Logo LDI NRW

Hilfe, ein Cyberangriff!

Die Gefahr von Cyberangriffen wächst. Die Angreifenden sind zunehmend professionell organisiert und in der Lage, Sicherheitslücken schnell zu nutzen. Sie verfügen über Werkzeuge, um Schwachstellen der Systeme zu identifizieren. Auch Betrugs- und Phishing-Maschen sind deutlich professioneller geworden – und damit schwerer für Nutzer*innen zu erkennen. Expert*innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Wie sieht ein typischer Angriff aus? Systeme wurden verschlüsselt, es wird mit der Veröffentlichung von Daten gedroht – oder Schadmails werden vom System aus versandt. Und in der Regel gilt: Wenn das Unternehmen, der Verein, die Behörde oder eine andere Stelle von einem Cyberangriff betroffen ist, ​​​​​​dann geht es meist auch um personenbezogene Daten. Für die Personen, deren Daten betroffen sind, gilt es, den Schaden möglichst zu begrenzen.

Im Falle eines Cyberangriffs ist dazu Folgendes zu tun:

  • Alles tun, um den Angriff zu stoppen bzw. einzugrenzen!
  • Die Ursache, den Umfang, den Ablauf und die Folgen untersuchen!
  • Die möglichen Auswirkungen für die betroffenen Personen bestimmen und das Risiko für die Rechte und Freiheiten natürlicher Personen bewerten!
  • Maßnahmen treffen, um die möglichen Folgen für die betroffenen Personen abzumildern und diese ggf. über den Vorfall benachrichtigen!
  • Vorkehrungen treffen, um künftige Angriffe zu verhindern bzw. das Schutzniveau den Gefahren anpassen!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Informationen zum Umgang mit Cyberangriffen zur Verfügung. Diese Infos umfassen auch Listen von Dienstleistern im IT-Sicherheitsbereich, die zur Unterstützung kontaktiert werden können. Zudem besteht die Möglichkeit, sich an den Single Point of Contact des Cybercrime-Kompetenzzentrums zu wenden.

Reaktion auf einen Cyberangriff – Schritt für Schritt

1. Cyberangriff stoppen oder zumindest eingrenzen

Erster Schritt: prüfen, welche Systeme betroffen sind! Als direkte Maßnahme sollten die betroffenen Systeme vom Internet und internen Netzwerk getrennt werden. So wird verhindert, dass die Angreifenden weiter Zugriff auf Daten haben oder sich Schadsoftware verbreitet. Die betroffenen Systeme und angeschlossene Geräte sollten isoliert und geprüft werden. Systeme im gleichen Netz, die nicht betroffen zu sein scheinen, sollten trotzdem überwacht werden, um auf ggf. unbemerkt eingerichtete „Backdoors“ (Teile der Schadsoftware, die durch die „Hintertür“, also unter Umgehung des Schutzes eindringen) und weitere Angriffe direkt reagieren zu können. Bereits in dieser Phase ist die Einbindung von (externen) Experten ratsam. Ergänzend weist die LDI NRW auf die „TOP 12 Maßnahmen bei Cyberangriffen“ des BSI hin.

2. Untersuchung des Vorfalls

Keine Angst vor externer Unterstützung: Sogenannte Computer-Emergency-Response-Teams (CERT) bzw. Computer-Security-Incident-Response-Teams (CSIRT) haben sich auf Cyberangriffe spezialisiert. Sollte der Angriff Auftragsverarbeiter betreffen, die mit der Verarbeitung von Daten beauftragt wurden, so liegt ein Großteil der Untersuchung bei diesen. Eine Prüfung der Systeme des Verantwortlichen ist ebenfalls sinnvoll, um sicherzustellen, dass die Systeme nicht ebenso betroffen sind.

Untersucht werden sollte: 

  • der chronologische Ablauf des Angriffs,
  • die Ursache bzw. der Angriffsvektor (Weg, den die Eindringlinge ins das System genommen haben,) und
  • der Umfang (Dauer, betroffene Systeme und Daten) des Angriffs.

Um den Anforderungen der DS-GVO zum Schutz personenbezogener Daten zu entsprechen, muss untersucht werden, ob und wie viele personenbezogene Daten betroffen sind. Dazu ist es hilfreich, sich an folgenden Fragen zu orientieren:

a. Was ist mit den personenbezogenen Daten passiert (sog. Schutzverletzungen, also Vernichtung, Verlust, Veränderung, unbefugte Offenlegung, unbefugter Zugang)?

  • Wurden Daten verschlüsselt oder gelöscht?
  • Wurden Daten veröffentlicht?
  • Wurden Daten bereits unbefugt genutzt (bspw. für den Versand von Schadmails)?

b. Welche weiteren Arten von Schutzverletzungen sind wahrscheinlich oder möglich (sind zum Beispiel Daten kopiert, worden; wurden kopierte Daten vielleicht sogar weitergegeben oder veröffentlicht, wurden Datensätze verändert)?

  • Wie lange hatten die Angreifenden Zugang zu welchen Systemen?
  • Gibt es Hinweise auf eine Kopie von Daten (bspw. aufgrund von Software, die für den Angriff installiert oder genutzt wurde, oder von Systemprotokollen von Betriebssystemen, Firewalls oder Netzwerkkomponenten)?
  • In welchem Umfang könnten Daten kopiert oder eingesehen worden sein?
  • Wurde eine Veröffentlichung von den Angreifenden angedroht?
  • Können sog. Leak-Seiten ermittelt werden, auf denen die Daten veröffentlicht, die Veröffentlichung angekündigt oder die Daten zum Kauf angeboten werden?

c. Welche Kategorien von Personen sind betroffen?

d. Welche Kategorien personenbezogener Daten sind betroffen?

e. Wie viele Personen sind ungefähr betroffen?

f. Wie viele Datensätze sind ungefähr betroffen?

Innerhalb von 72 Stunden nach dem Bekanntwerden des Angriffs muss eine (erste) Einschätzung zum Risiko für die Rechte und Freiheiten natürlicher Personen erfolgen. 

Auftragsverarbeiter müssen Auftraggeber*innen unabhängig vom Risiko informieren und sie bei der Erfüllung ihrer gesetzlichen Pflichten unterstützen (vgl. Art. 33 Abs. 2 DS-GVO, Art. 28 Abs. 3 lit. f DS-GVO).

3. Auswirkungen auf die betroffenen Personen bestimmen

Auf der Grundlage der Untersuchung muss der Verantwortliche das Risiko für die Rechte und Freiheiten natürlicher Personen ermitteln. Das Risiko bestimmt sich aus einerseits der Eintrittswahrscheinlichkeit, und anderseits der Schwere der möglichen Schäden für die Personen. Mögliche Schäden können für Personen-Kategorien (zum Beispiel sortiert nach ihrer Rolle (Beschäftigte, Kund*innen, Patient*innen, etc.) und der betroffenen Daten (Name, Adresse, Bankdaten, Gesundheitsdaten etc.) erfasst werden. Schäden sind zum Beispiel:

  • Diskriminierung
  • Identitätsdiebstahl
  • Finanzieller Verlust
  • Rufschädigung
  • Verletzung des Berufsgeheimnisses
  • Aufhebung der Pseudonymisierung
  • Erhebliche wirtschaftliche oder gesellschaftliche Nachteile
  • Verlust der Kontrolle über personenbezogene Daten
  • Einschränkung von Rechten und Freiheiten

Wenn Angreifende Daten einsehen oder kopieren konnten, ist für die Betroffenen ein Verlust der Kontrolle über ihre personenbezogenen Daten eingetreten. Sofern sich die Schwere dieses Schadens nicht direkt bewerten lässt, kann die Bewertung anhand der möglichen Folgeschäden des Kontrollverlustes (zum Beispiel Identitätsdiebstahl, wirtschaftliche oder gesellschaftliche Nachteile) erfolgen.

Bei der Bewertung der Schwere des Schadens helfen folgende Fragen:

  • In welchem Umfang sind personenbezogene Daten betroffen (Anzahl der Datensätze bzw. Einzelinformationen)?
  • In welcher Qualität wurden personenbezogene Daten offenbart und handelt es sich um besondere Kategorien, z. B. im Falle von Gesundheitsdaten: Informationen zur Behandlung von Patienten, einer bestimmten Erkrankung, einer Therapie, zu Laborwerten, zu Lebensmittelunverträglichkeiten?
  • Ist es Unbefugten möglich, die Personen mit den Daten zu identifizieren, zu kontaktieren oder eine Handlung auf diese gerichtet vorzunehmen?
  • Erlauben die Daten weitere Rückschlüsse zum Beispiel auf Vermögen oder den sozialen Status?
  • Sind mit den Daten kurzfristige, langfristige oder dauerhafte Aussagen oder Rückschlüsse auf die Personen möglich (zum Beispiel einzelne Behandlung, chronische Erkrankungen oder Allergien)?
  • Oder sind es unkritische Informationen, von deren Offenlegung keine weiteren Nachteile zu erwarten sind?
  • Zu welchen Zwecken könnten Unbefugte (die Angreifenden oder Dritte) die Daten verarbeiten?
  • Liegen Datensicherungen vor, aus denen verlorene oder vernichtete Daten wiederhergestellt werden können und mit deren Hilfe geprüft werden kann, ob eine Veränderung von Daten erfolgte?
  • Bestehen Möglichkeiten, verlorene Daten aus anderen Quellen (zum Beispiel von den betroffenen Personen) erneut zu erheben?
  • Können Nachteile, die aufgrund einer Veränderung oder eines Verlustes von Daten entstehen können, vom Verantwortlichen abgemildert werden (zum Beispiel durch Entschädigungen, Kulanz oder Widerspruchsmöglichkeiten)?
  • Können mit dem Angriff gesellschaftliche oder wirtschaftliche Nachteile wie Rufschädigung, Diskriminierung oder finanzieller Verlust verbunden sein? 

Nach der Bewertung des Schadens (Diskriminierung, Rufschädigung etc.) geht es um die Eintrittswahrscheinlichkeit. Dabei helfen folgende Fragen:

  • Handelt es sich um sogenannte ethische Hacker bzw. White-Hat-Hacker, die sich auch namentlich zu erkennen geben?
  • Handelt es sich um einen gezielten Angriff auf den Verantwortlichen oder um eine systematische Ausnutzung von Sicherheitslücken bzw. einen Versand von Schadmails in die Breite? 
  • Drohen weitere Angriffe und werden Forderungen gestellt?
  • Für welche Arten von Folgeangriffen eigenen sich die betroffenen Daten (zum Beispiel Versand von Schadmails oder gezieltes Spear-Phishing)
  • Könnten sich die Angreifenden einen finanziellen oder gesellschaftlichen Vorteil durch die Daten verschaffen bzw. erhoffen?
  • Ist die Nutzung der Daten für die Angreifenden mit einem Risiko verbunden – zum Beispiel durch Entdeckung?

Schwere und Eintrittswahrscheinlichkeit werden in der Regel auf Grundlage einer qualitativen Skala (zum Beispiel geringfügig, überschaubar, substantiell, groß) bewertet. Aus einer Risikomatrix kann dann für die Kombination aus Schwere und Wahrscheinlichkeit die Risikostufe (gering, mittel, hoch) des Schadens für die natürlichen Personenabgelesen werden. Weitere Informationen dazu finden sich im DSK-Kurzpapier Nr. 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“.

Auf der Grundlage der Risiken ergeben sich die Pflichten für Verantwortliche:

Risiko\Pflichten

Interne Dokumentationspflicht (Art. 33 Abs. 5 DS-GVO)

Meldepflicht an zuständige Aufsichtsbehörde (Art. 33 Abs. 1 DS-GVO)

Benachrichtigungspflicht gegenüber den betroffenen Personen (Art. 34 DS-GVO)

Voraussichtlich kein bzw. nur geringes Risiko

ja

Nein

nein

Risiko

ja

Ja

nein

Hohes Risiko

ja

ja

ja

Meldungen nach Art. 33 DS-GVO an die LDI NRW als zuständige Aufsichtsbehörde können über ein Web-Formular abgegeben werden.

4. Nachteile für die betroffenen Personen abmildern

Nach der Ermittlung der Risiken müssen Verantwortliche und Auftragsverarbeiter prüfen, was sie unternehmen können, um die möglichen Auswirkungen abzumildern. Hierzu zählen vor allem

  • Schritte zur Wiederherstellung der Daten,
  • der Prüfung der Daten auf unbefugte Veränderungen und
  • die Wiederherstellung der Dienste.

Zudem muss sichergestellt werden, dass Datenmissbräuche oder Folgeangriffe künftig frühzeitig erkannt und verhindert werden können. Und schließlich sollten die Aktivitäten der Angreifenden (weitere Kontaktaufnahmen, Veröffentlichungen von Daten etc.) im Auge behalten und Hinweise auf mögliche Datenmissbräuche geprüft werden.

Zur Abmilderung des Schadens gehört es, die Betroffenen zu informieren!

Die LDI NRW hält es grundsätzlich für sinnvoll, betroffene Personen über den Angriff zu informieren – selbst wenn keine Pflicht nach DS-GVO dazu besteht. Informiert zu werden, gibt der betroffenen Person aber die Möglichkeit, sich auf Folgen vorzubereiten, zum Beispiel indem sie wachsamer gegenüber möglichen Betrugsversuchen ist.

Die Benachrichtigung der betroffenen Personen muss in klarer und einfacher Sprache geschehen. Die Information muss  

  • die Art der Verletzung, 
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, 
  • die wahrscheinlichen Folgen der Verletzung sowie 
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Verletzung 

beinhalten.

Neben der Sensibilisierung für die möglichen Folgen sollten den betroffenen Personen Schutzmaßnahmen empfohlen werden, die sie selbst treffen können. Zusätzlich empfiehlt es sich, in der Benachrichtigung darauf hinzuweisen, dass der Angriff an die Datenschutzaufsichtsbehörde gemeldet wurde.

Grundsätzlich sollte eine individuelle Benachrichtigung der Personen über bekannte Kontaktdaten erfolgen. Können die Personen oder deren Kontaktdaten nicht mit vertretbaren Aufwand ermittelt werden, kann die Benachrichtigung über alternative Wege (zum Beispiel eine öffentliche Bekanntmachung) erfolgen, die ebenso wirksam informieren.

Wollen die Verantwortlichen dazu ihre Internetseite nutzen, muss die Information so platziert werden, dass sie regelmäßig beim Besuch der Webseite zu finden ist. Das gelingt zum Beispiel, indem unmittelbar sichtbar ein Hinweis auf der Startseite platziert wird.

5. Schutzniveau der Systeme der Gefahr anpassen

Damit Schadsoftware keinen Schaden mehr anrichten kann und alle „Hintertüren“ geschlossen sind, sollte das System neu aufgesetzt oder auf einen sicheren Stand zurückgesetzt und anschließend abgesichert werden. Zudem sollte das Schutzniveau des Systems künftigen Gefahren angepasst werden. Hierzu zählt auch die Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Systeme, die für die Sicherheit der Datenverarbeitung sorgen. So soll sichergestellt werden, dass 

  • kritische Sicherheitslücken schnell erkannt und geschlossen werden (Patch-Management) – hierzu sind Hinweise und Warnungen von Produktherstellern, Dienstleistern und weiteren Quellen (bspw. des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Cybersecurity & Infrastructure Security Agency (CISA)) zu berücksichtigen,
  • eingesetzte Systeme keine offenen oder unsicheren Schnittstellen haben,
  • personenbezogene Daten bei der Übertragung und Speicherung geschützt sind (Verschlüsselung),
  • an Netzübergängen der Datenverkehr kontrolliert und überwacht wird (Firewalls),
  • Systeme und Anwendungen, die Daten zu unterschiedlichen Zwecken verarbeiten, bspw. durch Netzsegmentierung und Kapselung, voneinander getrennt sind,
  • Verarbeitungen ausschließlich nach dem Need-to-know-Prinzip im Rahmen eines Rollen- und Berechtigungskonzepts erfolgen (insbesondere restriktive Vergabe von Administrationsrechten),
  • eine Überwachung der Verarbeitung erfolgt (Protokollierung),
  • eine durchgehende Prüfung auf Schadsoftware erfolgt,
  • Überlastungen von Systemen erkannt und behandelt werden können (sog. DDoS-Prävention),
  • sichere Authentifizierungsverfahren (Multi-Faktor-Authentifizierung, Passwortrichtlinien) eingesetzt werden,
  • effektiv auf Cyberangriffe und andere IT-Sicherheitsvorfälle reagiert werden kann (Notfallmanagement),
  • Daten nach der 3-2-1-Regel (drei verschiedene Datenkopien auf zwei unterschiedlichen Speichermedien, von denen ein Speichermedium an einem anderen Ort aufbewahrt wird) gesichert werden,
  • Datensicherungen und produktiven Systemen hinreichend getrennt sind,
  • die Fähigkeit zur Wiederherstellung der Datensicherung geprüft wird, 
  • Beschäftigte für IT-Sicherheit und Datenschutz sensibilisiert und geschult werden und
  • die Wirksamkeit der Maßnahmen regelmäßig (bspw. in der Form von Penetrationstest) geprüft wird.

Abschließend die Dokumentation

Nach überstandenem Angriff ist die interne Dokumentation zu erstellen und bei erfolgter Meldung der Datenschutzaufsichtsbehörde vorzulegen. Die Dokumentation muss mindestens folgende Informationen enthalten:

  1. Angaben zum Verantwortlichen,
  2. Angaben zur Anlaufstelle für weitere Informationen,
  3. ggf. Angaben zu weiteren am Vorfall beteiligten Stellen,
  4. kurze Beschreibung des Vorfalls,
  5. chronologische Darstellung der Ereignisse und der getroffenen Maßnahmen (inklusive geführter Korrespondenzen, E-Mails, Telefonnotizen, u. ä.),
  6. ggf. Begründung für eine verzögerte Meldung oder Benachrichtigung,
  7. Ergebnis der Ursachenuntersuchung,
  8. Kategorien betroffener Personen und deren ungefähre Zahl,
  9. Kategorien betroffener Daten je Personenkategorie und ungefähre Zahl der betroffenen Datensätze,
  10. Beschreibung der wahrscheinlichen Folgen einschließlich der Bewertung des Risikos für die Rechte und Freiheiten natürlicher Personen,
  11. ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Abmilderung (einschließlich der Information der betroffenen Personen),
  12. im Falle eines voraussichtlich hohen Risikos: Musterschreiben zur Benachrichtigung der betroffenen Personen, Darstellung der vergleichbar wirksamen Benachrichtigung oder Begründung warum eine Benachrichtigung nicht möglich oder erforderlich war,
  13. im Falle einer Auftragsverarbeitung: Meldung der Verletzung an die Verantwortlichen gemäß Art. 33 Abs. 2 DS-GVO inklusive des Zeitpunktes der Meldung,
  14. ergriffene oder vorgeschlagene Maßnahmen, um eine Wiederholung des Vorfalls zu vermeiden und künftig ein angemessenes Schutzniveau zu gewährleisten.

 

Web-Formular zur Meldung von Datenpannen an die LDI NRW