An­grif­fe auf die Da­ten­si­cher­heit

Bei den meisten Ransomware-Angriffen geht es darum, mittels verschlüsselter oder gestohlener Daten Geld zu erpressen. Nach dem Angriff verlangen die Angreifenden Geld, um die Daten wieder zu entschlüsseln oder um deren Veröffentlichung (zum Beispiel im Darknet) zu verhindern. Zunehmend werden ausserdem die entwendeten Daten verwendet, um die betroffenen Personen zusätzlich direkt zu erpressen.

Bei Social-Engineering-Angriffen versuchen Angreifende, Mitarbeitende öffentlicher Organe zur Ausführung bestimmter Handlungen zu bringen. Die Ziele eines solchen Angriffs können sehr vielfältig sein, von der Ausführung von Malware über die Kundgabe von Zugangsdaten bis zur Bekanntgabe von internen Informationen und Daten. Oft finden die Angriffe via E-Mail oder Telefon statt.

Erhält die Datenschutzbeauftragte eine Meldung über einen Angriff auf die Datensicherheit, berät sie das öffentliche Organ bei der Bewältigung und fordert, wenn nötig, die Umsetzung zusätzlicher Massnahmen, um die Informationssicherheit der betroffenen Organisation zu erhöhen und das Risiko zukünftiger Datenschutzverletzungen zu reduzieren. 

Das Risiko eines erfolgreichen Angriffs kann durch entsprechende Massnahmen reduziert werden. Die konkrete Ausgestaltung hängt stark von der jeweiligen Situation beim öffentlichen Organ ab. Im Folgenden werden einige wichtige Massnahmen vorgestellt:

• Sicherheitsrelevante Prozesse sollten klar definiert und unter Berücksichtigung der Anforderungen der Informationssicherheit und des Datenschutzes ausgestaltet sein. Die Mitarbeitenden sollten bezüglich dieser Prozesse geschult und auf die Erkennung üblicher Angriffe sensibilisiert werden.
• Die Prozesse und Vorgaben der Benutzerverwaltung und des Berechtigungsmanagements sind klar zu definieren. Dabei sind die Berechtigungen aller Benutzenden auf ein Minimum zu reduzieren und regelmässig zu überprüfen.
• Eine starke Authentisierung ist konsequent umzusetzen.
• Die Informations- und Kommunikationstechnik (IKT-Systeme) ist durch technische Massnahmen zu schützen. Dazu gehört insbesondere das zeitnahe Installieren von Updates, die umfassende Protokollierung, der Schutz der Log-Daten, das Monitoring von sicherheitsrelevanten Aktivitäten (SIEM), die sichere Konfiguration der Systeme (Härtung) sowie Datensicherungen (Back-ups).
• Das Durchführen von Security Reviews zur Identifikation von Schwachstellen und der damit verbundenen Risiken in den IKT-Systemen.
• Daten auf (mobilen) Speichermedien und bei der Übertragung sind zu verschlüsseln. Für die Verschlüsselung müssen sichere kryptographische Verfahren eingesetzt werden, beispielsweise nach der Technischen Richtlinie des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI TR-02102).

Da keine absolute Sicherheit möglich ist, sind neben Massnahmen zum direkten Schutz vor Angriffen auch Massnahmen zur Reduktion der Auswirkungen und zur Detektion von Angriffen sowie zur Wiederherstellung des Geschäftsbetriebes erforderlich. Generell ist es empfehlenswert, sich an anerkannte Standards und Frameworks zu richten. Diese helfen bei der Definition und Ausgestaltung von Massnahmen und bieten eine gewisse Sicherheit, dass keine wichtigen Bereiche vergessen wurden. Dazu zählen beispielsweise:

• Standards der ISO/IEC 27000-er Reihe, insbesondere 27001 und 27002,
• IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI),
• Cybersecurity Framework (CSF) des National Institute for Standards and Technology (NIST),
• IKT-Minimalstandard des Schweizerischen Bundesamts für Cybersicherheit (BACS).