere Informationen zu den genutzten Sicherheitslücken hervorbringen kann, welche dann in Zukunft geschlossen werden können.
Wir empfehlen die Kontakte der IT-Dienstleister an die Behörden weiterzugeben oder bei jedem Gespräch zu technischen Themen einen der Dienstleister hinzuzuziehen. Bei der Weitergabe von Informationen besteht immer die Gefahr wichtige Informationen zu übergehen, welche von Relevanz sein könnten.
Nach Art. 33 Datenschutzgrundverordnung (DSGVO) besteht eine Meldepflicht im Falle von Datenschutzverletzungen durch Cyberattacken. Dies wird allerdings abgeschwächt in dem eine Meldepflicht nicht besteht, wenn das Risiko, durch die Verletzung des Schutzes personenbezogener Daten, für die Rechte und Freiheiten von natürlichen Personen gering ist. Ein hohes Risiko, und damit eine Meldepflicht, liegt vor, wenn die Cyberattacke zur Löschung/Verlust, Veränderung oder zur Veröffentlichung von personenbezogenen Daten geführt hat.
An diesem Punkt kann Unsicherheit vorherrschen, ob der Vorfall gemeldet werden muss oder nicht. Da die genaue rechtliche Lage hier für den Laien nicht immer ganz klar ist empfiehlt es sich einen Fachmann oder Fachfrau zu Rate zu ziehen. Im Zweifel würden wir zu einer Meldung an die entsprechende Behörde raten.
Hier geht es zu den Landesdatenschutzbehörden.
Ebenso wie unter 3.2 beschrieben die Landesdatenschutzbehörde informiert werden muss, so müssen auch alle Kunden, Nutzer, Partner etc. informiert werden, deren Daten betroffen sind. Hier sollte eine Information vollumfänglich und möglichst zeitnah erfolgen.
Es empfiehlt sich in einer E-Mail den Fall darzulegen und welche Daten im Einzelfall betroffen sind und welche nächsten Schritte ggf. erforderlich wären. Falsch wäre es jede neue und vielleicht für den Einzelnen unwichtige Erkenntnis zu kommunizieren und so mehr Verwirrung und gar Panik zu schaffen auf Grund der Vielzahl an Neuigkeiten. Eine klare Kommunikation mit den relevanten Fakten ist anzustreben.
Hier ist erstmal nach schwere des Falls zu entscheiden, ob und wie groß das öffentliche Interesse überhaupt ist und was der richtige Kanal ist. Die Tagesschau wird wohl nicht darüber berichten, wenn einem Schreiner in Kiel der Computer lahmgelegt wurde oder wenn ihm 20 Kontaktdaten vom Mobiltelefon „geklaut“ wurden. Anders sieht es aus, wenn ein Werk mit hundert Arbeitern vorübergehend geschlossen werden muss, weil der Maschinenpark außer Gefecht gesetzt wurde.
Es empfiehlt sich die eigenen Kanäle zu nutzen wie Webseite, Newsletter, Social Media Accounts etc. Wenn es ein Medieninteresse geben sollte, werden diese die genannten Quellen verwenden oder für weitere Details anfragen einreichen. Gehen Sie mit der Situation möglichst offen und ehrlich um, damit Spekulationen keinen Nährboden finden.
In der Regel sollten alle Aufgaben verteilt sein und es gilt die Übersicht zu bewahren und die nächsten Schritte zu koordinieren und abzustimmen. Dieser Phase kann sich je nach schwere des Angriffs, Größe des Systems und des Unternehmens oder der Anzahl von betroffenen Daten auch über Monate hinziehen, bis wieder alle Systeme zu 100% in Betrieb sind.
In dieser Phase wird es zu konstanten Einschränkungen kommen für alle Beteiligten. Hier gilt es zu kommunizieren, zu koordinieren und Lösungen für die akute, temporäre Problemlage zu finden.
Jetzt ist es vorbei – alle Systeme laufen wieder und der Alltag kehrt zurück. Die Sicherheitslücken sind geschlossen worden und können nicht nochmals ausgenutzt werden.
Jetzt geht es in die Analyse mit den Fragestellungen:
Am Ende muss man sich immer bewußt sein, dass es keinen 100 prozentigen Schutz gibt. Man kann nur seine Prävention, Absicherung, Fachkompetenz und Spezialisten-Netzwerk optimieren, um es dem Angreifer so schwer wie möglich zu machen und den Schaden zu minimieren.
Seien Sie gut vorbereitet auf den Ernstfall, um nicht alleine dazustehen. Viele Cybervorfälle können nur von einem Team gelöst werden. Egal wie gut der Einzelne vorbereitet ist, es Bedarf immer weiteren Experten zur Lösung von komplexen Problemen. Stellen Sie sicher, dass die Experten nur einen Anruf entfernt sind und bereiten Sie sich somit auf den worst case vor.
Wer verfehlt zu planen – plant zu verfehlen
