Hilfe ich wurde gehackt – Erste Hilfe für Unternehmen

Die IT kommt mit der Hiobsbotschaft - am Server wurde eine "Web shell" gefunden. Das Script hatte vollen Zugriff auf den Webserver und war in der Lage, die Datenbank auszulesen. Datenschutz-Experte Rainer Knyrim zeigt was Unternehmen in solchen Fällen tun sollten und wie die gesetzliche Lage in Österreich aussieht. [...]

Datendiebstahl ist ein brandheißes Eisen für Unternehmen. Nicht nur aufgrund des Image-Schadens, sondern auch aufgrund von Regress-Forderungen durch Kunden und möglichen Strafen durch den Gesetzgeber. Laut dem Österreichischen Datenschutzgesetz (DSG) können bis zu 10.000 Euro Strafe verhängt werden, wenn Kunden über einen möglichen Schaden nicht informiert werden. Die brandneue Datenschutz-Grundverordnung sieht ab 2018 sogar Strafen von bis zu 20 Mio. Euro oder 4 Prozent vom Umsatz vor.
Unternehmen sind verpflichtet, Sicherheitsvorkehrungen zu treffen. Diese sind in § 14 DSG sehr allgemein geregelt und müssen dem Stand der Technik entsprechen, je nach Art und Umfang der verwendeten Daten. Wer also sensible Daten (zB Gesundheitsdaten) speichert, muss erhöhte Datensicherheitsmaßnahmen treffen. 
In den meisten Fällen treten Datenlecks durch unachtsame Mitarbeiter auf, welche sich Trojaner im Netzwerk-PC einfangen, oder wichtige Informationen versehentlich an falsche Personen senden. Auch billige Dienstleister bzw. Subdienstleister welche gravierende Fehler machen (ZB Standard-Passwörter in Applikationen nicht ändern, etc.) können rasch in den Supergau führen.
Was tun wenn es brennt?
1. Schadens-Feststellung
Der erste Schritt ist die genaue Feststellung des Schadens. Was genau ist passiert? Wie lange besteht die Gefahr bereits? Wurden Daten entwendet (Logfiles)? Handelt es sich um Bestandsdaten, sensible Kundendaten (Gesundheit, ethnische Herkunft, etc.) oder vielleicht sogar finanzielle Daten (Kreditkarten, Bankkontoinformationen)? Wie viele Kunden sind betroffen? Welche Maßnahmen zur Absicherung wurden bereits getroffen?
2. Information der Behörden
In Österreich besteht derzeit nur Meldepflicht, wenn man ein Telekommunikationsunternehmen ist nach dem TKG. Ab 25.5.2018 muss die Datenschutzbehörde aber von jedem Unternehmen verständigt werden, wenn personenbezogene Daten gehackt wurden. Man muss ihr binnen 72 Stunden einen ersten Bericht liefern, was passiert ist und was man bereits für Abhilfemassnahmen gesetzt hat und ob die Betroffenen schon verständigt wurden.
Parallel dazu sollte die Polizei (Bundeskriminalamt) eingeschalten werden, um den Angriff aufzuklären, obwohl das bei den meisten internationalen Fällen schwierig ist. Das BMI bietet mit dem Cyber Crime Competence Center eine Ansprechstelle (siehe Ende des Artikels).
3. Information der Kunden
Wurden personenbezogene Daten entwendet, durch die den Betroffenen ein Schaden entstehen kann (ZB Passwörter, sensible Kundendaten, Kreditkarten-Infos, etc.), müssen Kunden umgehend informiert werden – andernfalls drohen gegenwärtig Strafen von bis zu 10.000 Euros und teure Regress-Forderungen falls Kunden tatsächlich Schaden erleiden.
4. Absicherung der Schwachstellen
Die IT muss die Lücke im System feststellen und umgehend Maßnahmen ergreifen. Dies sind: Scan und Entfernung von Schad-Dateien, Änderung aller relevanten Passwörter, Installation von Virenschutz, Updates von Software, Sicherheits-Audits oder Schulungen für Mitarbeiter. Parallel dazu sollten auch Services installiert werden, welche den Webserver permanent auf Schadcode scannen und bei Problemen alarmieren. Der mit dem Constantinus ausgezeichnete Österreichische Security Anbieter Nimbusec beispielsweise bietet einen derartigen Service an. Diese Scans zielen darauf ab inhaltliche Veränderungen, Defacements oder die Verteilung von Schadsoftware an Website-Besucher zu finden. Zusätzlich wird geprüft ob die eigene Webseite auf einer Blacklist steht.
Services:
Meldestelle Bundeskriminalamt
Telefon: +43-(0)1-24836-986500
E-Mail: against-cybercrime@bmi.gv.at 
www.nimbusec.com https://sitecheck.sucuri.net/www.unmaskparasites.comwww.shelldetector.comwww.acunetix.com 

Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*