Am 15.12.2023 hielt ich auf Einladung des GDD e.V. einen Vortrag zum Umgang mit Hacking-Angriffen in Unternehmen. Weitere Referenten im Rahmen der Tagung waren Richter, Informatiker und der Hessische Beauftragte für Datenschutz und Informationsfreiheit.
Erläutert wurden zunächst die verschiedenen Arten und Phasen von Cyberangriffen, die heute eines der größten Risiken für Unternehmen darstellen. Angriffen geht dabei häufig aus Angreifersicht eine längere Vorbereitungszeit voraus, die von angegriffenen Unternehmen jedoch oftmals erst rückwirkend bemerkt wird.
Es wurde ausgeführt, welche Maßnahmen Unternehmen in den jeweiligen Phasen ergreifen sollten: im Vorfeld etwa das Aufstellen von unternehmensübergreifenden Call-Trees, das Definieren bestimmter Notfallprozesse und das Verschaffen einer Übersicht der eigenen IT-Assets einschließlich etwaiger Schatten-IT. In der Angriffsphase gelte es, bestimmte Dienste zu sperren und Logfiles auszuwerten. Wichtig sei auch die interne und externe Kommunikation. Für angegriffene Unternehmen biete es sich an, sich an einschlägigen Standards wie MITRE ATT&CK zu orientieren.
In einem weiteren Abschnitt des Vortrags wurde das Verhältnis zwischen Informationssicherheit und Datenschutzrecht erläutert und gezeigt, welche gemeinsamen technischen und organisatorischen Maßnahmen zu ergreifen seien. Präventiv zählten hierzu beispielsweise ein Intrusion Detection System, regelmäßige Mitarbeiterschulungen und ein funktionierendes Patch-Management. Zur Zeit des Angriffs sei etwa die Dokumentation des Hergangs wichtig, zudem seien die Meldepflichten der DS-GVO gegenüber der Aufsichtsbehörde und Betroffenen im Blick zu behalten.
Wie üblich schloss der Vortrag mit einem Dialog mit den Zuhörern.
Moderator der Fachtagung war der Frankfurter Datenschutzrechtler und Rechtsanwalt Dr. Dennis Voigt der Kanzlei Melchers.