In den vergangenen Jahren ist die Anzahl der Cyber-Attacken auf Unternehmen deutlich angestiegen. Dabei versuchen Hacker, sensible Daten zu erbeuten, um Profit daraus zu schlagen. In der Regel handelt es sich um Informationen wie Namen, Adressen, Bank- und Kreditkarteninformationen, die sie dann für Betrugszwecke nutzen.
Große Gefahr für Energieversorger
Dabei ist das Risiko, Opfer eines solchen Angriffs zu werden, für Energieversorgungsunternehmen besonders hoch: Der zunehmende Einsatz von Smart Grids verschärft die Bedrohungslage, denn die Komplexität der Systeme macht es den Unternehmen schwerer, angemessene Sicherheitsvorkehrungen zu treffen. Wie das jüngste Beispiel von Cyber-Attacken auf Energieversorger in der Ukraine illustriert, sind Hacker-Angriffe auf die Betreiber kritischer Infrastrukturen auch immer häufiger erfolgreich. Auch auf das britische Versorgungsunternehmen British Gas erfolgte eine Cyber-Attacke, infolge derer die E-Mail-Adressen und
Account-Passwörter von über zweitausend Kunden im Internet veröffentlicht wurden.
Hinzu kommt, dass sich die Regeln des Spiels zu ändern scheinen. Es sieht so aus, als bestünde unter Hackern ein Wettbewerb, bei dem der Status durch den Umfang und die Auswirkungen einer erfolgreichen Attacke bemessen wird. Die Bedrohungsszenarien werden dadurch vielfältiger und schlechter überschaubar. Betreiber kritischer Infrastrukturen, wie beispielsweise Energieversorger, sollten daher eine genaue Bewertung ihrer Präventionsmaßnahmen sowie ihrer Reaktionsfähigkeit im Fall eines Datendiebstahls durchführen. Bis vor Kurzem noch begannen Firmen sich erst dann mit der Datenschutzverletzung auseinander zu setzen, wenn der Angriff bereits stattgefunden hatte. Die unmittelbare Folge: Panik. Denn zu diesem Zeitpunkt waren das Ausmaß der Schädigung und die Art der gestohlenen Informationen meist nicht bekannt. Unternehmen suchten dann in der Regel die Unterstützung von Versicherungsunternehmen, Anwaltskanzleien, Beratern und externen Ermittlern, um alle offenen Fragen in Bezug auf den Datenklau zu klären und zu sehen, wie dem Datenverlust ein Riegel vorgeschoben werden könne.
Da sich das Vorgehen der Hacker jedoch verändert und von unterschiedlichen Motiven getrieben ist, arbeiten Unternehmen jetzt schon im Vorfeld gemeinsam mit Rechtsberatern und IT-Experten so genannte Data-Breach-Response-Pläne aus. Diese sollen in verschiedenen Szenarien angewendet werden können. Das Ziel ist, eine effektive Strategie für den Umgang mit Datenschutzverletzungen durch Cyber-Attacken vom Zeitpunkt der Aufdeckung bis hin zu möglichen Rechtsverfahren einsatzbereit zu
haben. Proaktives Informationsmanagement ist dabei eine wichtige Voraussetzung, um sowohl das Risiko erfolgreicher Angriffe zu reduzieren als auch mögliche Folgeschäden einzuschränken. Hat ein Datendiebstahl stattgefunden, ist eine so genannte eDiscovery (Sicherstellung elektronischer Unterlagen wie E-Mails oder Chat-Protokolle) von Vorteil. Das erleichtert Forensik, Beweissammlung und Prüfung sowie die Verwertung und Zusammenstellung von Dokumenten.
Nach Datenklau ist eine eDiscovery wichtig
Ob es tatsächlich zu einem Gerichtsverfahren kommt, wird häufig durch den Umfang des Schadens und die Art der gestohlenen Daten bestimmt. Oft spielt es auch eine Rolle, welche Unternehmen und Kunden betroffen sind. Durch eine eDiscovery können Firmen dann die Sammlung, Bearbeitung und Bewertung elektronischer Dokumente und Mitteilungen abwickeln. Mit Hilfe passender Technologien kann man beispielsweise automatisierte Stichwortsuchen vornehmen, um die Relevanz bestimmter Datensätze für den Fall zu bestimmen. Dadurch sparen sich Unternehmen sowohl Zeit als auch Kosten.
Ist es zu einer Datenschutzverletzung durch eine Cyber-
Attacke gekommen, muss die betroffene Organisation nachweisen können, dass sie bereits zuvor Maßnahmen getroffen hatte, um das Risiko eines Datenklaus weitestgehend einzuschränken. Die Aufsichtsbehörden verlangen in der Regel Beweise dafür, dass klare und umfassend kommunizierte Unternehmensrichtlinien zum Datenschutz und damit zusammenhängende Prüfungsverfahren vorhanden waren. Außerdem muss man nachweisen können, dass es im Voraus keine klaren Anzeichen für eine
potenzielle Bedrohung gab und das Unternehmen den Schaden umgehend gemeldet hat. Eine umfassende Dokumentenprüfung ist ein wesentlicher Bestandteil dieses Prozesses und schließt
eine detaillierte Analyse relevanter Kommunikation ein. Das kann insbesondere dann eine große Herausforderung darstellen, wenn große Mengen an Dokumenten auf ihre Relevanz hin beurteilt und dann von Experten innerhalb kurzer Zeit gesichtet werden müssen. Auch in so einem Fall macht eine eDiscovery es für alle beteiligten Parteien leichter.