Data Breach Level Index
Die zunehmende Bedrohung durch Cyberangriffe ist inzwischen ein großes Thema, sowohl in der Fachliteratur als auch in der seriösen Presse. Erschreckend ist ebenfalls der steile Anstieg bei den gemeldeten Datensicherheitsverletzungen. So wurden im zweiten Quartal 2022 rund 64 Millionen Konten verletzt, im dritten Quartal 2022 waren es bereits knapp 109 Millionen Konten. Das ist ein Anstieg von 70 % innerhalb von 3 Monaten. (Quelle)
Trotz dieser Bedrohungslage sind die meisten Unternehmen nur unzureichend gegen Cyberkriminalität geschützt. Hier ein kleiner (aber erschreckender) Auszug aus recht aktuellen Statistiken von Forbes, MacAfee und IBM Security:
-
- Nur 5 Prozent aller Firmenordner sind ausreichend geschützt.
-
- Knapp die Hälfte aller Unternehmen haben noch keine Risikobewertung in Sachen Datensicherheit durchgeführt.
-
- Über 75 % aller Firmen haben keinen Response-Plan für IT-Security-Vorfälle.
-
- Kleinere Unternehmen mit bis zu 250 Mitarbeitern bekommen die meisten bösartigen E-Mails. Phishing-Angriffe machen mehr als 80% der gemeldeten Sicherheitsvorfälle aus.
-
- Jede Minute gehen weltweit 2,9 Mio. US-Dollar durch Cyberkriminalität verloren.
Datenschutzbehörde fordert Nachweis der Ransomware-Prävention
Diese Defizite in Unternehmen in Bezug auf die Informationssicherheit sind auch den Datenschutzbehörden nicht verborgen geblieben. Da Unternehmen seit Inkrafttreten der DSGVO gesetzlich verpflichtet sind, für ein ausreichendes Sicherheitsniveau im Umgang mit personenbezogenen Daten zu sorgen, haben die Datenschutzbehörden eine Zuständigkeit bei diesem Thema.
Die steigende Bedeutung des Datenschutzes wird übrigens auch am Urteil des OLG Dresden bzgl. der Haftung von Geschäftsführern vom 30.11.2021 deutlich.
Als ob sie den Log4j-Vorfall vorhergesehen hätte, verschickt die bayrische Datenschutzbehörde momentan Fragebögen an Unternehmen, um festzustellen, wie es um deren Schutz gegen Ransomware bestellt ist.
Es ist zu erwarten, dass die Datenschutzbehörden der anderen Bundesländer mit ähnlichen Maßnahmen nachziehen.
Diese Fragebögen wirken im ersten Moment vielleicht als bürokratisches Ärgernis (haben Maschinenbauerer nicht schon genug Stress?) – doch sie bieten tatsächlich eine hilfreiche Übersicht, welche Kriterien für einen ausreichenden Schutz gegen Ransomware von Bedeutung sind.
Unter anderem werden folgende Punkte geprüft:
-
- Systemlandschaft: Es liegt ein vollständiger Überblick bzw. Netzplan über alle eingesetzten IT-Systeme und IT-Komponenten vor (das umfasst Clients, Server, Firewall, Switches, VPN-Endpunkte).
-
- Patch-Management: Die Systeme werden regelmäßig auf Sicherheitslücken überprüft, Sicherheitsupdates werden unverzüglich eingespielt.
-
- Datenverkehr: Es existieren ein Protokollierungs- und Analysekonzept sowie eine ordnungsgemäß konfigurierte Firewall. Der Datenverkehr wird wirksam überprüft, sodass Übertragungen an bekannte kompromittierte externe Server erkannt werden können. IoC-Listen werden täglich aktualisiert.
-
- Awareness: Mitarbeiterinnen und Mitarbeiter werden regelmäßig zu Maßnahmen gegen Cyberkriminalität und aktuelle Bedrohungen geschult.
-
- Backup: Ein wirksames Backup-Konzept ist vorhanden.
Sie wissen nicht genau, wie gut Sie für solch eine Datenschutzprüfung gerüstet sind?
Lassen Sie uns gerne dazu unverbindlich austauschen.
Die Datenschutzbehörde erläutert auch im Detail, was sie unter einem “wirksamen Backup-Konzept” versteht:
Zum einen muss ein Backup-Konzept nach dem “3-2-1”-Prinzip umgesetzt und regelmäßig eine automatisierte Datensicherung durchgeführt werden. Nur durch die Durchführung von Backup-Tests kann überprüft werden, ob alle relevanten Daten berücksichtigt wurden und ob die Wiederherstellung tatsächlich funktioniert.
Ein Backup in digitaler Form ist also nur die halbe Miete. Wenn Sie im Ernstfall darauf zugreifen müssen, empfiehlt es sich, auch eine analoge Form an einem sicheren Ort aufzubewahren.
Grundlagen
Die Basis für reibungslose Abläufe in Industrieunternehmen ist eine sofortige und uneingeschränkte Verfügbarkeit der benötigten Systeme und Daten. Sie können sich diese Systeme, Daten, Ressourcen als auch Mitarbeiter als Knotenpunkte in einem Netz vorstellen – je mehr Knoten wegfallen, desto gravierender werden die Störungen des Netzwerks. Nicht ohne Grund wird auch die sogenannte Systemlandschaft als Netzplan dargestellt. Die Systemlandschaft repräsentiert einen vollständigen Überblick über alle im Unternehmen eingesetzten IT-Systeme und IT-Komponenten und dient unter anderem dazu, Auswirkungen von Ersetzungen einzelner Bestandteile der Infrastruktur zu bewerten oder eine Ausfallfolgenabschätzung durchzuführen.
(Wir hatten weiter oben bereits festgehalten, dass das einer der Punkte ist, den die bayrische Datenschutzbehörde abprüft.)
Im Worst-Case-Szenario trifft es einen kritischen Knotenpunkt, der Teile des Netzwerk sofort zum Stillstand bringt. Davon kann Ihre gesamten Lieferkette betroffen sein.
Darum gilt es zu analysieren, welche Auswirkungen ein Systemwegfall nach sich zieht.
“In der Regel können doch standardisierte IT-Systeme innerhalb einer unkritischen Zeit wieder zum Laufen gebracht und Backups ggf. eingespielt werden.” denken Sie sich?
Nun, dafür sollten Sie die nachfolgenden Maßnahmen umsetzen. Damit Ihr Backup tatsächlich so funktioniert, wie Sie das von ihm erhoffen.
Die beiden wichtigsten Punkte sind die 3-2-1 Regel und das Backupkonzept.
3-2-1 Regel
Die 3-2-1 Regel besagt, dass man drei verschiedene Backups anlegen soll, und zwar auf zwei unterschiedlichen Speichermedien sowie einem Offline-Medium außerhalb des Unternehmens. Wenn Sie diese Regel befolgen, haben Sie mehrere Kopien Ihrer Daten an verschiedenen Orten, was Ihre Daten vor verschiedenen Arten von Datenverlusten schützt, z. B. Hardwarefehler, Diebstahl oder Naturkatastrophen.
Diese Strategie ist keine neue Erfindung, sondern schon sehr lange bekannt. Dass sie immer noch als Best Practice empfohlen wird, zeigt, dass es sich um eine bewährte und wirkungsvolle Methode handelt.
Drei Kopien: Bewahren Sie mehrere Kopien Ihrer Daten auf, damit Sie auch dann ein Backup haben, wenn eine der Kopien beschädigt wird oder verloren geht.
Zwei verschiedene Arten der Speicherung: Verwenden Sie verschiedene Arten von Speichermedien, z. B. eine externe Festplatte, einen Cloud-basierten Dienst und eine Bandsicherung. So sind Ihre Daten gegen verschiedene Arten von Datenverlusten geschützt. Physikalische Datenträger wie Festplatten, USB-Sticks, Speicherkarten, DVDs können Defekte bekommen oder fehlerhafte Bereiche haben.
Eine Kopie außerhalb des Unternehmens: Speichern Sie eine Kopie Ihrer Daten an einem externen Ort, z. B. in einem entfernten Rechenzentrum oder bei einem Cloud-basierten Dienst. So können Sie Ihre Daten vor Naturkatastrophen wie Überschwemmungen oder Bränden schützen, die Ihre Backups vor Ort beschädigen oder zerstören würden.
Ein Backup alleine reicht nicht aus
Um sicherzustellen, dass Ihr Backup seinen Zweck erfüllt, sollte ein Backupkonzept erstellt werden. Dieses Konzept bezieht sich auf die Gesamtstrategie und den Plan für die Erstellung und die Pflege von Backups.
Im Sicherungskonzept wird festgelegt, wie oft Sicherungen durchgeführt werden, welche Daten gesichert werden, wo die Sicherungen gespeichert werden, wie auf die Sicherungen zugegriffen wird und mit welchen Schritten sie wiederhergestellt werden können. Dazu gehören auch der Zeitrahmen für das Wiederherstellen und Zeitpunkt, zu welchem das Unternehmen seine Daten nach einem Vorfall wiederherstellen möchte.
Ebenso wichtig ist es, die Wiederherstellbarkeit eines Backups zu testen – also zu überprüfen, ob Ihr Backup vollständig und genau ist und im Ernstfall auch funktioniert – sowie Schutzmaßnahmen gegen Verlust von Backups zu treffen.
Der Backup-Leitfaden ist unserm Paket IT-Security Check enthalten.