Es ist ein mehr als besorgniserregendes Szenario, das immer häufiger Realität und in der Presse bekannt wird: Unbekannte Cyberkriminelle melden sich mit einer Erpressermeldung bei Unternehmen, in dem steht, dass Unternehmensdaten erbeutet wurden.
Dieser sogenannten Ransomnote ist zumeist als Beweis eine Auflistung der entwendeten Daten inklusive dazugehöriger Pfade angefügt. Ein Super-GAU, auf den es im Sinne einer ganzheitlichen Aufklärung und künftiger Gefahrenprävention zügig, effizient und transparent zu reagieren gilt. Wie laufen die Angriffe in der Praxis ab und was sollte bei der Aufarbeitung im Unternehmen technisch, organisatorisch und rechtlich besonders im Fokus stehen?
Der Angriff: Wie gehen Cyberkriminelle vor?
Klar ist: Es gibt keine Hacking-Blaupause – so ist jeder Datendiebstahl individuell und genau so zu behandeln: vom Abzug eines E-Mail-Postfachs über die Exfiltration ganzer Abteilungslaufwerke bis zum physischen Datendiebstahl durch Entwendung eines USB-Sticks. Gleichzeitig gehen mit der Entwendung der Daten oftmals ähnliche Fragestellungen einher.
Erfahrungsgemäß erhält beispielsweise ein Mitarbeiter oder eine Mitarbeiterin eines Unternehmens zunächst eine E-Mail mit einem schadhaften Link oder Anhang. Erfolgt ein Klick auf Link oder Anhang, wird maliziöser Code auf dem System ausgeführt. Die Folge: Unbekannte erhalten Systemzugriff.
Im nächsten Schritt versucht sich der Angreifer im IT-Netzwerk fortzubewegen (sogenanntes lateral movement) und weitreichende Berechtigungen zu erbeuten – die Privilege Escalation – und sich somit Zugang zu einer Vielzahl von Daten zu verschaffen. Gelingt das, werden die Daten anschließend oftmals über Wochen unauffällig aus dem Unternehmen geschleust.
Es kommt zudem vor, dass Angreifer zusätzlichen Schaden anrichten, indem sie gegebenenfalls existierende Online-Backupstände löschen und IT-Systeme verschlüsseln. Benutzer sehen zu diesem Zeitpunkt nur noch eine Erpressermeldung auf dem Bildschirm und jedweder Zugriff wird blockiert.
Wenn der Angreifer sowohl hinsichtlich des Datenlecks als auch der Verschlüsselung erfolgreich waren, spricht man von der Double Extortion, zu Deutsch: doppelte Erpressung. Denn zum einen sind die eigenen Daten nun für das Unternehmen nicht mehr nutzbar, zum anderen wird nach dem Diebstahl angedroht, die Daten im Darknet zu veröffentlichen.
Zu diesem Zeitpunkt sieht sich das Unternehmen einer Vielzahl von technischen, organisatorischen und rechtlichen Herausforderungen ausgesetzt und es ergeben sich diverse Fragen aus ganz unterschiedlichen Richtungen.
Die richtige Reaktion: Technik und IT-Sicherheit
Nach Bekanntwerden des Cybervorfalls sollten Unternehmen schnellstmöglich eruieren, wie das womöglich noch existierende Datenleck technisch zu schließen ist. Zeitgleich sollte überprüft werden, welche Systeme und Programme im Visier der Angreifer waren. Befinden sich die Angreifer womöglich sogar noch im Netz, sind sofortige Maßnahmen zur eindeutigen Identifizierung betroffener Systeme und zum Ausschluss des Angreifers erforderlich. Im weiteren Verlauf der Angriffsanalyse ist nicht nur das Ermitteln des „Patient Zero“ erforderlich, also des ursprünglichen Einfallstors, sondern auch das Aufspüren potenzieller Hintertüren (sog. Backdoors).
Es folgt eine umfassende forensische Aufarbeitung des schwerwiegenden Zwischenfalls. Das betroffene Unternehmen stellt gemeinsam mit den IT-Forensikern fest, welche Systeme durch die Angreifer erreicht und kompromittiert wurden und – sofern bereits möglich – aus welchen Systemen die gestohlenen Dateien stammen und wie umfangreich das Datenleck war oder noch ist.
Die entwendeten Daten werden abschließend detailliert identifiziert. Das erfolgt in der Praxis zu Beginn nicht selten über die von den Angreifern geschickten Listen, in denen die entwendeten Daten aufgeführt sind. Die Cyberkriminellen versenden diese Listen („Threat Actor Lists“), um zu belegen, dass sie die Beute tatsächlich besitzen. Die Datensätze aus der Liste werden in den eigenen Systemen nachvollzogen und abgeglichen. So kann auch herausgefunden werden, wie tiefgehend der Eingriff der Unbekannten war. Diese Ermittlungen geben nicht zuletzt Aufschluss über etwaige gesetzliche oder regulatorische Meldepflichten (s. folgendes Kapitel).
Mit der Identifikation der betroffenen Systeme und Daten fängt die Arbeit jedoch erst richtig an, denn es können sich je nach Art und Inhalt der Daten unterschiedliche Anforderungen an die Reaktion und den Umgang mit den Daten ergeben. Sind beispielsweise personenbezogene Daten vom Datenleck betroffen, ist mit diesen Daten anders zu verfahren (siehe nachfolgend), als wenn es sich um Betriebsgeheimnisse oder gar Daten Dritter, das heißt Geschäftspartnern, handelt.
In der Praxis werden die Daten von IT-Forensikern nun in dafür geeigneten Software-Lösungen kategorisiert. Es werden relevante Datenpunkte extrahiert. Somit hat das Unternehmen dann Kenntnis von den Dateninhalten und kann unterschiedlich mit diesen Inhalten verfahren. Für die Kategorisierung kommen eDiscovery-Portalsysteme und Best Practise-Know-how zum Einsatz, um die Menge an Daten möglichst effektiv zu bearbeiten.
Der neue Standard unter Angreifern scheint es zu sein, mehrere Terrabyte an Daten zu entwenden, was Millionen von Dokumenten entspricht. Ein gut austarierter Mix aus Vorfilterung (beispielsweise über Zeit- und Suchwortfilter), manueller Sichtung und Abwägung sowie maschinellem Lernen machen die Masse an Daten dann nun mehr für die Unternehmen beherrschbar.
Die richtige Reaktion: Recht und Kommunikation
Sofern es im Rahmen des Angriffs zu einer Verletzung des Schutzes personenbezogener Daten kommt – eben weil der Angreifer Zugriff auf personenbezogene Daten bspw. von Mitarbeitenden, Kunden oder Geschäftspartnern hat, muss das Unternehmen dies gem. Art. 33 EU-Datenschutz-Grundverordnung („DSGVO“) unverzüglich, möglichst binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde melden.
Darüber hinaus kann die unverzügliche Benachrichtigung der betroffenen Personen gem. Art. 34 DSGVO erforderlich sein. Dies ist der Fall, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht. Unternehmen sind dementsprechend gefordert, eine detaillierte Risikoeinschätzung hinsichtlich der betroffenen Personen, der betroffenen personenbezogenen Daten sowie der (bereits) ergriffenen Maßnahmen durchzuführen. Hinsichtlich der tatsächlichen vorzunehmenden Benachrichtigung ist im Einzelfall abzuwägen, welche Form der Benachrichtigung der betroffenen Personen unter Berücksichtigung der Umstände und des Aufwandes notwendig ist.
Klar ist: Unternehmen sollten eine detaillierte und dokumentierte Abwägung vornehmen und sich beraten lassen, welche Inhalte in der Benachrichtigung enthalten sein müssen. Denn mit einem Datenschutzverstoß können empfindliche Geldbußen von bis zu 4% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres einhergehen.
Neben den Melde- und Benachrichtigungspflichten, die Unternehmen treffen haben die betroffenen Personen darüber hinaus die Möglichkeit Auskunftsersuchen nach Art. 15 DSGVO geltend zu machen. Verkürzt gesagt können natürliche Personen von Unternehmen verlangen, Auskunft darüber zu geben, ob ihre personenbezogenen Daten verarbeitet werden, zu welchem Zweck dies geschieht und welche Daten dies konkret umfasst. Mit derartigen Anfragen werden Unternehmen bei Bekanntwerden eines Datenlecks oftmals geradezu überflutet.
So einfach diese Anfragen für betroffene Personen sind, umso komplizierter sind diese für die umzusetzenden Unternehmen: Wo können sich die Betroffenen melden, existiert ein dafür eingerichtetes Medium, wie bspw. eine Hotline? Welche Auskünfte werden Ihnen dort gegeben und sind die Hotline-Mitarbeiter überhaupt ausreichend geschult, um datenschutzkonforme Auskünfte zu erteilen? Wie werden die Anfragen nachgehalten und dokumentiert? Und: Wie authentifizieren sich die Betroffenen überhaupt? Bei Auskünften an die falschen Personen sieht sich das Unternehmen ansonsten direkt dem nächsten Datenschutzverstoß ausgesetzt.
Zu beachten ist außerdem, dass ein Datenleck in der Regel interne Ressourcen in erheblichem Maß binden. IT, Recht, Datenschutz, Informationssicherheit, Unternehmenskommunikation, HR – die –Liste der involvierten Stakeholder ist lang. Herausfordernd ist dabei auch, dass die mit der Aufarbeitung des Datenlecks betrauten Personen nun möglicherweise mit mehr (auch vertraulichen) Dateninhalten in Berührung kommen (könnten), als es im normalen Tagesgeschäft der Fall gewesen wäre. Hier werden Mitarbeiter und Mitarbeiterinnen oftmals mittels Vertraulichkeitsvereinbarungen zur Verschwiegenheit in Bezug auf die gesichteten Daten verpflichtet.
Hinsichtlich der Kommunikation im Fall von Datenlecks ist für Unternehmen letztlich ganzheitliche Vorabplanung ratsam: Unternehmen sollten sich frühzeitig Gedanken bezüglich möglicher Kommunikationskanäle zu ihren Mitarbeitern und Mitarbeiterinnen machen. Für die Unterrichtung des eigenen Personals bieten sich Town Hall Meetings, aber je nach Vorfall auch SMS oder E-Mails an.
Externe können theoretisch auch per Mail über das Datenleck unterrichtet werden – aber haben die Unternehmen von jeder externen Person die Mail-Adresse? Die Alternative des postalischen Wegs ist allerdings auch nicht unkompliziert: Bei einem Datenleck mit beispielsweise 500.000 betroffenen Personen müssen 500.000 Briefe gedruckt, eingetütet und versendet werden. Das führt zu Kosten – beginnend bereits beim Porto.
Zusammenfassend ist es also wichtig, nach einem erfolgreichen Angriff alle relevanten Dimensionen der Aufarbeitung im Blick zu behalten – Technik, Organisation, Rechtliches, Stakeholder-Management und Kommunikation stellen dabei nur die wesentlichen Eckpfeiler dar.
>> Mehr zum Thema Cybersicherheit:
Acht Punkte, die CISOs im Blick haben sollten
Cyber Security: So schützen Medienunternehmen ihr Geschäftsmodell