Das Auftreten eines Sicherheitsvorfalls, der zu einem Hackerangriff führt, ist heute ohne Zweifel einer der größten Albträume für jedes Unternehmen. Zusätzlich zu den unmittelbaren Auswirkungen auf das Geschäft gibt es rechtliche Folgen und Folgen für den Ruf, die Monate oder sogar Jahre andauern können. In Brasilien legt das Allgemeine Datenschutzgesetz (LGPD) eine Reihe von Anforderungen fest, die Unternehmen nach dem Auftreten solcher Vorfälle erfüllen müssen.
Einem aktuellen Bericht der Federasul – dem Verband der Unternehmen von Rio Grande do Sul – zufolge waren bereits mehr als 40 % der brasilianischen Unternehmen Ziel einer Art Cyberangriff. Viele dieser Unternehmen haben jedoch immer noch Schwierigkeiten, die gesetzlichen Anforderungen des LGPD zu erfüllen. Daten der Nationalen Datenschutzbehörde (ANPD) zeigen, dass nur rund 30 % der gehackten Unternehmen den Vorfall offiziell gemeldet haben. Diese Diskrepanz kann auf eine Reihe von Faktoren zurückgeführt werden, darunter mangelndes Bewusstsein, die Komplexität der Compliance-Prozesse und die Angst vor negativen Auswirkungen auf den Ruf des Unternehmens.
Der Tag nach dem Vorfall: Erste Schritte
Nachdem ein Hackerangriff bestätigt wurde, besteht der erste Schritt darin, den Vorfall einzudämmen, um eine Ausbreitung zu verhindern. Hierzu gehört die Isolierung betroffener Systeme, das Unterbinden unbefugter Zugriffe und die Umsetzung von Maßnahmen zur Schadensbegrenzung.
Parallel dazu ist es wichtig, ein Incident-Response-Team zusammenzustellen, das aus Informationssicherheitsexperten, IT-Fachleuten, Anwälten und Kommunikationsberatern bestehen sollte. Dieses Team wird für die Entscheidungsfindung in einer Reihe von Bereichen verantwortlich sein, die vor allem die Kontinuität des Geschäftsbetriebs in den kommenden Tagen betreffen.
Im Hinblick auf die Einhaltung des LGPD ist es erforderlich, alle während der Reaktion auf den Vorfall ergriffenen Maßnahmen zu dokumentieren. Diese Dokumentation dient als Nachweis dafür, dass das Unternehmen im Einklang mit den gesetzlichen Anforderungen gehandelt hat und kann bei etwaigen Prüfungen oder Untersuchungen durch die ANPD verwendet werden.
In den ersten Tagen muss das Reaktionsteam eine detaillierte forensische Analyse durchführen, um die Quelle des Eindringens, die von den Hackern verwendete Methode und das Ausmaß des Angriffs zu ermitteln. Dieser Prozess ist nicht nur wichtig, um die technischen Aspekte des Angriffs zu verstehen, sondern auch, um Beweise zu sammeln, die benötigt werden, um den Vorfall den zuständigen Behörden und auch der Versicherungsgesellschaft zu melden – sofern das Unternehmen eine Cyber-Versicherung abgeschlossen hat.
Dabei kommt ein ganz wichtiger Aspekt zum Tragen: Durch die forensische Analyse lässt sich auch feststellen, ob sich die Angreifer noch immer im Firmennetzwerk befinden – eine Situation, die leider sehr häufig vorkommt, insbesondere dann, wenn das Unternehmen nach dem Vorfall durch die Veröffentlichung möglicherweise gestohlener Daten finanziell erpresst wird.
Darüber hinaus verlangt Artikel 48 des LGPD vom Datenverantwortlichen, die Nationale Datenschutzbehörde (ANPD) und die betroffenen Personen über das Auftreten eines Sicherheitsvorfalls zu informieren, der für die betroffenen Personen ein Risiko oder einen relevanten Schaden mit sich bringen könnte. Diese Mitteilung muss innerhalb einer angemessenen Frist gemäß den spezifischen ANPD-Vorschriften erfolgen und Informationen über die Art der betroffenen Daten, die betroffenen Personen, die zum Schutz der Daten verwendeten technischen und Sicherheitsmaßnahmen, die mit dem Vorfall verbundenen Risiken und die Maßnahmen enthalten, die ergriffen wurden oder werden, um die Auswirkungen des Schadens rückgängig zu machen oder zu mildern.
Aufgrund dieser gesetzlichen Anforderung ist es unerlässlich, unmittelbar nach der Erstanalyse einen ausführlichen Bericht zu erstellen, der alle vom LGPD genannten Informationen enthält. In diesem Zusammenhang hilft die forensische Analyse auch dabei, festzustellen, ob es zu Datenextraktion und -diebstahl gekommen ist – in dem Umfang, wie Kriminelle dies behaupten.
Dieser Bericht muss von Compliance-Experten und den Anwälten des Unternehmens geprüft werden, bevor er an die ANPD weitergeleitet wird. Die Gesetzgebung schreibt außerdem vor, dass das Unternehmen den betroffenen Personen klare und transparente Informationen zur Verfügung stellen muss, in denen es erklärt, was passiert ist, welche Maßnahmen ergriffen wurden und welche nächsten Schritte zum Schutz der personenbezogenen Daten erforderlich sind.
Transparenz und effektive Kommunikation sind tatsächlich grundlegende Säulen bei der Bewältigung eines Sicherheitsvorfalls. Das Management muss eine ständige Kommunikation mit internen und externen Teams aufrechterhalten und sicherstellen, dass alle Beteiligten über den Fortschritt der Maßnahmen und die nächsten Schritte informiert sind.
Die Evaluierung der Sicherheitsrichtlinien ist eine notwendige Maßnahme
Parallel zur Kommunikation mit den Stakeholdern muss das Unternehmen einen Prozess zur Bewertung und Überprüfung seiner Sicherheitsrichtlinien und -praktiken einleiten. Hierzu gehört die Neubewertung aller Sicherheitskontrollen, Zugriffe und Anmeldeinformationen auf hoher Ebene sowie die Implementierung zusätzlicher Maßnahmen zur Verhinderung zukünftiger Vorfälle.
Parallel zur Überprüfung und Analyse der betroffenen Systeme und Prozesse muss sich das Unternehmen auch auf die Wiederherstellung der Systeme und des Betriebs konzentrieren. Dazu gehört die Bereinigung aller betroffenen Systeme, das Anwenden von Sicherheitspatches, das Wiederherstellen von Backups und die erneute Validierung der Zugriffskontrollen. Es muss unbedingt sichergestellt werden, dass die Systeme vollkommen sicher sind, bevor sie wieder in Betrieb genommen werden.
Sobald die Systeme wieder betriebsbereit sind, sollte eine Nachuntersuchung des Vorfalls durchgeführt werden, um die gewonnenen Erkenntnisse und Verbesserungsbereiche zu ermitteln. An dieser Überprüfung sollten alle relevanten Parteien beteiligt sein. Das Ergebnis sollte ein Abschlussbericht sein, der die Ursachen des Vorfalls, die ergriffenen Maßnahmen, die Auswirkungen und Empfehlungen zur zukünftigen Verbesserung der Sicherheitslage des Unternehmens hervorhebt.
Zusätzlich zu technischen und organisatorischen Maßnahmen erfordert die Bewältigung eines Sicherheitsvorfalls einen proaktiven Ansatz hinsichtlich Governance und Sicherheitskultur. Hierzu gehört die Umsetzung eines fortlaufenden Programms zur Verbesserung der Cybersicherheit und die Förderung einer Unternehmenskultur, die Wert auf Sicherheit und Datenschutz legt.
Die Reaktion auf einen Sicherheitsvorfall erfordert eine Reihe koordinierter und gut geplanter Maßnahmen, die den Anforderungen des LGPD entsprechen. Von der ersten Eindämmung und der Kommunikation mit den Beteiligten bis hin zur Wiederherstellung der Systeme und der Überprüfung nach dem Vorfall ist jeder Schritt wichtig, um negative Auswirkungen zu minimieren und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Darüber hinaus ist es notwendig, die Fehler direkt anzugehen und zu beheben – vor allem muss ein Vorfall die Cybersicherheitsstrategie des Unternehmens auf eine neue Ebene heben.
