Unternehmen und Behörden nutzen in der Regel Datenbanken, in denen große Datenmengen gespeichert und verarbeitet werden. Verwaltet werden typischerweise geschäftskritische und hochsensible Daten, z. B. Finanzdaten (Steuer, Konten und Kreditkarten), Personendaten (Privatadressen und Personalakten) oder Produktdaten. Die Datenbanken sind meistens eng mit Anwendungen und Web-Diensten verbunden. Diese machen sie von außen und innen angreifbar.
Viele CIOs und IT-Leiter glauben, dass ihre IT-Infrastruktur ausreichend gegen Angriffe geschützt ist. Mehrstufige Firewalls, Anti-Virensoftware, sowie Intrusion Detection und Prevention Systeme (IPS)(1) vermitteln oftmals ein trügerisches Gefühl der Sicherheit. Was dabei vergessen wird, dass das Problem häufig vor dem PC innerhalb der Unternehmen und Behörden sitzt.
Nach wie vor gehen Mitarbeiter zu sorglos mit Phishing-Mails oder externen Anrufern um, clicken auf Links oder geben vertrauliche Informationen an Außenstehende weiter. Das liegt häufig daran, dass die Mails oder Anrufer gar nicht mehr als Bedrohung erkannt werden können. Gerade in Zeiten von KI ist die Täuschung fast perfekt. Kommt dann noch Stress oder Zeitdruck im Arbeitsalltag dazu, ist der GAU nicht weit entfernt.
Dass die Cyberangriffe häufig von Erfolg gekrönt sind, zeigt eine aktuelle Studie der Europäischen Agentur für Cybersicherheit (enisa)(2). Die Sicherheitsexperten haben dabei festgestellt, dass besonders Unternehmen und Behörden in der Europäischen Union das Ziel von Cyberattacken in den letzten 12 Monaten geworden sind.
Über Cyberangriffe auf deutsche Bundesbehörden berichtete die Bundesregierung jüngst in ihrer Antwort (20/14532) auf eine „Kleine Anfrage“ der FDP-Fraktion (20/14372). Danach wurden im vergangenen Jahr vom Bundesamt in der Informationssicherheit (BSI) im Zeitraum vom 1. Januar bis 30. Dezember 80 gemeldete IT-Sicherheitsvorfälle erfasst(9).
Interessant ist in diesem Zusammenhang auch die Analyse der Bedrohungen nach Typ.
Die direkte Gefährdung von gespeicherten Daten, d.h. Datenbanken, liegt bei den untersuchten Bedrohungstypen in Summe bei 45% (Daten 19% und Ransomware 26%)(2).
Besorgniserregend ist auch die Aussage der enisa, dass die Kompromittierung von Daten in den Jahren 2023-2024 stark zugenommen hat und es Anzeichen dafür gibt, dass sich diese Dynamik in den Folgejahren weiter fortsetzen wird(2).
In der DSGVO(10) wird in Artikel 32 (Sicherheit der Verarbeitung) gefordert: „ … treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Insbesondere wird die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“ als wirksame Maßnahme empfohlen.
Ebenso das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen BSI-Standards(11) 200-1 bis 200-4 den Einsatz von Verschlüsselung zur Risikominimierung des IT-Betriebs.
Artikel 33 DSGVO(10) (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) fordert: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Während IT-Verantwortlichen der Artikel 33 DSGVO bekannt sein sollte, herrscht bezüglich der richtigen Anwendung des Artikels eine gewisse Unsicherheit in der IT-Welt.
Um für mehr Klarheit hinsichtlich der Meldepflicht zu schaffen, hat das European Data Protection Board (edpb) Leitlinien(12) mit Fallbeispielen erstellt.
Im dort beschriebenen „Fall Nr. 01: Ransomware mit angemessener Sicherungskopie und ohne Exfiltration“ wird folgendes Szenario und dessen Auswirkungen beschrieben:
„Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt und die auf diesen Systemen gespeicherten Daten wurden verschlüsselt. Der Verantwortliche nutzte die Verschlüsselung von ruhenden Daten, d. h. alle Daten, auf die die Ransomware zugriff, wurden mit einem modernen Verschlüsselungsalgorithmus verschlüsselt gespeichert. Der Entschlüsselungsschlüssel wurde bei dem Angriff nicht beeinträchtigt, d. h. der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschlüsselte persönliche Daten.“
Die erforderlichen Maßnahmen ergeben sich aus der in den Leitlinien veröffentlichten Tabelle:
Die erforderlichen Maßnahmen werden dabei wie folgt begründet:
„In diesem Beispiel hatte der Angreifer Zugriff auf personenbezogene Daten, wodurch die Vertraulichkeit des Geheimtextes, der personenbezogene Daten in verschlüsselter Form enthält, beeinträchtigt wurde. Die Daten, die möglicherweise exfiltriert wurden, können jedoch vom Angreifer vorerst nicht gelesen oder verwendet werden. Die vom Verantwortlichen verwendete Verschlüsselungstechnik entspricht dem Stand der Technik. Der zur Entschlüsselung benötigte Schlüssel wurde nicht beeinträchtigt und konnte vermutlich auch nicht auf anderem Wege ermittelt werden. Infolgedessen werden die Risiken hinsichtlich der Vertraulichkeit für die Rechte und Freiheiten natürlicher Personen auf ein Mindestmaß begrenzt, sofern keine kryptoanalytischen Fortschritte erzielt werden, die die verschlüsselten Daten in Zukunft verständlich machen.“
Der Einsatz von Verschlüsselung befreit also Unternehmen und Behörden, gemäß dem dargelegten Fallbeispiel, von der Pflicht die Aufsichtsbehörde und die betroffenen Personen zu informieren.
Stellt man hier die erforderlichen IT-Investitionen einem möglichen Image-, Umsatz- und Vertrauensverlust von betroffenen Kunden und Personen gegenüber, wird schnell klar, dass die notwendigen Investitionen deutlich kleiner ausfallen werden als der potenzielle Schaden.
Im heutigen Zeitalter von Nachrichtenportalen und Social-Media sind die Folgen nicht zu unterschätzen und können langwierige negative Auswirkungen für Unternehmen und Behörden bedeuten.
Die Software AG empfiehlt daher grundsätzlich ihren Kunden den Einsatz von Encryption(13) in Kombination mit Auditing(13) für unsere Adabas Datenbanken, um die Risiken im IT-Betrieb auf ein Minimum zu beschränken. Beide Maßnahmen ergänzen sich ideal und bilden den optimalen Technologiemix, um sich gegen Angriffe und ungewollte Datenabflüsse von innen und außen zu wappnen.
(2) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
(3) https://www.auswaertiges-amt.de/de/newsroom/hackerangriff-bundestag-2345542
(4) https://www.heise.de/news/Nach-Cyberangriff-Suedwestfalen-IT-will-sich-tiefgreifend-reformieren-10187972.html
(5) https://www.handelsblatt.com/technik/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/26198688.html
(6) https://www.hessenschau.de/panorama/datenleck-nach-cyberangriff-auf-hessische-polizei-hochschule-v2,cyberangriff-datenleck-100.html
(7) https://www.gdp.de/mv/de/stories/2024/05/240524-hackerangriff
(8) https://www.ndr.de/nachrichten/niedersachsen/hannover_weser-leinegebiet/Cyberangriff-auf-Polizei-Steckt-pro-russische-Gruppe-dahinter,cyberangriff156.html
(9) https://www.bundestag.de/presse/hib/kurzmeldungen-1039674
(10) https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679
(11) https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html
(12) https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
(13) https://www.softwareag.com/de_de/resources/adabas-natural/ebook/maximize-security-of-adabas-data.html
