gemischte Dinge
Datenpannen weltweit kosten heute mehr als 4,2 Millionen US-Dollar pro Vorfall. Wenn Unternehmen ihre digitale Infrastruktur stärken, erweitern sie auch die Angriffsfläche des Unternehmens. Im dritten Quartal 2021 wurden in den USA mehr Verstöße gemeldet als im gesamten Jahr 2020. Es dauert ziemlich lange, bis ein durchschnittliches Unternehmen eine Datenschutzverletzung findet und eindämmt, und es wird heute auf 287 Tage geschätzt. Was ist also zu tun, wenn ein Sicherheitsalarm ausgelöst wird? ESET-Experten teilten die folgenden Informationen zu den zu berücksichtigenden Dingen mit;
Die immer häufiger auftretenden Ransomware-Akteure, die bei modernen Datenschutzverletzungen an vorderster Front stehen, machen die Sache noch komplizierter.
Sich beruhigen
Eine Datenschutzverletzung ist eine der dringendsten Situationen für ein Unternehmen. Dies erzeugt viel Druck, insbesondere wenn dieses Ereignis von Ransomware-Akteuren ausgeführt wird, die Hostsysteme verschlüsseln und Zahlung verlangen. Impulsive Reaktionen können jedoch mehr schaden als nützen. Natürlich ist es sehr wichtig, das Unternehmen wieder zum Laufen zu bringen, aber in diesem Fall ist es wichtig, eine Methode zu haben. Sie sollten einen Vorfallreaktionsplan aufstellen und das Ausmaß des Verstoßes verstehen, bevor Sie größere Maßnahmen ergreifen.
Folgen Sie Ihrem Vorfallreaktionsplan
Sie sollten die Wahrscheinlichkeit berücksichtigen, dass die Organisation nicht „wann“ verletzt wird, sondern „wenn“ dies heute geschieht, und dass ein Plan zur Reaktion auf Vorfälle eine Best Practice für Cybersicherheit darstellt. Dies erfordert eine fortgeschrittene Planung; Beratung von Organisationen wie dem US National Institute of Standards and Technology (NIST) oder dem britischen National Cyber Security Centre (NCSC) kann eingeholt werden. Sobald ein schwerwiegender Verstoß erkannt wird, sollte ein vordefiniertes Incident-Response-Team, an dem alle Beteiligten im gesamten Unternehmen beteiligt sind, die Prozesse Schritt für Schritt abarbeiten. Es ist eine gute Idee, diese Pläne regelmäßig zu testen, damit alle vorbereitet sind und die Dokumentation auf dem neuesten Stand ist.
Beurteilen Sie das Ausmaß des Verstoßes
Einer der wichtigsten Schritte nach einem größeren Sicherheitsvorfall besteht darin, zu verstehen, wie stark das Unternehmen betroffen ist. Auf diese Weise werden Sie über Nachverletzungsmaßnahmen wie Meldung und Abhilfe informiert. Sie sollten herausfinden, wie die böswilligen Personen in die Systeme gelangt sind und wie groß die „Effektgröße“ des Angriffs war, dh auf welche Systeme diese Personen Zugriff hatten, welche Daten gefährdet waren und ob sich diese Personen noch im Netzwerk befanden. Hier kommen in der Regel externe Forensiker ins Spiel.
Die Rechtsabteilung einbeziehen
Sie sollten wissen, wo sich Ihre Organisation nach einer Sicherheitsverletzung befindet. Was sind Ihre Verpflichtungen? Welche Aufsichtsbehörden müssen benachrichtigt werden? Sollten Sie mit Angreifern verhandeln, um mehr Zeit zu gewinnen? Wann sollten Kunden und/oder Geschäftspartner benachrichtigt werden? Die interne Rechtsabteilung sollte hierbei Ihre erste Anlaufstelle sein. Sie können jedoch auch Experten im Bereich Cyber Incident Response einbeziehen. Informationsforensik darüber, was wirklich passiert ist, ist an dieser Stelle von entscheidender Bedeutung, damit diese Experten fundierte Entscheidungen treffen können.
Wissen, wann, wie und wem zu melden ist
Gemäß DSGVO (EU-Datenschutzgrundverordnung) und KVKK (Gesetz zum Schutz personenbezogener Daten) muss die örtliche Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung des Verstoßes benachrichtigt werden. Es ist jedoch wichtig zu verstehen, welche Mindestanforderungen für eine solche Benachrichtigung gelten, da dies für einige Ereignisse nicht erforderlich ist. An dieser Stelle ist eine gründliche Kenntnis des Umfangs des Verstoßes wichtig. Wenn Sie nicht wissen, wie viele Daten empfangen wurden oder wie Bedrohungsakteure in Systeme gelangt sind, sollten Sie bei der Benachrichtigung der Aufsichtsbehörde vom Schlimmsten ausgehen. Das UK Information Commissioner’s Office (ICO), das eine wichtige Rolle bei der Erstellung der DSGVO gespielt hat, hat hierzu hilfreiche Hinweise.
Polizei informieren
Unabhängig von regulatorischen Anforderungen ist es in Ihrem Interesse, bei Datenschutzverletzungen Strafverfolgungsbehörden an Ihrer Seite zu haben, insbesondere wenn sich noch Bedrohungsakteure in Ihrem Netzwerk befinden. Sie sollten die Strafverfolgungsbehörden so schnell wie möglich einbeziehen. Im Fall von Ransomware kann es Ihnen beispielsweise die Strafverfolgung ermöglichen, sich an Sicherheitsanbieter und andere Dritte zu wenden, die Entschlüsselungsschlüssel und Tools zur Risikoprävention anbieten.
Sagen Sie es Ihren Kunden, Partnern und Mitarbeitern
Dies ist ein weiterer Schritt, der auf jeden Fall auf Ihrer To-Do-Liste nach einem Verstoß stehen sollte. Aber auch hier hängt die Anzahl der Kunden/Mitarbeiter/Geschäftspartner, die Sie informieren müssen, was Sie ihnen mitteilen und wann Sie ihnen mitteilen, von den Details des Vorfalls und dem Diebstahl ab. Geben Sie zunächst eine Erklärung ab, dass die Organisation einen Vorfall bemerkt hat und den Vorfall derzeit untersucht. Sie sollten jedoch in Kürze mehr Details mitteilen, da sich Gerüchte darüber schnell verbreiten werden. IT, Public Relations und Rechtsabteilungen sollten bei diesem Thema in engem Kontakt miteinander arbeiten.
Starten Sie die Wiederherstellung und beheben Sie die Arbeit
Sobald der Umfang des Angriffs bestimmt wurde und die Forensik-/Vorfallreaktionsteams sichergestellt haben, dass Bedrohungsakteure keinen Zugriff mehr auf das Netzwerk erhalten, ist es an der Zeit, die Dinge wieder in Gang zu bringen. Dies kann bedeuten, Systeme aus Backups wiederherzustellen, kompromittierte Maschinen neu zu erstellen, betroffene Endpunkte zu patchen und Kennwörter zurückzusetzen.
Bauen Sie eine solide Grundlage für zukünftige Angriffe auf
Bedrohungsakteure teilen bei Cyberkriminalität oft Informationen im Untergrund. Zudem werden Organisationen, die in den Opferstatus fallen, immer mehr verletzt. Zu diesem Zweck wird Ransomware verwendet. Daher ist es wichtiger denn je, Informationen aus der Erkennung und Reaktion auf Bedrohungen sowie forensische Tools zu verwenden. Auf diese Weise können Sie sicher sein, dass alle Pfade, die die Angreifer beim ersten Mal benutzt haben, bei zukünftigen Angriffen nicht wieder verwendet werden. Dies kann eine Verbesserung des Patch- und Passwort-Managements, ein besseres Sicherheitsbewusstseinstraining, die Implementierung von Multi-Faktor-Authentifizierung (MFA) oder komplexere Änderungen an Personen, Prozessen und Technologie bedeuten.
Worst-Event-Reaktion untersuchen
Der letzte Punkt im Ereignisreaktionsrätsel ist das Lernen aus Erfahrung. Dazu gehört, wie bereits erwähnt, der Aufbau einer solideren Struktur für die Zukunft. Sie können auch andere Beispiele überprüfen. Vergangene Datenschutzverletzungen umfassen viele hochkarätige Vorfälle, auf die nur unzureichend reagiert wurde. In einem höchst umstrittenen Vorfall wurde ein Phishing-Link viermal über den Twitter-Account eines kompromittierten Unternehmens getwittert, der fälschlicherweise mit einem Link zur Website für die Reaktion auf Sicherheitsverletzungen des Unternehmens verwechselt wurde. In einem anderen Fall geriet eines der größten Telekommunikationsunternehmen Großbritanniens wegen der Veröffentlichung widersprüchlicher Informationen in die Kritik.
Unabhängig davon sind sich Kunden zunehmend bewusst, dass die Unternehmen, mit denen sie Geschäfte machen, auf Sicherheitsvorfälle stoßen werden. Ob sie weiterhin mit Ihnen zusammenarbeiten oder nicht, hängt davon ab, wie Sie auf diese Ereignisse sowie auf materielle und moralische Schäden reagieren.
