Mit der Digitalisierung hat die Zukunft in Unternehmen Einzug gehalten \u2013 sei es durch nahezu grenzenlose Vernetzung oder durch mobiles Arbeiten. Dies f\u00fchrt auch zu einem rasanten Anstieg der Cyberkriminalit\u00e4t in Deutschland. Tats\u00e4chlich ist es nicht die Frage, ob Ihr Unternehmen angegriffen wird, sondern wann und wie schwerwiegend der Angriff sein wird.<\/p>\n
Auch unsere Kunden sind zunehmend von Hackerangriffen betroffen.<\/p>\n
Der gr\u00f6\u00dfte Risikofaktor: die MitarbeiterInnen selbst, die durch kleine Nachl\u00e4ssigkeiten an sich gesch\u00fctzte Infrastrukturen gef\u00e4hrden k\u00f6nnen, sei es durch die Verwendung unsicherer Passw\u00f6rter, das \u00d6ffnen einer E-Mail mit infiziertem Anhang oder Link oder das (versehentliche) Preisgeben von Informationen.<\/p>\n
Bei einem Hackerangriff handelt es sich h\u00e4ufig gleichzeitig um einen Datenschutzvorfall. Davon spricht man, wenn durch den Angriff die Vertraulichkeit sensibler Daten nicht mehr gew\u00e4hrleistet ist. Bei solch einem Datenschutzvorfall erhalten Dritte Zugriff auf sensible oder vertrauliche Informationen eines Unternehmens oder einer Person. In vielen F\u00e4llen werden die Daten dann auch, beispielsweise \u00fcber das Internet, ver\u00f6ffentlicht und f\u00fcr einen weiteren Personenkreis zug\u00e4nglich gemacht. Besonders h\u00e4ufig sind solche Vorf\u00e4lle im Zusammenhang mit Finanzdaten (z.B. Kontoinformationen oder Kreditkartendaten), Gesundheitsdaten sowie Betriebsgeheimnissen.<\/p>\n
Ein gutes Risikomanagement, starke technische und organisatorische Ma\u00dfnahmen und eine geschickte Strategie sind f\u00fcr Cybersicherheit im Unternehmen daher umso wichtiger!<\/p>\n
In vielen F\u00e4llen m\u00fcssen Sie die Datenschutzverletzung der zust\u00e4ndigen Aufsichtsbeh\u00f6rde melden. Dar\u00fcber hinaus k\u00f6nnten externe Beschwerden von betroffenen Personen eingehen. Dies zieht h\u00e4ufig das unmittelbare Eingreifen der Datenschutzbeh\u00f6rden nach sich. Falls diese M\u00e4ngel in Ihrer Datenschutzorganisation feststellen, k\u00f6nnen hohe Bu\u00dfgelder die Folge sein.<\/p>\n
F\u00fchren Sie eine Bestandsaufnahme des Schadens durch. Was ist passiert? Wann ist es passiert? Welche Daten sind verloren gegangen? Sind personenbezogene Daten dem Hacker zum Opfer gefallen?<\/p>\n
Informieren Sie umgehend Ihren Datenschutzbeauftragten. Wir stimmen zusammen mit Ihnen ab, ob eine Meldepflicht besteht.\u00a0Nachdem ein meldepflichtiger Datenschutzvorfall bekannt wird, haben Sie noch 72 Stunden Zeit f\u00fcr die Meldung!<\/u><\/p>\nAnalyse und Beseitigung der Angriffsursache<\/h4>\n
Wie erfolgte der Angriff? Handelt es sich um eine Sicherheitsl\u00fccke in der Software, einen Phishing-Angriff, ein kompromittiertes Passwort oder liegt eine andere Schwachstelle vor? Sobald die Ursache erkannt ist, m\u00fcssen Sie Ma\u00dfnahmen ergreifen, um sie zu beseitigen und zuk\u00fcnftige Angriffe zu verhindern. Dies kann beispielsweise durch Patchen der betroffenen Software, \u00c4ndern der Passw\u00f6rter oder Schulung der Mitarbeiter zur Verbesserung der Sicherheitspraktiken geschehen.<\/p>\n
Etablieren Sie ein Risikomanagement in Ihrem Unternehmen. Durch eine strukturierte Analyse k\u00f6nnen Sie potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen fr\u00fchzeitig erkennen. Dies umfasst sowohl interne als auch externe Bedrohungen, wie etwa Cyberangriffe, Datenschutzverletzungen, Systemausf\u00e4lle oder menschliches Fehlverhalten.<\/p>\n
Dazu z\u00e4hlen u.a.:<\/p>\n
Liegen diese Sicherheitsma\u00dfnahmen in Ihrem Unternehmen vor, erf\u00fcllen Sie zu gro\u00dfen Teilen auch gleichzeitig die Anforderungen nach der NIS-2-Richtlinie (NIS2) der EU. In Deutschland wird diese Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz (NIS2UmsuCG) umgesetzt, f\u00fcr das ein aktueller Gesetzesentwurf vorliegt. Mit dem Inkrafttreten des Gesetzes ist ab Herbst 2024<\/strong> zu rechnen.<\/p>\n Die wichtigsten Eckpunkte dazu hier einmal im \u00dcberblick:<\/p>\n Die NIS2 besagt, dass betroffene Unternehmen in bestimmten Sektoren ab 50 MitarbeiterInnen<\/u> oder<\/strong> 10 Mio. EUR Umsatz<\/u> bestimmte Informationssicherheitsstandards einhalten m\u00fcssen. Zu den betroffenen Unternehmen z\u00e4hlen unter anderem Online-Marktpl\u00e4tze, Lebensmittelversorger, Forschungseinrichtungen. Hier k\u00f6nnen Sie pr\u00fcfen ob Sie selbst zu den regulierten Unternehmen geh\u00f6ren: https:\/\/betroffenheitspruefung-nis-2.bsi.de\/\u00a0<\/a><\/p>\n Die Sicherheit im Unternehmen ist Chefsache. Es ist direkt im Gesetz verankert, dass Gesch\u00e4ftsleitungen sich fortbilden m\u00fcssen zu den Themen Risikomanagement und Informationssicherheit. Die Gesch\u00e4ftsleitung muss dazu in der Lage sein, die erforderlichen Ma\u00dfnahmen und Risiken bewerten und priorisieren zu k\u00f6nnen. Sollte doch etwas passieren und der IT-Sicherheit nicht gen\u00fcgend Rechnung getragen werden, so ist die Gesch\u00e4ftsleitung unmittelbar haftbar!<\/p>\n Neben der Einhaltung von Informationssicherheitsstandards, bringt die Richtlinie auch eine unverz\u00fcgliche Meldung (innerhalb von 24h) signifikante St\u00f6rungen, Vorf\u00e4lle und IT-Bedrohungen an die zust\u00e4ndige Beh\u00f6rde mit sich. Dies gilt jedoch ausschlie\u00dflich f\u00fcr die regulierten Unternehmen.<\/p>\n