Aufarbeitung von Cyber-Attacken

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro

     (bitkom 05.08.2021, Abruf 17.8.2021)

Primäres Ziel ist den Geschäftsbetrieb sicher wiederherzustellen oder weiterzuführen

Bei Cyberangriffen werden den Unternehmen vielfach Daten entwendet und verschlüsselt. Häufig versuchen die Straftäter auf diese Weise „Lösegeld“ – oft in Kryptowährung – zu erpressen.

Nach einer solchen Attacke ist es primäres Ziel, den Geschäftsbetrieb sicher wiederherzustellen oder weiterzuführen. Es geht hier um Cyber Incident Response. Nach oder bereits während der Wiederherstellung der Betriebsfähigkeit sind zahlreiche Aspekte zu beachten. Hierzu gehören beispielsweise die interne und externe Kommunikation, Strafverfolgung, Datenschutzmeldungen und weitere rechtliche Implikationen des Vorfalls. Es geht nicht mehr um IT-Fragen, sondern um wirtschaftliche und rechtliche Themenstellungen, die es zu eruieren und zu beurteilen gilt.

Naheliegend sind dabei Meldepflichten nach § 8b Abs. 4 BSIG, § 109 Abs. 5 TKG sowie nach Art. 33, 34 DSGVO. Es gibt aber auch weitere Themen, an die gedacht werden muss. Verdeutlichen sollen dies die beiden folgenden Szenarios:

1. Szenario:

Mitarbeiter eines Unternehmens haben verbotene kartellrechtliche Verhaltensweisen an den Tag gelegt. Die Kommunikation lief dabei über E-Mail oder es wurden interne Vermerke gefertigt, die ein solches Verhalten dokumentieren. Im Rahmen eines Cyberangriffs werden solche Dateien entwendet und später geleakt. Es drohen straf- und zivilrechtliche Konsequenzen. Um hier gewappnet zu sein und ggf. reagieren zu können (z.B. Selbstanzeige), ist es dringend erforderlich, dass sich ein Unternehmen so schnell wie möglich einen detaillierten Überblick darüber verschafft, welche „sensiblen“ Daten entwendet (und ggf. geleakt) worden sind. 

2. Szenario:

Wie ggf. ein einziges Dokument ein Gesamtunternehmen bedrohen kann, mag ein zweites Beispiel verdeutlichen: Kundenkonditionen werden geleakt und viele der Kunden erhalten so einen Einblick in die Konditionen für Wettbewerber. Denkbar wäre, dass Kunden sich übervorteilt sehen und anschließend „kollektiv“ abwandern. Ein solches Leakage kann für Unternehmen schlimmstenfalls existenzbedrohend werden. 

Warum müssen geleakte Dokumente nach Datenentwendungen analysiert werden?

Wie aus den vorgenannten zwei Szenarios ersichtlich wird, können zahlreiche Gründe in Betracht kommen, warum sich ein Unternehmen nach einem Cyberangriff schnellstmöglich einen Überblick über die entwendeten Daten verschaffen muss.

In der Praxis ist häufig problematisch, dass nicht oder zumindest nicht unmittelbar nach einem Datenvorfall zu ermitteln ist, welche Daten entwendet worden sind. Selbst wenn Einfallstore schnell identifiziert werden können, bereitet es mitunter große Schwierigkeiten, den Umfang der entwendeten Daten festzustellen.

Ist dies der Fall, dann kann nur aus den (häufig im Darknet) veröffentlichten Daten ersehen werden, welche Informationen/Dateien/Dokumente definitiv betroffen sind. Man kann aber nie ausschließen, dass weitere nicht geleakte Daten entwendet wurden. 

Eine weitere Herausforderung stellt die Aufbereitung und strukturelle Durchsicht der häufig großen Datenmengen dar. Hier wird vielfach externe Hilfe in Anspruch genommen werden müssen, um einen entsprechenden Data Leakage Review bzw. eine Data Leakage Investigation durchzuführen.

Lesen Sie hier die ganze Ausgabe des ComplianceBusiness Magazins Ausgabe 3 - September 2021 und erfahren Sie mehr über z.B. die zentralen Punkte einer Aufarbeitung im Rahmen eines Data Leakage Reviews.

Bei Fragen oder Anmerkungen freuen wir uns auf Ihre Kontaktaufnahme.