Im Dezember 2018 überschlugen sich die Meldungen über Hackerangriffe und Datendiebstähle. Bei der Hotelkette Marriott wurden z.B. 500 Millionen Datensätze mit sensiblen Kundendaten gestohlen. Der Trojaner Emotet hat ganze Unternehmen lahmgelegt. Manche Unternehmen kämpfen seit Monaten gegen Erpresser, die ihre IT-Systeme gekapert haben. Sicherheitsexperten warnen seit Jahren, dass Hacker immer ausgefeiltere Angriffsmethoden nutzen, sind aber von der Wucht der neuesten Angriffe überrascht. Als Datenschutzbeauftragter sollten Sie Ihre Unternehmensleitung auf diese sehr hohen Risiken hinweisen, denn nicht nur Schäden durch Produktionsausfälle drohen, sondern auch hohe Bußgelder der Datenschutzaufsichtsbehörden.
Cybercrime. Das müssen Sie wissen.
Aktuelle Untersuchungen der Landeskriminalämter gehen davon aus, dass 53% der Unterneh-men Opfer von Cyberangriffen waren. Die Schadenshöhe wird mit 55 Milliarden angegeben. In der Regel werden Angriffe über Social Engineering und E-Mails mit Schadsoftware durchgeführt. Die Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder Bekannten und sind kaum von echten E-Mails zu unterscheiden. Die Hacker haben ganze Adress-bücher und Korrespondenzen erbeutet und erstellen auf der Basis dieser Informationen E-Mails, die dem normalen Kommunikationsverhalten des Unternehmens sehr ähnlich sind. Sicherheits-experten sprechen bei dieser neuen Vorgehensweise von „Dynamit Phishing“. Aber auch dieser Angriff ist nur erfolgreich, wenn der Mitarbeiter einen Anhang öffnet oder einen Link anklickt. Die Schadsoftware nutzt dann eine vorhandene Sicherheitslücke der IT-Systeme aus, um den eigentlichen Angriff durchzuführen. Im Falle von Emotet war diese Sicherheitslücke bereits seit gut einem Jahr bekannt. Umso schlimmer ist es, dass so viele Unternehmen, diese Sicherheits-lücke noch immer nicht geschlossen hatten.
Wichtig:
Erfolgreiche Angriffe wie Emotet zeigen, dass viele Unternehmen noch immer keine wirksame IT-Sicherheitsstrategie haben. Das zeigen auch aktuelle Studien namhafter Wirtschaftsprüfer wie PWC. Demnach haben lediglich elf Prozent der Unternehmen in Dax oder MDax auf Vorstands-ebene einen Verantwortlichen für IT-Sicherheit benannt. Dabei ist IT-Sicherheit Chefsache. Genau wie Datenschutz. Es ist von zentraler Bedeutung dass die Risiken auf Managementebene bekannt gemacht werden und im Unternehmen sachge-rechte Maßnahmen zum Schutz der Daten ergriffen werden.
Datensicherheit. Das sollten Sie sich für 2019 vornehmen.
Sie müssen davon ausgehen, dass Angriffswellen wie Emotet in 2019 häufiger auftreten und Datendiebstähle zunehmen werden. Unterstützen Sie im neuen Jahr Ihren Datenschutzbeauftragten dabei, dass in Ihrem Unternehmen die nachfolgenden Basis-Sicherheitsmaßnahmen umgesetzt werden:
- Regelmäßige Information und Sensibilisierung (Schulung, Awareness-Kampagnen) von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links.
- Etablierung eines zentralen automatisierten Patchmanagements. Das heißt: zeitnahe Installation von Sicherheitsupdates für Betriebssysteme und alle Anwendungsprogramme.
- Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
- Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test des Rückspielens von Daten.
- Prinzip der minimalen Rechte einführen, denn Fehler interner Nutzer stellen die größte Gefahr dar. Keine lokalen Administratorkonten oder Administrationsrechte für Mitarbeiter auf Arbeitsplatzrechnern.
Fazit:
Datensicherheit ist ohne IT-Sicherheit nicht möglich. Sie sollten darauf hinwirken, dass ein IT-Sicherheitsmanagement nach gängigen Standards wie der ISO 27001 und dem BSI Grundschutz in Ihrem Unternehmen etabliert werden. So können Sie auch den Datenschutz voranbringen.