29.06.2016 | Datenklau

Einsatz von eDiscovery bei Cyber-Attacken und Datenschutzverletzungen

Unternehmen und Anwälte müssen auf Cyber-Angriffe vorbereitet sein
Bild: Haufe Online Redaktion

Cyber-Attacken nehmen zu und folgen immer neuen Mustern. Unternehmen und ihre Rechtsberater und IT-Experten müssen darauf vorbereitet sein. Ohne Strategien drohen ihnen im Fall eines Datenklaus nicht nur hohe finanzielle Schäden und Imageverluste. Das IT-Sicherheitsgesetz hat die rechtlichen Pflichten und Konsequenzen für betroffene Unternehmen erhöht.

In den vergangenen Jahren ist die Anzahl der Cyber-Attacken auf Unternehmen angestiegen, bei denen Hacker versuchen, sensibler Daten habhaft zu werden, oft, um Profit daraus zu schlagen. Meist handelt es sich um Informationen wie Namen, Adressen, Bank- und Kreditkarteninformationen, die dann für Betrugszwecke genutzt werden.

Beispiele:

Click to tweet

Das neue Profil der Cyber-Attentäter

Der Datenraub, dem Sony Pictures im November 2014 zum Opfer fiel, folgte einem neuen, anderen Muster. Bei dieser Cyber-Attacke standen atypische Informationen im Fokus, darunter Gehälter von Mitarbeitern, persönlicher Email-Verkehr zwischen Führungskräften und Prominenten, kreative Inhalte und andere Details zu Filmen, die vor der Veröffentlichung standen.

Mit Hilfe dieser Daten verschafften sich die Hacker keinen wirtschaftlichen Vorteil, sondern nutzten sie lediglich zur Rufschädigung des Konzerns.

Es sieht so aus, als bestünde unter Hackern ein Wettbewerb, bei dem der Status durch den Umfang und die Auswirkungen einer erfolgreichen Attacke bemessen wird.

  • Die Bedrohungsszenarien werden dadurch vielfältiger und schlechter überschaubar,
  • die Anforderungen der Unternehmen an die Präventionsmaßnahmen sowie die Reaktionsfähigkeit ihrer Rechtsberater und IT-Experten für den Fall eines Datenklaus steigen.

Reaktionen auf einen Datenklau

Bis vor Kurzem begannen Firmen erst, sich mit der Datenschutzverletzung auseinanderzusetzen, nachdem der Angriff stattgefunden hatte und bemerkt wurde. Das sorgte nicht selten für Panik, denn zu diesem Zeitpunkt waren das Ausmaß der Schädigung und die Art der gestohlenen Informationen meist nicht bekannt.

Unternehmen suchten in der Regel umgehend die Unterstützung von Versicherungsunternehmen, Anwaltskanzleien, Beratern und externen Ermittlern, um alle offenen Fragen in Bezug auf den Datenklau zu klären und zu sehen, wie dem Datenverlust und den Folgen ein Riegel vorgeschoben werden könne.

Vorbereitet sein: Data-Breach-Response-Pläne

Da sich das Vorgehen der Hacker verändert hat und von unterschiedlichen Motiven getrieben ist, arbeiten Rechtsberater und IT-Experten mittlerweile mit der Unternehmensführung umfassendere Data-Breach-Response-Pläne aus, die in verschiedenen Szenarien Anwendung finden können.

Ziel ist, eine Strategie für den Umgang mit Datenschutzverletzungen durch Cyber-Attacken vom Zeitpunkt der Aufdeckung bis hin zu möglichen Rechtsverfahren zu haben.

Proaktives Informationsmanagement ist eine wichtige Voraussetzung, um sowohl das Risiko erfolgreicher Angriffe zu reduzieren als auch mögliche Folgeschäden einzuschränken.

Nach den Datenklau:

Schadenssichtung - und bewertung

Ein typisches Merkmal von Unternehmensdaten ist ihre Masse. Wenn es zum Datenklau gekommen ist, kann eine eDiscovery wertvolle Hilfestellung bei der effizienten Sichtung des Schadensumfangs und der Vorbereitung der Abwicklung rechtlicher Verfahren leisten.

  • Das erleichtert Forensik und Beweissammlung sowie die Prüfung, Verwertung und Zusammenstellung von Dokumenten.
  • Auch ob es tatsächlich zu einem Gerichtsverfahren kommt, wird häufig durch den Umfang des Schadens und die Art der gestohlenen Daten bestimmt.

Oft spielt es auch eine Rolle, welche Unternehmen und Kunden betroffen sind.

  • Durch eine eDiscovery können Kanzleien für ihre Kunden die Sammlung, Bearbeitung und Bewertung elektronischer Dokumente und Mitteilungen abwickeln.
  • Mit Hilfe passender Technologien können beispielsweise automatisierte Stichwortsuchen durchgeführt werden, um die Relevanz bestimmter Datensätze für den Fall zu bestimmen.

Dadurch können Rechtsanwälte sowohl Zeit als auch Kosten sparen und Unternehmen können sich schneller einen Überblick über das Schadensausmaß und notwendige Maßnahmen verschaffen.

IT-Sicherheitsgesetz erhöht Anforderungen

Gute Vorbereitungen zeigen keinesfalls Übereifer, sondern werden in vielen Fällen gesetzlich gefordert. Im Juli 2015 trat in Deutschland das "IT-Sicherheitsgesetz“ in Kraft, das striktere Regelungen für die Betreiber kritischer Infrastrukturen in Bezug auf Datensicherheit einführte. Diese sind jetzt gefordert, die Sicherheit ihrer IT-Systeme proaktiv zu verbessern.

  • Im Fall eines Cyber-Angriffs müssen Organisationen den Fall dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) melden – dabei spielt es keine Rolle, ob die Attacke erfolgreich war oder nicht.
  • Die Betreiber müssen außerdem bereits im Vorfeld sicherstellen, dass sie solchen Angriffen mit angemessenen Sicherheitsmaßnahmen den Riegel vorschieben.
  • Bei Verstoß können Strafen in Höhe von bis zu 100.000 Euro verhängt werden.

Demgemäß würde ein Fall wie der des Telekommunikations-Anbieters jetzt ernsthaftere Konsequenzen nach sich ziehen als noch vor drei Jahren: damals wurde das Unternehmen lediglich für seine laxe Handhabung von Fragen der Datensicherheit kritisiert.

Auch die Vorsorge ist verpflichtend

Ist es zu einer Datenschutzverletzung durch eine Cyber-Attacke gekommen, muss die betroffene Organisation nachweisen können, dass sie bereits zuvor Maßnahmen getroffen hatte, um das Risiko eines Datenklaus so weit als möglich einzuschränken.

  • Die Aufsichtsbehörden verlangen in der Regel Beweise dafür, dass klare und umfassend kommunizierte Unternehmensrichtlinien zum Datenschutz und damit zusammenhängende Prüfungsverfahren vorhanden waren.
  • Außerdem muss gezeigt werden können, dass es im Voraus keine klaren Anzeichen für eine potenzielle Bedrohung gab
  • und das Unternehmen den Schaden umgehend gemeldet hat.

Auch eine Dokumentenprüfung ist ein Bestandteil dieses Prozesses und schließt eine detaillierte Analyse relevanter Kommunikation mit ein. Das kann insbesondere dann eine große Herausforderung darstellen, wenn große Mengen an Dokumenten auf ihre Relevanz hin beurteilt und dann von Experten innerhalb kurzer Zeit gesichtet werden müssen. Auch in so einem Fall schafft eine eDiscovery Erleichterung für alle beteiligten Parteien.

Fazit: Cyber-Attacken stellen ein immer häufiger eintretendes Bedrohungsszenario für Unternehmen aller Wirtschaftsbereiche dar. Sie können nicht nur finanziellen Schaden anrichten, sondern auch die Reputation nachhaltig beeinträchtigen. Zudem sind Hacker-Angriffe immer schwerer einzuordnen und daher weniger vorhersehbar.

Anwälte sollten ihre Kunden umfassend beraten und sicherstellen, dass sie im Fall einer Datenschutzverletzung durch Cyber-Attacken über adäquate Data-Breach-Response-Mechanismen verfügen und eine proaktive Strategie für das elektronische Informationsmanagement entwickeln.

Weiter News zum Thema

Ransomware: Schutz vor Verschlüsselungs-Trojanern

EU will strengere Sicherheitsregeln für Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz

Schlagworte zum Thema:  Erpressung, Trojaner, Daten

Aktuell

Meistgelesen