Datenverletzungen mit einem Vorfallreaktionsplan vorbeugen

Was ist eine Datenverletzung?

Eine Datenverletzung ist ein Vorfall, bei dem eine unbefugte Partei Zugang zu sensiblen, geschützten oder vertraulichen Informationen erhält. Wenn der Schutz vor Datenverletzungen versagt, können zwei Arten von Daten ohne Genehmigung angesehen und/oder weitergegeben werden:

1. Persönliche Daten (z. B. Sozialversicherungsnummern, medizinische Informationen oder Kreditkartennummern)
2. Unternehmensdaten (z. B. Kundendaten, geistiges Eigentum oder juristische Dokumente)

Bei der Prävention von Datenverletzungen ist es wichtig zu verstehen, dass eine Datenverletzung nicht gleichbedeutend mit einem Cyberangriff ist. Eine Datenverletzung kann das Ergebnis eines Cyberangriffs oder einfach eines Fehlers sein. Die Verhinderung von Datenverletzungen setzt voraus, dass Sie die Verantwortlichen für die Bedrohung kennen, zu denen folgende gehören:

• Versehentliche Insider – z. B. ein Mitarbeiter verliert sein Handy, welches sensible Daten enthält, oder sendet versehentlich vertrauliche Informationen per E-Mail an die falsche Person.
• Böswillige Insider – z. B. verärgerte Mitarbeiter oder ehemalige Mitarbeiter, die ihren autorisierten Zugang ausnutzen, um als Vergeltungsmaßnahme unrechtmäßig Daten preiszugeben, oder ein Mitarbeiter, der Bestechungsgeld annimmt und sensible Daten weitergibt.
• Cyberkriminelle – d. h. böswillige Außenstehende (z. B. Verbrechersyndikate, Hacker oder nationale Akteure), die Cyberangriffe starten, um Daten zu stehlen.

Anatomie einer Datenverletzung

Zur Vorbeugung von Datenverletzungen sollten Sie die drei grundlegenden Phasen von Datenverletzungen durch interne oder externe Akteure kennen:

1. Recherche
2. Angriff
3. Kompromittierung

1. Recherche 
Wenn Sie wissen, wie ein Angriff beginnt, können Sie sich effektiver vor Datenverletzungen schützen. Sobald ein Ziel ausgewählt wurde, sucht der Angreifer nach Schwachstellen, die er ausnutzen kann, um sich Zugang zu verschaffen.

2. Angriff 
Sobald ein Angreifer den Angriffsvektor basierend auf Schwachstellen identifiziert hat, startet er einen Cyberangriff. In einigen Fällen umgehen Angreifer die Maßnahmen zur Verhinderung von Datenverletzungen, indem sie sich gestohlene Zugangsdaten aus dem Dark Web beschaffen. Die ausgenutzten Lücken oder Schwachstellen stehen in der Regel mit Mitarbeitern, Systemen oder Netzwerken in Verbindung und umfassen Folgendes:

Brute-Force-Angriffe
Um Brute-Force-Angriffe abzuwehren, sollten die Verwendung von starken Passwörtern und eine Multi-Faktor-Authentifizierung vorgeschrieben werden. Brute-Force-Angriffe machen sich schwache Passwörter zunutze und verwenden Software, um sie zu erraten. Durch den Einsatz von künstlicher Intelligenz und maschinellem Lernen werden Brute-Force-Angriffe immer effektiver und können schwächere Anmeldedaten relativ problemlos knacken.

Insider, die ihren privilegierten Zugriff missbrauchen
Selbst der beste Schutz vor Datenverletzungen kann von einem Insider durchkreuzt werden, der über die notwendigen Berechtigungen verfügt und Schaden anrichten möchte. Aufgrund weitreichender Zugriffsrechte können Insider mit privilegiertem Zugriff Schaden in einem Unternehmen anrichten, indem sie ihren Zugriff nutzen, um sich durch Systeme zu bewegen und sensible Daten zu kompromittieren.

Malware und Ransomware
Bei der Verhinderung von Datenverletzungen wird Malware und Ransomware viel Aufmerksamkeit gewidmet, da sie häufig genutzte Angriffsvektoren sind. Obwohl es Anti-Malware-Lösungen und Ransomware-Schutzmaßnahmen gibt, umghen Malware und Ransomware weiterhin den Schutz vor Datenverletzungen, wenn Benutzer diese versehentlich aktivieren oder wenn Systemschwachstellen (z. B. ungepatchte Software) gezielt ausgenutzt werden.

Physische Angriffe oder Verletzungen der Standortsicherheit
Obwohl sich die Prävention von Datenverletzungen in der Regel auf den digitalen Schutz konzentriert, ist es wichtig, die physische Sicherheit nicht zu vergessen. Dazu gehört der unbefugte Zugang zu Aktenschränken und Serverräumen. Auch der Verlust oder Diebstahl von Laptops, mobilen Geräten, Festplatten und USB-Laufwerken, die vertrauliche Daten enthalten, gehört zu den physischen Sicherheitsverletzungen.

Social Engineering-Angriffe
Social Engineering ist beim Schutz vor Datenverletzungen einer der schwierigeren Vektoren, da Menschen als sehr schwaches Glied gelten. Cyberkriminelle nutzen Social-Engineering-Taktiken, um Menschen so zu manipulieren, dass sie Sicherheitssysteme gefährden.

Eine der häufigsten Arten von Social Engineering ist Phishing. Dabei handelt es sich um clevere, aber betrügerische E-Mails, SMS, Inhalte in sozialen Medien und Websites, die Benutzer dazu verleiten, Malware auszuführen oder Zugangsdaten weiterzugeben. Sie sind oft ein Problem bei der Verhinderung von Datenverletzungen.

Gestohlene Zugangsdaten
Passwörter können nicht geschützt werden, wenn Benutzer sie an offensichtlichen physischen oder digitalen Orten aufbewahren. Viele Benutzer schreiben Passwörter immer noch auf Haftnotizen, in Notizbücher oder Tagebücher oder speichern sie in unverschlüsselte Dateien, E-Mail- oder Messaging-Apps und Browsern. Cyberkriminelle nutzen das schlechte Urteilsvermögen der Benutzer aus, um diese leicht zugänglichen Anmeldedaten zu stehlen.

3. Kompromittierung 
Sobald die Maßnahmen zur Verhinderung von Datenverletzungen umgangen wurden, gehen Cyberkriminelle dazu über, Daten zu kompromittieren. Dies kann durch Exfiltration, Zerstörung oder einen Ransomware-Angriff geschehen, bei dem die Daten verschlüsselt werden, bis Lösegeld gezahlt wurde.

Datenverletzungen vorbeugen

Es gibt viele Sicherheitslösungen zur Verhinderung von Datenverletzungen. Nachfolgend finden Sie einige der gängigsten:

• Künstliche Intelligenz (KI) und Automatisierung zur Bedrohungserkennung und -bekämpfung  
  • EDR (Endpunkterkennung und -antwort)
  • SOAR (Security Orchestration, Automation and Response)
  • UEBA (User and Entity Behavior Analytics)
  • XDR (Schichtübergreifende Erkennung und -antwort)
• Hochwertige Verschlüsselung zum Schutz sensibler Daten  
  • AES-256 für Daten im Ruhezustand
  • TLS 1.2+ für Daten bei der Übertragung
• Identitäts- und Zugriffsverwaltung (IAM) 
  • Attributbasierte Zugriffskontrolle (ABAC)
  • Multi-Faktor-Authentifizierung (MFA)
  • Passwort-Manager  
    • Automatische Passwortaktualisierungen
    • Komplexe Passwörter
    • Privilegierte Zugriffsverwaltung (PAM)
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Single Sign-on (SSO)

Darüber hinaus sollten Standard-Sicherheitsmaßnahmen implementiert und in die Prozesse eingebettet werden, einschließlich:

• Datensicherheitsverfahren, die auf dem aktuellen Stand gehalten werden
• Ordnungsgemäße Datenbank-, Firewall- und Netzwerkkonfigurationen
• Regelmäßige Schwachstellenanalysen
• Geplante Backups
• Richtlinien für starke Passwörter

Weitere Komponenten zur Verhinderung von Datenverletzungen sind:

• Regelmäßige Überprüfung von Apps und Netzwerken, um sicherzustellen, dass sie aktualisiert wurden.
• Entwicklung eines Prozesses zur Identifizierung von Schwachstellen und zur proaktiven Bekämpfung von Bedrohungen im Netzwerk.
• Develop and conduct employee security training regularly with a focus on: 
  • Umgang mit sensiblen Daten gemäß den Sicherheitsprotokollen des Unternehmens
  • Erkennen und Vermeiden von Social Engineering-Angriffen, insbesondere Phishing
  • Reaktion auf Datenverletzungen gemäß den in den Vorfallreaktionsplänen festgelegten Verfahren
• Durchsetzung von BYOD-Sicherheitsrichtlinien (Bring Your Own Device), z. B. die Verpflichtung, dass alle Geräte einen VPN-Dienst und Virenschutz in Unternehmensqualität nutzen müssen.
• Voraussetzung von starken Anmeldedaten und Multi-Faktor-Authentifizierung.
• Patchen von Systemen und Netzwerken, sobald Updates verfügbar sind.
• Regelmäßige Durchführung von Sicherheitsaudits (stellen Sie sicher, dass alle Systeme, die mit dem Netzwerk des Unternehmens verbunden sind, einbezogen werden).
• Verhindern, dass Datenspeichergeräte (z.B. Festplatten und USB-Laufwerke) an ungesicherten Orten in den Büros aufbewahrt werden.
• Aktualisierung von Geräten, wenn die Software vom Hersteller nicht mehr unterstützt wird.
• Anwendung eines Zero-Trust-Sicherheitsmodells, das: 
  • Benutzer, Apps oder Infrastrukturkomponenten kontinuierlich durch kontextbezogene Authentifizierung, Autorisierung und Validierung überprüft, auch wenn sich diese bereits im Netzwerk befinden.
  • Das Prinzip der geringsten Privilegien durchsetzt, d. h. Benutzern, Apps oder Infrastrukturkomponenten nur jenen Zugriff und jene Berechtigungen gewährt, die für die Erfüllung ihrer Aufgaben oder ihrer Rolle erforderlich sind.
  • Sensible Daten identifiziert und Klassifizierung und Schutz anwendet, z. B. Schutz vor Datenverlust (DLP).
  • Eine umfassende, kontinuierliche Überwachung aller Netzwerkaktivitäten implementiert.
  • Niemals Benutzern, Apps oder Infrastrukturkomponenten – intern oder extern – vertraut.
  • Einen vollständigen Einblick in das gesamte Netzwerk-Ökosystem des Unternehmens bieten, einschließlich der Art und Weise, wie Benutzer und Unternehmen auf Grundlage ihrer Rollen und Zuständigkeiten auf sensible Daten zugreifen und diese nutzen.
  • Netzwerke segmentiert, um seitliche Bewegungen zu verhindern.

Bestandteile eines Vorfallreaktionsplans

Ein gut ausgearbeiteter, getesteter Plan zur Reaktion auf einen Vorfall ist ein wichtiger Bestandteil der Prävention von Datenverletzungen. Er wird zwar erst nach einer Datenpanne angewandt, unterstützt aber die Prävention von Datenpannen, indem er den Schaden und das Ausmaß eines Vorfalls mildert.

Ein Vorfallreaktionsplan ist ein schriftlicher Leitfaden, der Teams darüber informiert, wie sie sich auf einen Cyberangriff vorbereiten, ihn erkennen, auf ihn reagieren und sich von ihm erholen können, falls die Systeme zum Schutz vor Datenverletzungen überwunden werden.

Er sollte auch genaue Informationen darüber enthalten, was eine Datenverletzung ist.

Ein effektiver Plan zur Reaktion auf Datenverletzungen richtet sich in erster Linie an IT-Teams. Er sollte jedoch auch Anweisungen für andere Abteilungen enthalten, die nach einer Datenpanne betroffen und involviert sind, z. B.:

• Kundenservice
• Finanzen
• Personalwesen
• Recht und Compliance
• Marketing und PR
• Vertrieb
• Vertreter der Geschäftsleitung

Ein Plan zur Reaktion auf Datenverletzungen hat viele Vorteile, darunter die folgenden:

• Beschleunigt die Reaktion auf einen Vorfall 
  Ein formeller Plan hilft Unternehmen dabei, ihre Risikobewertung und Reaktionen so auszurichten, dass ein Vorfall oder Angriff schnell erkannt wird.
• Begrenzt den Einsatz von kostspieligen Disaster-Recovery-Plänen (DR)
  Eine schnelle Reaktion nach einer Datenpanne erspart einem Unternehmen oft die Zeit und die Kosten, die für die Durchführung vollständiger Disaster-Recovery- und Business-Continuity-Pläne (BC) anfallen. Selbst wenn Systeme zur Verhinderung von Datenverletzungen kompromittiert sind, kann eine schnelle Reaktion zu einer schnellen Eindämmung und Lösung führen, ohne dass DR oder BC eingesetzt werden müssen.
• Mindert den Schaden durch Bedrohungen, indem er ein frühzeitiges Eingreifen ermöglicht 
  Wenn ein Unternehmen über einen Vorfallsreaktionsplan verfügt, ist das für die Reaktion zuständige Team sofort einsatzbereit und weiß, was zu tun ist. Dies mindert nicht nur den möglichen Schaden und Verlust, sondern verkürzt auch die Dauer des Vorfalls. Darüber hinaus wird die forensische Analyse beschleunigt, was die Wiederherstellungszeit verkürzt.
• Einhaltung gesetzlicher Vorschriften
  Die meisten Aufsichtsbehörden und viele Gesetzgeber (z. B. Federal Information Security Management Act (FISMA), Health Insurance Portability and Accountability Act (HIPAA) und Payment Card Industry Data Security Standard (PCI-DSS)) schreiben vor, dass Unternehmen nicht nur Maßnahmen zum Schutz sensibler Daten durch Maßnahmen zur Verhinderung von Datenverletzungen ergreifen, sondern auch einen Vorfallreaktionsplan brauchen. Das Fehlen eines Vorfallreaktionsplans kann zu Strafen wegen Nichteinhaltung der Vorschriften führen.

So erstellen Sie einen Vorfallsreaktionsplan

1. Schritt: Vorausplanung. 
   Bevor Sie einen Plan für die Reaktion auf Datenverletzungen erstellen, sollten Sie Datenverletzungen vorbeugen. Daraus lassen sich wertvolle Informationen zur Risikobewertung sensibler Daten gewinnen. Die folgenden Punkte sollten bei der Vorausplanung berücksichtigt werden. Beachten Sie, dass viele dieser Informationen aus Risikobewertungsberichten und Plänen zur Vermeidung von Datenverletzungen entnommen werden können.
   • Kategorisierung von sensiblen Daten
   • Erfassung, wo sich die sensiblen Daten befinden und wer Zugang zu ihnen hat
   • Definition einer Datenverletzung
   • Skizzieren von möglichen Cyberangriffsszenarien (z. B. Ransomware, Kompromittierung von Zugangsdaten, Phishing)
   • Festlegung, wann der Notfallplan aktiviert werden sollte
2. Wählen Sie die Mitglieder des Reaktionsteams für den Fall einer Datenpanne aus.
   Das Team für die Reaktion auf eine Datenpanne besteht zum Großteil aus Mitgliedern des IT-Teams, die an der Prävention von Datenpannen beteiligt sind, da sie die Menschen, Systeme und Prozesse, die von einem Vorfall betroffen sind, sehr gut kennen. Neben dem IT-Team sollten, wie oben erwähnt, auch Vertreter anderer Bereiche des Unternehmens einbezogen werden. Der Vorfallreaktionsplan sollte die Kontaktdaten jedes Teammitglieds und Einzelheiten zu seiner Rolle enthalten.
3. Identifizieren Sie Schwachstellen.  
   Die größte und wahrscheinlichste Schwachstelle sind Ihre Mitarbeiter. Nehmen Sie sich Zeit für verpflichtende Cybersicherheitsschulungen, um dieses Risiko zu verringern. Nutzen Sie die Informationen aus der Risikobewertung, um weitere Schwachstellen zu finden, die für Datenverletzungen genutzt werden könnten.
4. Bestimmen Sie kritische Vermögenswerte.
   Risikobewertungsberichten kann ein kategorisiertes Inventar der Vermögenswerte entnommen werden. Dieses sollte genutzt werden, um nach einer Datenpanne Prioritäten zu setzen, indem Sie sich auf jene Systeme konzentrieren, in denen sich kritische Vermögenswerte und sensible Daten befinden.
5. Stellen Sie sicher, dass automatisierte Datensicherungssysteme vorhanden sind. 
   Die Datensicherung sollte automatisiert sein, wobei die Daten außerhalb des Unternehmens gespeichert werden und nicht mit den Netzwerken des Unternehmens verbunden sind. Außerdem sollte mindestens eine Person für die Datensicherung zuständig sein, die Erfahrung mit der Wiederherstellung von Daten hat.
6. Finden Sie externe Experten für die Wiederherstellung von Daten.  
   Alle Unternehmen sollten Experten für Cybersicherheit und Datenwiederherstellung finden und deren Kontaktinformationen zur Verfügung stellen. Diese Ressourcen bieten wertvolles Fachwissen für die Prävention von Datenverletzungen und die Reaktion auf Vorfälle.
7. Entwickeln Sie eine Checkliste für den Vorfallreaktionsplan. 
   Ein weit verbreiteter Rahmen für die Reaktion auf Vorfälle wurde vom SANS Institute entwickelt.

1. Vorbereitung 
   • Entwickeln Sie Sicherheitsrichtlinien zur Vermeidung von Datenverletzungen.
   • Führen Sie eine Risikobewertung durch.
   • Identifizieren Sie sensible Vermögenswerte.
   • Definieren Sie eine Datenverletzung.
2. Identifizierung 
   • Überwachen Sie IT-Systeme, um ungewöhnliche Aktivitäten zu erkennen und festzustellen, ob es sich um Sicherheitsvorfälle handelt.
   • Sammeln Sie zusätzliche Beweise, bestimmen Sie Art und Schweregrad des Vorfalls und dokumentieren Sie alle Ergebnisse.
3. Eindämmung 
   • Leiten Sie eine sofortige und gezielte Eindämmung ein, z. B. durch Isolierung des angegriffenen Netzwerksegments.
   • Gehen Sie zu einer vorübergehenden Eindämmung über, die kurzfristige Reparaturen umfasst, um die Systeme wieder in Betrieb zu nehmen, während die sauberen Systeme wiederhergestellt werden.
4. Entfernung 
   • Entfernen Sie die Malware von allen betroffenen Systemen.
   • Identifizieren Sie die Ursache des Angriffs.
   • Implementieren Sie Abhilfemaßnahmen, um zu verhindern, dass sich ähnliche Angriffe wiederholen.
5. Wiederherstellung 
   • Bringen Sie betroffene Produktionssysteme langsam wieder online, um weitere Angriffe oder die Verbreitung von Malware zu verhindern.
   • Testen, validieren und überwachen Sie die betroffenen Systeme, um sicherzustellen, dass sie normal funktionieren.
6. Aus Vorfällen lernen
   • Führen Sie ein Audit des Vorfalls durch.
   • Erstellen Sie eine vollständige Dokumentation des Vorfalls.
   • Ermitteln Sie, ob die Reaktion auf den Vorfall verbessert werden könnte.
   • Aktualisieren Sie den Vorfallreaktionsplan mit den gewonnenen Erkenntnissen.

8. Erstellen Sie einen Kommunikationsplan. 
   Klare und deutliche Kommunikation ist nach einer Datenpanne von entscheidender Bedeutung. Wenn es vorbereitete Erklärungen für die Strafverfolgungsbehörden, die Aufsichtsbehörden, die Mitarbeiter, die Kunden und die Medien gibt, können die Teams diese schnell an die Einzelheiten des Vorfalls anpassen und sie umgehend verbreiten.
   
   Die Entwürfe der Erklärungen sollten einen Zeitplan zur Veröffentlichung und Kontaktinformationen enthalten. Da jeder Staat sein eigenes Gesetz zur Benachrichtigung über Datenverletzungen hat und die Regeln von anderen Behörden diktiert werden, ist es wichtig, dass Sie diese Informationen im Vorfeld einholen und genau wissen, wer wann benachrichtigt werden muss.
9. Bewerten und aktualisieren Sie den Vorfallreaktionsplan regelmäßig. 
   Vorfallreaktionspläne sollten regelmäßig aktualisiert werden, um Änderungen der Daten, der Benutzer und der IT-Infrastruktur zu berücksichtigen. Bei der Überprüfung des Plans sollten auch Änderungen der gesetzlichen Vorschriften berücksichtigt werden.

Bereiten Sie sich auf Datenverletzungen vor und überarbeiten Sie den Plan regelmäßig

Eine erfolgreiche Reaktion auf eine Datenverletzung beginnt mit der Vorbereitung und Planung. Experten sind sich einig, dass die meisten Unternehmen irgendwann von einer Datenpanne betroffen sein werden. Unternehmen mit einem Vorfallreaktionsplan erholen sich schneller und mit geringeren Auswirkungen als solche, die keine Zeit in die Entwicklung und Wartung eines soliden Plans investiert haben.

Das könnte Sie auch interessieren: