Cyberkriminalität und Datenklau nimmt heutzutage stetig zu. Lesen Sie hier, wie Sie Ihr Unternehmen effektiv vor unbefugten Zugriffen schützen.
Wenn Sie die Medienberichte der letzten Wochen verfolgen, stellen Sie schnell fest: Cyberkriminelle haben mehr und mehr das Erpressen von Unternehmen und Einrichtungen für sich entdeckt. Ist erst einmal ein Verschlüsselungstrojaner ins Unternehmen eingeschleust, ist der Schaden vorprogrammiert: Die Schadsoftware verschlüsselt alle erreichbaren Daten, und diese sollen erst gegen Zahlung eines Lösegeldes entschlüsselt werden.
Datenschutzrisiko: Cyberkriminalität nimmt stetig zu
So traf es im Dezember 2019 die Universität Gießen, die durch einen Sicherheitsvorfall „offline“ war, sodass Systeme und Daten für Verwaltung, Hochschullehrer und Studenten nicht mehr verfügbar waren. Auch die Universität im niederländischen Maastricht wurde an Weihnachten 2019 Opfer von Hackern, die einen Verschlüsselungstrojaner („Krypto-Trojaner“, „Ransomware“) platzieren konnten. Bei der IT ging nichts mehr. Ähnliches Pech hatte auch das Klinikum Fürth.
Einfach nur Daten blockieren oder Systeme lahmlegen – diese Absicht haben heutzutage die wenigsten Cyberkriminellen. Vielmehr sehen diese es darauf ab, entweder die Daten selbst zu Geld zu machen oder Lösegeld für die Entschlüsselung der „gekidnappten“ Daten zu erpressen.
Werden Daten zerstört, gekidnappt oder kommen sie abhanden, ist guter Rat teuer: Eine Unterbrechung der Geschäftsprozesse kann für Ihr Unternehmen kostspielig werden. Daten vor Verlust zu schützen und verfügbar zu halten ist aber auch eine der wichtigsten datenschutzrechtlichen Anforderungen. Umso wichtiger ist, dass Sie als Datenschutzbeauftragter bei Missständen den Zuständigen die Augen öffnen.
Unternehmen müssen Maßnahmen zur Datensicherung ergreifen
Damit Ihr Unternehmen arbeiten kann, müssen Systeme funktionieren und Daten verfügbar sein. Um die Sicherheit der Datenverarbeitung und damit auch die Verfügbarkeit der Daten zu gewährleisten, müssen Sie und die Verantwortlichen Risiken erkennen, bewerten und geeignete technische und organisatorische Maßnahmen ergreifen (vgl. Art. 32 DatenschutzGrundverordnung (DSGVO)).
Die Verpflichtung, personenbezogene Daten verfügbar zu halten, ist in Art. 32 Abs. 1 Buchst. b DSGVO geregelt und besteht neben der Pflicht zur raschen Wiederherstellbarkeit bei einem technischen oder physischen Zwischenfall (Art. 32 Abs. 1 Buchst. c DSGVO). Das heißt für Ihr Unternehmen: Um diese Anforderungen zu erfüllen, sind Maßnahmen zur Datensicherung erforderlich, die dauerhaft zuverlässig funktionieren – und zwar nicht nur in der Theorie, sondern auch in der Praxis.
Back-up von Daten als Sicherheitsmaßnahme erfoderlich
Ihre Aufgabe als Datenschutzbeauftragter ist es, die Umsetzung von Datenschutzmaßnahmen zu fördern. In Sachen Verfügbarkeit heißt das für Sie, dabei zu unterstützen, dass entsprechende Konzepte zur Datensicherung (Back-up) und Wiederherstellung (Restore) erarbeitet werden. Zum Zwecke der Datensicherung werden die Daten kopiert und an einer zweiten (am besten externen) Stelle aufbewahrt. Um das Risiko eines Datenverlusts zusätzlich zu verringern, sollten unterschiedliche Speichertechnologien zum Einsatz kommen („Medienbruch“). Gehen nun Daten verloren und sollen wiederhergestellt werden (Restore), wird auf die gesicherten Datenbestände (Back-up) zurückgegriffen. Moderne Back-up-Lösungen bieten dabei zusätzlichen Schutz, indem sie Angriffe von außen, z. B. eine Ransomware-Attacke, erkennen und direkt abwehren.
Sicherung von Betriebssysteme und Software ebenfalls von Nöten
Doch nicht nur Daten selbst sind von Bedeutung und müssen gesichert werden. Denken Sie auch an die Wiederherstellung von Betriebssystemen und erforderlicher Software. Ist hier nicht vorgesorgt, kann auch das zum erheblichen Problem werden.
Schulen Sie die Verantwortlichkeiten zur Cyberkriminalität
Wie ist es in Ihrem Unternehmen um die Prozesse der Datensicherung bestellt? Um das herauszufinden, brauchen Sie zuständige Ansprechpartner aus der IT-Abteilung. Fühlt sich dort niemand verantwortlich, drängen Sie im Bedarfsfall bei der Unternehmensleitung darauf, die Verantwortlichkeiten zu klären. Denn: Liegen die Durchführung und regelmäßige Überprüfungen von Back-ups nicht in der Hand eines dafür ernannten Verantwortlichen, geht das Thema im Alltagstrubel schnell unter. Kommt es dann zu einem „Katastrophenfall“, bricht Chaos aus, und wertvolle Zeit geht verloren, um den Schaden einzudämmen und die Daten wiederherzustellen.
Diese Schutzmaßnahmen verhindern unbefugte, kriminelle Zugriffe
Geht es um die Sicherheit und den Schutz von Daten, kommen vielfältige Aspekte zum Tragen. Daten müssen zum einen vor dem Zugriff Unbefugter geschützt werden – z. B. durch Verschlüsselung. Zum anderen muss aber auch für eine unterbrechungsfreie Stromversorgung (USV) der Datenverarbeitungsanlagen, eine Klimatisierung der Serverräume und den Einsatz von Feuermeldern gesorgt sein. Für den Fall, dass Daten trotz der Schutzmaßnahmen verloren gehen oder zerstört werden, sind die Wiederherstellung und Verfügbarkeit der Daten zu gewährleisten.
Bei Krypto-Trojanern hilft oft nur der Neuanfang
Haben Kriminelle Unternehmensdaten verschlüsselt und ist Ihre Unternehmensleitung nicht bereit, auf die Lösegeldforderung einzugehen, bleibt oft nur eine Möglichkeit: Systeme müssen neu aufgesetzt, Datenbanken neu installiert und Daten aus Back-ups wiederhergestellt werden. Doch damit das auch wirklich klappt, muss schon im Vorfeld einiges bedacht und umgesetzt worden sein. Schauen Sie genau hin. Hierzu können Sie die folgende Checkliste einsetzen.
Checkliste: Prüfung der Back-ups und Datenverfügbarkeit im Unternehmen
1. Prüfpunkt: Wie ist der Prozess der Datensicherung gestaltet?
Grundsätzlich erfolgt eine Datensicherung mit einer entsprechenden Back-up-Software automatisiert. Die Software sollte sowohl ein Protokoll der Sicherung als auch das Ergebnis der Sicherung bereitstellen. Idealerweise kann die eingesetzte Software verschiedene Varianten des Back-ups erstellen, also z. B. vollständige, inkrementelle und differenzielle Back-ups. Vollständige Back-ups dauern länger und brauchen viel Platz. Dafür ist alles da. Andere Sicherungen speichern basierend auf einer ersten Vollsicherung nur die Veränderungen. Das kann zu Fehlern führen, die ggf. nicht bemerkt werden.
2. Prüfpunkt: Welche Daten werden wann gesichert?
Vor der Durchführung eines Back-ups ist festzulegen, welche Daten in welchen Zeitabständen auf welchen Speichermedien gesichert werden. Neben den reinen Nutzdaten sind dabei auch Programme, Betriebssysteme sowie Daten in Datenbanken, auf E-Mail-Servern usw. zu berücksichtigen. Die Regelungen werden in einem Sicherheitskonzept nachvollziehbar dokumentiert. Wichtig ist: Bewerten Sie mit den Verantwortlichen im Unternehmen, wie bedeutsam bestimmte Informationen sind.
3. Prüfpunkt: Ist der Zugriff eines Schadprogramms ausgeschlossen?
Gerade im Hinblick auf Krypto-Trojaner ist wichtig: Es muss sichergestellt sein, dass diese nicht auch die Backups erreichen können. Am sichersten ist hier die physische Trennung des Sicherungsmediums von den sonstigen Systemen im Geschäftsbetrieb. Sie werden nur für die Sicherung verbunden.
4. Prüfpunkt: Wo und wie lange erfolgt die Aufbewahrung der gesicherten Daten?
Um Speichermedien vor physischer Zerstörung zu schützen, sollten sie in unterschiedlichen Brandabschnitten gelagert werden. Auch ein möglicher Wasserschaden sollte bedacht werden. Wichtig ist auch ein Berechtigungs- und Rollenkonzept. Es muss sichergestellt sein, dass durch das Zurückspielen des Back-ups keine unbefugte Person Zugriff auf die Daten erhalten kann. Die Aufbewahrungsfrist der Datensicherungen orientiert sich an der Aufbewahrungsfrist der dort abgelegten Dokumente.
5. Prüfpunkt: Wann und wie wird die Wiederherstellbarkeit überprüft?
Um zu gewährleisten, dass im kleineren oder größeren Katastrophenfall die Wiederherstellung einzelner Dateien oder auch kompletter Systeme funktioniert, muss der Prozess protokolliert und regelmäßig getestet werden. Der Test beginnt bei der täglichen Kontrolle der Berichte. Warnhinweise müssen unter die Lupe genommen und Fehler so schnell wie möglich beseitigt werden.