Cyber Crime & Corona: BSI sieht erhöhtes Bedrohungsrisiko für Unternehmen

Wie sich Unternehmen in der Corona-Krise schützen können und müssen

Cyber-Risiken in der Corona-Krise – Warum IT-Sicherheit jetzt besonders wichtig ist

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in der Corona-Krise ein erhöhtes Bedrohungsrisiko für die Cyber-Sicherheit von Unternehmen. Neben Berichten über vermehrte PhishingEmails, in denen Kundinnen und Kunden in betrügerischer Absicht zur Eingabe persönlicher Daten aufgefordert werden und der wachsenden Sorge vor Cyberattacken auf systemkritische Einrichtungen wie Krankenhäuser oder Parma-Unternehmen erreichen unsere Experten in den letzten Tagen vermehrt Anfragen von Unternehmen, die Opfer von Cyberattacken geworden sind. Dabei wird das Risiko für Cyberattacken insbesondere durch die Unerfahrenheit vieler Unternehmen und Mitarbeiter im Umgang mit neuen Technologien in Zeiten vermehrten Arbeitens im Home Office und dem hohen Zeitdruck und der daraus resultierenden Fehleranfälligkeit der Umsetzung technischer Lösungen in der Corona-Krise erzeugt.

Cyberangriffe können nicht nur die Pflicht zur Meldung entsprechender Vorgänge gegenüber den zuständigen Aufsichtsbehörden oder zur Mitteilung an Betroffene auslösen. Sie führen in vielen Fällen leider auch zu Systemausfällen, Datenverlust und hohen Kosten für die Beseitigung der Folgen entsprechender Attacken.

Gerade während der Corona-Krise ist allen Unternehmen dringend anzuraten, alle erforderlichen Maßnahmen zu ergreifen, um sich vor Cyberangriffen wirksam zu schützen und die IT-Sicherheit des Unternehmens nicht „schleifen“ zu lassen.

Was können Unternehmen tun, um sich gegen Cyberangriffe zu schützen?

Der beste Schutz vor Cyberattacken ist die Umsetzung adäquater Maßnahmen zur IT-Sicherheit. 

Jedes Unternehmen ist verpflichtet, einen adäquaten Standard bei der IT-Sicherheit der eigenen Systeme und der ihrer Dienstleister nach dem Stand der Technik vorzuhalten – auch in Zeiten größter .

Eine erste Richtschnur liefern die Vorgaben aus Art. 32 DSGVO, der u.a. Maßnahmen fordert, mit denen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen ist.

Mangels konkreterer gesetzlicher Vorgaben stehen Unternehmen oftmals vor der Herausforderung, das für sie adäquate Schutzniveau und daraus abzuleitende Maßnahmen zu bestimmen. Die erforderlichen Maßnahmen sind im Rahmen eines risikobasierten Ansatzes zu bewerten und davon abhängig, in welcher Art und Weise welche personenbezogene Daten verarbeitet werden. Je sensitiver die Daten, desto risikoreicher die Geschäftsaktivität, desto sicherer sollten die relevanten Systeme ausgestaltet sein.

Hilfestellung bieten hier die Handreichungen u.a. des BSI (vgl. hierzu nachfolgend) sowie der verschiedenen deutschen und europäischen Aufsichtsbehörden. Vor dem Hintergrund der wachsenden Professionalität der Angreifer auch und gerade in der Corona-Krise ist es sinnvoll, auf den Rat externer IT-Sicherheitsspezialisten zurückzugreifen, die die Vorgaben, Lösungsansätze und Branchenstandards kennen und Unternehmen bei der Konzeption passender IT-Sicherheitsstandards effektiv unterstützen können.

IT-Sicherheit im Home Office – Was ist zu tun?

Dieser Tage befinden sich viele Mitarbeiter im Home Office. Die Sicherheit der IT unter diesen Umständen aufrecht zu erhalten, stellt viele Unternehmen vor große Herausforderungen. Dabei lauern gerade im Home Office neue und für viele Unternehmen noch unbekannte Gefahren.

Wichtig zu wissen: Der Arbeitgeber bleibt auch beim Home Office die datenschutzrechtlich verantwortliche Stelle und ist für die Einhaltung der Vorgaben aus der DSGVO und ausreichender technisch organisatorischer Maßnahmen zur IT-Sicherheit verantwortlich. Mitarbeitern sind entsprechende Regelungen an die Hand zu geben, um die Rahmenbedingungen und Verpflichtungen im Zusammenhang mit dem Arbeiten aus dem Home Office einheitlich festzulegen.

Einzelne Maßnahmen sind dabei für das Arbeiten im Home Office besonders wichtig:

Die Nutzung der dienstlichen Systeme sowie der Zugriff auf Unternehmensdaten und E-Mails sollte ausschließlich über einen gesicherten Zugang (z.B. VPN-Zugang) mit robuster Zugangsverifikation ermöglicht werden. Neben einer Verschlüsselung „in transit“ der Kommunikation mit dem Unternehmensnetzwerk sollten die betrieblichen Endgeräte über vernünftige Schutzmechanismen (Passwortschutz, Verschlüsselung) verfügen. Dabei ist seitens des Unternehmens darauf zu achten, dass Mitarbeiter insbesondere in den „Wirren“ der Corona-Krise voreingestellt Schutzmechanismen nicht ohne weiteres deaktivieren oder umgehen können.

Haben Dritte (z.B. Familienangehörige, Mitbewohner) Zugang zu dem Heimarbeitsplatz des Beschäftigten, sollte dieser dafür Sorge tragen, die Risiken eines unbefugten Datenzugriffs durch Dritte zu minimieren, z.B. durch

• Sperren des Computers beim Verlassen des Arbeitsplatzes,
• Abschließen des Arbeitszimmers bei Abwesenheit,
• vertrauliche Telefonate nur dann führen, wenn ein Mithören ausgeschlossen ist.

Personenbezogene und geheimhaltungsbedürftige Daten sollten nur unmittelbar am Heimarbeitsplatz des Beschäftigten verarbeitet werden. Ist dies nicht möglich, so sollten die zu schützenden Daten jedenfalls in einem abschließbaren Schrank aufbewahrt werden. Schließlich sollte der Arbeitnehmer sicherstellen, dass er nicht mehr benötigte Unterlagen in datenschutzgerechter Weise vernichtet werden (etwa durch das Shreddern des Dokuments in kleine Stücke).

Weitere erforderliche Maßnahmen finden sich u.a. in den durch das BSI zum Themenbereich „Telearbeit“ veröffentlichten Übersichten. Zudem haben unsere Experten ein spezielles FAQ zu den rechtlichen Anforderungen im Home Office entworfen, dass Sie in aktualisierter Fassung auf unseren Webseiten abrufen können.

Sensibilisieren – Was müssen Mitarbeiter (jetzt) wissen?

Erfahrungsgemäß entstehen die größten Risiken für die IT-Sicherheit dort, wo Mitarbeiter im Unternehmen unachtsam agieren oder nicht ausreichend für entsprechende Gefahren sensibilisiert sind. Schulung und Sensibilisierung der Mitarbeiter ist insoweit ein, wenn nicht gar der wichtigste Bestandteil einer effizienten IT Sicherheitsstrategie.

Mitarbeitern ist verständlich zu vermitteln, was beim Thema IT-Sicherheit geht und was tabu ist – und welche Gefahren gerade in der Corona-Krise lauern! Gerade in Zeiten von Corona nutzen Angreifer gezielt die Unsicherheit der Mitarbeiter aus. So hilft es bereits, Mitarbeiter auch während der Corona-Krise z.B. in einem kurzen Lehrvideo oder Online-Kurz zu den wesentlichen Sicherheitsmaßnahmen aufzuklären.

Insbesondere vor dem Hintergrund der wachsenden Gefahr von Cyberangriffen u.a. durch Phishing und Ransom-/Malware sollten Mitarbeiter gerade in der Corona-Krise deutlich auf entsprechende Risiken und den sachgerechten Umgang mit diesen Gefahrenquellen hingewiesen werden.

Folgende Empfehlungen, die auch das BSI ausspricht, sind wesentlich:

• E-Mails von unbekannten Absendern sind sorgfältig zu überprüfen und sowohl Absender als auch enthaltene Verlinkungen gründlich zu hinterfragen.
• Vorsicht ist geboten vor dem Öffnen unbekannter Dateien, insbesondere wenn deren Ursprung nicht klar ist.
• Email-Adressen sollten vor dem Öffnen der Emails genauestens betrachtet werden; oftmals zeigen sich auf betrügerische Absichten hindeutende Schreibfehler erst beim zweiten Hinsehen.
• Gleiches gilt für Email-Texte. Oftmals deuten Schreib- und Grammatikfehler sowie ungewöhnliche Anreden oder Formulierungen auf schadhafte Inhalte hin.
• Vorsicht ist geboten vor Emails von fremden Absendern, die Links zu angeblichen Programmen für die Arbeit im Home Office oder zur Videotelefonie enthalten. Entsprechende Anwendungen sind nur nach Prüfung und Rücksprache mit der Firmen-IT und wenn dann nur aus den Originalquellen (also beispielsweise den Appstores) zu beziehen.
• In Zweifelsfällen sollte die Richtigkeit entsprechender Aufforderungen mit einem Anruf oder einer sonstigen Nachfrage bei den jeweiligen Entscheidungsträgern überprüft werden. Hierbei sollten keine der Kontaktdaten (z.B. Telefonnummern) aus der E-Mail, sondern die dem Mitarbeiter jeweils bereits bekannten verwendet werden, die sich stets über firmeninterne Telefonbücher oder Intranetangaben recherchieren lassen.
• Der Einsatz privater Endgeräte für die Arbeit im Home Office sollte soweit als möglich verboten oder nur unter besonderen Restriktionen gestattet werden. Da die Sicherheit der jeweiligen Geräte nicht mehr zentral gesteuert werden kann, entstehen hierdurch für die Unternehmen oftmals nur schwer zu beherrschende Risiken.

Weitere Tipps und Hinweise u.a. zum Einsatz von privaten Geräten im Home Office („Bring your own device“ oder kurz BYOD) finden Sie ebenso auf unseren Webseiten.

Welche weiteren Präventionsmaßnahmen können Unternehmen ergreifen?

Schon vor dem (möglichen) Vorfall sollten sich Unternehmen weiter auf den Ernstfall vorbereiten. Für alle Unternehmen, die aktuell mit der Corona-Krise zu kämpfen haben, dürfte es eine große Herausforderung darstellen, parallel weitere Pläne für z.B. Cyberangriffe zu entwerfen. Eine gewisse Planung wird sich im Ernstfall jedoch auszahlen, mit der im „Krisenfall“ zumindest die wichtigsten Schritte schnell und effektiv abgearbeitet werden können. Wesentliche Punkte eines solchen Plans sind:

• Festlegung von Verantwortlichkeiten
• Eskalationswege zur Einbindung der Geschäftsleitung
• Ausarbeitung von Ablaufplänen und Sofortmaßnahmen
• Implementierung eines Systems zur internen Meldung entsprechender Vorfälle
• Bestimmen eines Teams externer Experten, die im „Angriffsfall“ schnell unterstützen können, bestehend aus IT-Experten, rechtlicher Beratung und Kommunikationsspezialisten
• Definition von Anlaufstellen bei zuständigen Behörden, um etwaige Meldungen rechtzeitig durchführen zu können

Last but not least können auch Cyber-Versicherungen ein sinnvoller Baustein im Schutzpaket vor und nach Cyber-Angriffen sein – auch und gerade während der Corona-Krise. Sie mildern je nach Ausgestaltung nicht nur die finanziellen Folgen einer Cyber-Attacke. Versicherer können auf Grund ihrer Erfahrung auch weitere wertvolle Hilfestellung im Fall des Falls leisten: durch entsprechende Kontakte zu Spezialisten aber auch schon davor durch Bereitstellung entsprechender Checklisten und weitere Anleitungen.

Was ist zu tun, wenn das Unternehmen Opfer eines Cyber-Angriffs geworden ist?

Sollte es dennoch zu einer Cyberattacke gekommen sein, sollten folgende Schritte zur Eindämmung der Risiken ergriffen werden:

1. Gefahr beseitigen – Experten einschalten!
IT-Sicherheitsvorfälle sind Extremsituationen, die mitunter zu großer psychischer Belastung für die handelnden Personen führen können. Ein Krisenplan hilft, um keine wesentlichen Schritte zu übersehen und bringt auch ein Stück weit rechtliche Sicherheit, wenn es in den ersten Stunden darum geht, dass die Gefahrenquellen gefunden, beseitigt und mögliche Lücken geschlossen werden.

Das ist in Zeiten von Corona und der damit verbundenen Herausforderungen wie Personalknappheit, Abwesenheit der verantwortlichen Mitarbeiter und erhöhtem Kostendruck für viele – wenn nicht gar alle – Unternehmen eine noch größere Herausforderung, die sich aber mit entsprechender Vorbereitung in den Griff bekommen lässt.

Experten können helfen, die Ursachen eines Cyberangriffes schnell aufzufinden und Risiken und daraus möglicherweise resultierenden Schäden für das Unternehmen schnell und effizient einzudämmen. ITExperten geben Ratschläge, welche Maßnahmen in den ersten Stunden zum Schutz der Unternehmenssysteme besonders wichtig sind (z.B. das Ändern von Passwörtern, Viren-Scans, Neuaufsetzen von Systemen und Härtung der IT-Sicherheit für zukünftige Bedrohungen).

2. Vorfall und Reaktion ausreichend dokumentieren
Alle Erkenntnisse über den entdeckten oder vermuteten Cyberangriff sind gründlich zu ermitteln und zu dokumentieren. Dies ist u.a. unerlässlich, um im Fall der Fälle Behörden und Betroffenen ausreichend informieren zu können. Da die Sachlage oft diffus ist, ist der Rat von Experten meist unerlässlich. Beweismittel wie Log-Files sind rechtzeitig zu sichern, bevor diese (automatisiert) gelöscht werden. Im Nachgang hilft eine umfassende Dokumentation, die Vorgänge analysieren und Schlüsse für Verbesserungen der Prozesse und Maßnahmen zur Vorbeugung zukünftiger Angriffe ziehen zu können. 

3. Strafverfolgungsbehörden einschalten
Strafverfolgungsbehörden können im Rahmen der Verfolgung der Täter manchmal mehr erreichen, als die Geschädigten selbst. So können u.a. Anschlussdaten beschafft, Durchsuchungsmaßnahmen angestrengt oder Informationen aus anderen, sonst nicht zugänglichen Quellen beschafft werden, die bei der späteren Verfolgung zivilrechtlicher Ansprüche hilfreich sein können. Da entsprechende Maßnahmen mit Zeitablauf weiter an Wirkung verlieren, ist Eile und enge Abstimmung mit den Behörden geboten – auch wenn entsprechende Maßnahmen in der Praxis leider in den seltensten Fällen erfolgreich sein werden.

4. Meldepflicht prüfen und handeln, wenn es erforderlich ist
Je nach Vorgang wird eine Meldung an Datenschutzaufsichtsbehörden und/oder die Betroffenen erforderlich sein. Zunächst sind unmittelbar beim Entdecken des Angriffs die hierfür maßgeblichen Fristen zu bestimmen. Meldungen an Datenschutzaufsichtsbehörden haben innerhalb von 72 Stunden zu erfolgen (vgl. zu den Vorgaben Artt. 33, 34 DSGVO). Ob eine solche Meldung tatsächlich zu erfolgen hat, bedarf oftmals einer Prognoseentscheidung im Hinblick auf das bestehende Risiko für die Betroffenen, da die Sachlage in den seltensten Fällen eindeutig sein wird. Um nicht erforderliche Meldungen zu vermeiden und auch im Übrigen ein rechtlich strategisches Vorgehen sicherzustellen, sollte hierzu spezialisierte Rechtsberatung eingeholt werden. In diesem Zusammenhang zu klärende Punkte sind regelmäßig:

• Datenzugriff / Datenabfluss durch die Angreifer ja/nein
• Sensitivität der betroffenen Datenkategorien (Zahlungsdaten, Gesundheitsdaten etc.)
• Folgen für Betroffene (z.B. Betrugsrisiko)

In jedem Fall sollte vor einer Meldung die Kommunikations- und Verteidigungsstrategie genau festgelegt werden. Auch wenn es immer heißt „Melden macht frei“: Es muss vorrausschauend gemeldet werden.
Je nach Vorgang kann die Meldung der erste Schritt in einer langwierigen Kommunikation mit der Behörde werden, bei der es später auch um die Ermittlung von Rechtsverstößen des meldenden Unternehmens gehen kann. Schon aus diesem Grund sollte einer Meldung immer eine zumindest kurze Prüfung der Datenschutz-Compliance des Unternehmens vorangehen, um auf Nachfragen vorbereitet zu. In vielen Fällen hat es sich jedoch bewährt, kooperativ und konstruktiv mit Behörden zusammenzuarbeiten!

5. Auch in der Corona-Krise den Datenschutz nicht vergessen!
Gerade in der Stresssituation eines Cyberangriffs werden oft elementare (datenschutz-)rechtliche Anforderungen bei internen wie externen Ermittlungsmaßnahmen übersehen, die im Ernstfall zu einem späteren Beweisverwertungsverbot und gesondert sanktionierbaren Datenschutzverstößen führen können.
Insbesondere vor Mitarbeiterscreenings oder der personalisierten Kontrolle von Log-Files sollten die Maßnahmen deshalb rechtlich geprüft werden. Diese Anforderungen stellen Unternehmen in Zeiten von Corona vom besonders große Herausforderungen, bleiben jedoch unerlässlich, um rechtssicher agieren zu können.

Was wir für Sie tun können

Auch und gerade in Zeiten von Corona sollte im Fall einer Cyberattacke zu aller erst immer die Ruhe bewahrt werden. Unbedachte Maßnahmen können den Schaden oftmals noch vertiefen. Profis können helfen, solche Fehler zu vermeiden. Und: Nach dem Angriff ist vor dem Angriff. Aus Fehlern muss gelernt werden. Sei es dadurch, dass die IT-Sicherheit weiter gehärtet wird oder die Prozesse weiter verbessert werden. Ohne Aufräumen geht‘s nicht, wenn man für den nächsten Angriff auch rechtlich gut vorbereitet sein will!

Wir unterstützen regelmäßig Unternehmen im Zusammenhang mit Cyberattacken, aufsichtsbehördlichen Meldungen, Information von Betroffenen und den „Aufräumarbeiten“ nach einem entsprechenden Vorfall - auch während der Corona Krise! Wir haben ein großes Team von Experten, die umfassende Erfahrung im Umgang mit Cyberangriffen haben und können Sie schnell und effizient unterstützen.

Sprechen Sie uns an!

Wir haben für Sie umfassende Informationen und Handlungsempfehlungen zu zahlreichen rechtlichen Implikationen im Kontext der Coronavirus-Pandemie zusammengestellt: Coronavirus - Antworten zu rechtlichen Implikationen