Die Notwendigkeit zum Schutz vor Cyberattacken steigt aufgrund der zunehmenden Anzahl von Cyberangriffen. Die deutschen Aufsichtsbehörden für Datenschutz plädieren in diesem Zusammenhang für mehr Prävention.
Hier ein paar Zahlen um Ihnen die Heftigkeit von Cyberangriffen verdeutlichen:
Durchschnittlich kostet eine Cyberattacke 21.828 Euro. Dabei nehmen auch die dadurch verursachten Schäden durch diese Angriffe stark zu. Die Höhe der Schäden aus digitalen Angriffen betrugen im Jahr 2020 24,3 Milliarden Euro. Das ist viermal so viel wie noch 2019.
Durch Ransomware verursachte Schäden sind noch höher. Unternehmen musste ca. eine Million Euro aufwenden, um den ursprünglichen Zustand von vor dem Cyberangriff wiederherzustellen. Betroffen sind 46 Prozent der deutschen Unternehmen
(Quelle: Sophos State of Ransomware 2021).
Prävention als Schutz vor Cyberattacken
Der beste Schutz vor Cyberattacken ist die Vorsorge. So sehen es neben zahlreichen Sicherheitsexperten auch die deutschen Aufsichtsbehörden für Datenschutz.
Folgende Empfehlungen werden daher von den Datenschutzaufsichtsbehörden als präventive Maßnahmen zum Schutz vor Cyberattacken gegeben:
- Datensicherung: Daten müssen gegen Verlust gesichert sein. Die Backups müssen von Cyberattacken unberührt bleiben können. Die Sicherungen müssen zudem regelmäßig erfolgen und sollten auch auf „Funktion“ geprüft werden.
- Firewall: Konfigurieren Sie Ihre Firewall – Standardeinstellungen und zu wenig Einschränkungen gehen am Ziel vorbei. Lassen Sie ausschließlich erforderliche Datenverbindungen zu. Ein Frühwarnsystem hilft den Systemverantwortlichen dabei größere Schaden abzuwenden wenn ein ungewöhnlich hoher, oder ungewöhnlicher Datenverkehr herrscht.
- Notfallplan: Erstellen Sie einen Notfallplan. Üben Sie den Ernstfall und überprüfen Sie dabei die Umsetzbarkeit Ihrer Planung in der Praxis (dem Notfall einer Cyberattack). Ihr Ziel ist es diesen im Erstfall abarbeiten zu können. Regeln Sie in Ihrem Notfallplan wann wer informiert werden soll. Denken Sie dabei an die IT, den Datenschutzbeauftragten, Mitarbeiter, Kunden und Unternehmensleitung.
- Reservetechnik: Die Aufsichtsbehörden empfehlen Ihnen den Betrieb von Reservetechnik. Ermittler können damit die angegriffenen IT-Systeme forensisch untersuchen und Ihr Unternehmen bleibt handlungsfähig.
- frühzeitige Kommunikation: Informieren Sie betroffene Personen und Abteilungen so schnell wie möglich über Vorfälle. Eventuell auch dann, wenn noch nicht klar ist, ob und welche (personenbezogenen) Daten betroffen sind.
- regelmäßige Fortbildung: Sorgen Sie für eine regelmäßige Fortbildung der Verantwortlichen für die IT und alle anderen im Unternehmen, die für die Sicherheit der IT zuständig sind.
Opfer einer Cyberattacke – was Sie tun müssen
Bei einem Hackerangriff, Datendiebstahl oder anderen Cyberattacken melden Sie diesen Vorfall so schnell wie möglich bei der Polizei.
Zusätzlich prüfen Sie, ob der Vorfall ein voraussichtliches Risiko für die Rechte und Freiheiten Betroffener bedeutet. Mit anderen Worten: wurden Verfügbarkeit, Vertraulichkeit, Integrität beeinflusst.
Falls dem so sein sollte, melden Sie die Datenschutzverletzung (auch Datenpanne genannt) innerhalb von 72 Stunden nach dem Bekanntwerden der zuständigen Aufsichtsbehörde für Datenschutz.
In der Regel gibt es dafür ein Online-Meldeformular wie beispielsweise das des BayLDA: https://www.lda.bayern.de/de/datenpanne.html
Die notwendigen und vorgeschriebenen Angaben einer solchen Meldung nach Art. 33 DSGVO sind:
- Angaben zum Verantwortlichen inkl. Telefon- und E-Mail-Kontakt;
- Zeitraum der Panne sowie Zeitpunkt des Vorfalls;
- Angaben zur Art des Vorfalls (z. B. Hacking, Diebstahl usw.);
- Angaben zu betroffenen Daten (z. B. Adressen, E-Mail-Adressen, Bank- oderKreditdaten, Passwörter, Gesundheit)
- Angaben zum Vorfall und zu den ergriffenen und/oder beabsichtigten Maßnahmen.
Weitere Details zu Datenpannen finden Sie in unserem Beitrag Datenpannen.
Eine Anleitung zur Meldung einer Datenpanne finden Sie in unserem Beitrag Datenpanne melden.
Präventionsmaßnahmen
Die bayerische Aufsichtsbehörde für Datenschutz (nicht-öffentlicher Bereich), das BayLDA hat im Dezember 2021 einen Präventionsfragebogen veröffentlicht – Details dazu erhalten Sie in unserem Beitrag zu Überprüfungen des BayLDA.
Im Fragebogen selbst sind geeignete technische und organisatorische Maßnahmen enthalten die Ihnen beim Schutz vor Cyberattacken helfen. Setzen Sie diese Maßnahmen um, ist Ihr Sicherheitsniveau hoch. Sollte die Meldung einer Datenpanne trotzdem notwendig sein, können Sie Ihre ergriffenen Maßnahmen aufzählen und konkrete Punkte nennen, die die Behörde selbst als geeignet eingestuft hat.
