Help Button

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Im Zuge der Dis­kus­si­on um Infor­ma­ti­ons­si­cher­heits­kon­zep­te und tech­ni­sche Maß­nah­men im Sin­ne der DSGVO stößt man unwei­ger­lich auf das The­ma Not­fall­ma­nage­ment. Vor­ran­gig zie­len die ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men einer Orga­ni­sa­ti­on ja dar­auf ab, Sicher­heits­vor­fäl­le und Not­fäl­le mög­lichst zu ver­mei­den. Die Ein­tritts­wahr­schein­lich­keit soll mög­lichst nahe Null lie­gen. Das dies für jede Art von Vor­fall nicht immer gelingt, liegt auf der Hand. Umso wich­ti­ger ist, von sol­chen Vor­fäl­len früh­zei­tig Kennt­nis zu erlan­gen, die­se kor­rekt zu bewer­ten und ange­mes­sen zu reagieren.

Dies setzt jedoch sen­si­bi­li­sier­te Mit­ar­bei­ter vor­aus, die im Fal­le eines Sicher­heits­vor­falls oder eines Not­falls wis­sen, was zu tun ist. Die Alli­anz für Cyber-Sicher­heit hat sich zusam­men mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und eini­gen ande­ren Ein­rich­tun­gen im Hin­blick auf IT-Sicher­heits­vor­fäl­le Gedan­ken gemacht.

Die IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” für Mitarbeiter

Sie ken­nen das sicher noch aus der Ers­te-Hil­fe-Aus­bil­dung. Die 5 “W” für den rich­ti­gen Notruf:

  1. Wo ist das Ereignis?
  2. Wer ruft an?
  3. Was ist geschehen?
  4. Wie vie­le Betroffene?
  5. War­ten auf Rückfragen

Ana­log zu die­ser Vor­ge­hens­wei­se gibt es nun die IT-Not­fall­kar­te zum kos­ten­frei­en Down­load und zur Ver­tei­lung an Mit­ar­bei­ter bzw. Aus­hang der Kar­te. Nach Ein­trag der inter­nen Ruf­num­mer für IT-Not­fäl­le kom­men die 5 “W” für die Notfallmeldung:

  1. Wer mel­det?
  2. Wel­ches IT-Sys­tem ist betroffen?
  3. Wie haben Sie mit dem IT-Sys­tem gear­bei­tet bzw. was haben Sie beobachtet?
  4. Wann ist das Ereig­nis eingetreten?
  5. Wo befin­det sich das betrof­fe­ne IT-Sys­tem (Gebäu­de, Raum, Arbeitsplatz)?

Dar­un­ter fin­den sich eini­ge Ver­hal­tens­hin­wei­se für den oder die betrof­fe­nen Mit­ar­bei­ter. Für den Fall eines Befalls mit Kryp­to­tro­ja­nern wäre mög­li­cher­wei­se die Emp­feh­lung “Netz­werk­ka­bel zie­hen” noch recht hilf­reich gewesen.

Sehr gut hat uns die Aus­sa­ge gefal­len “Ruhe bewah­ren & IT-Not­fall mel­den. Lie­ber ein­mal mehr als ein­mal zu wenig anru­fen!”, die sich als zwei­te Über­schrift auf der Kar­te oben findet.

Top 12 Maß­nah­men bei Cyber-Angriffen

Da es nach der Mel­dung eines IT-Not­falls mit der Bear­bei­tung wei­ter­ge­hen muss, lie­fert die Alli­anz für Cyber­si­cher­heit zur wei­te­ren “Bewäl­ti­gung des Not­falls” eine Top 12 Lis­te mit. Auf die­ser fin­den sich die wich­tigs­ten Maß­nah­men zur Scha­dens­be­gren­zung und auch der Nach­be­ar­bei­tung des hof­fent­lich glimpf­lich ver­lau­fe­nen Angriffs.

Die­se Top 12 Maß­nah­men bei Cyber-Angrif­fen rich­ten sich an IT-Ver­ant­wort­li­che und Admi­nis­tra­to­ren und soll­ten an kei­nem Arbeits­platz als Hil­fe­stel­lung fehlen.

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Die­se bei­den Hil­fe­stel­lun­gen sind ein ers­ter Schritt in die rich­ti­ge Rich­tung. Doch ohne pro­fes­sio­nel­les Not­fall­ma­nage­ment wird kei­ne Orga­ni­sa­ti­on zukünf­tig aus­kom­men. Wur­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in der Ver­gan­gen­heit meist schon sehr stief­müt­ter­lich behan­delt, haben gera­de klei­ne Orga­ni­sa­tio­nen das The­ma Not­fall­ma­nage­ment gar nicht oder nur weit am Ende des Erfas­sungs­be­reichs auf dem Radar.

Hier ver­weist die Alli­anz für Cyber­si­cher­heit auf den Stan­dard 100–4 des BSI IT-Grund­schut­zes. 100–4 beschreibt eine pro­fes­sio­nel­le und sys­te­ma­ti­sche Vor­ge­hens­wei­se zur Ein­füh­rung und Wei­ter­ent­wick­lung eines Not­fall­ma­nage­ments in Orga­ni­sa­tio­nen jeg­li­cher Grö­ße und Bran­che. Bei ers­ter Durch­sicht mag das dem einen oder ande­ren Leser etwas sper­rig oder zu auf­ge­bauscht wir­ken. Und sicher emp­fiehlt es sich, in Abhän­gig­keit von der Orga­ni­sa­ti­ons­grö­ße den Stan­dard 100–4 ange­mes­sen und zweck­dien­lich umzu­set­zen. Eine stoi­sche 1:1 Umset­zung ist eher suboptimal.

Sinn und Not­wen­dig­keit für ein Not­fall­ma­nage­ment soll­ten jedoch schnell klar wer­den. Ein Not­fall ist etwas ande­res als “Kein Papier im Dru­cker”. Ok, der betrof­fe­ne Mit­ar­bei­ter mag das kurz­zei­tig so emp­fin­den 🙂 In einem Not­fall oder auch bei der Ver­ket­tung meh­re­rer Arten von Not­fäl­len ist kei­ne gro­ße Zeit, sich über die Not­fall­be­hand­lung Gedan­ken zu machen oder wich­ti­ge Infor­ma­tio­nen für die Besei­ti­gung des Not­falls zu beschaffen.

Wenn Sie mit dem The­ma lieb­äu­geln, kön­nen wir Ihnen den Kurs “Not­fall­ma­nage­ment” der Baye­ri­schen Ver­wal­tungs­schu­le wärms­tens an Herz legen. Die­ser ist nicht auf baye­ri­sche Ver­wal­tun­gen beschränkt, son­dern steht inter­es­sier­ten Teil­neh­mern aus Behör­den und Unter­neh­men aus ganz Deutsch­land offen.

Im Rah­men von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten wird die Ent­wick­lung eines Not­fall­vor­sor­ge­kon­zepts und eines Not­fall­plans (erst die Ver­mei­dung, dann die Reak­ti­on, wenn es mit dem Ver­mei­den nicht geklappt hat) gefor­dert. Wer sich also mit den Stan­dards wie IT-Grund­schutz, ISIS12 oder auch der Arbeits­hil­fe (für klei­ne­re Ein­rich­tun­gen) und deren Ein­füh­rung befasst, wird um das The­ma nicht herumkommen.

Was kann a.s.k. Daten­schutz für Sie tun?

Vor­aus­ge­schickt: a.s.k. Daten­schutz ist der Dozent an der Baye­ri­schen Ver­wal­tungs­schu­le u.a. für das The­ma Not­fall­ma­nage­ment und die Aus­bil­dung von zer­ti­fi­zier­ten Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten. Im Zuge von zahl­rei­chen Sicher­heits­kon­zep­ten beglei­ten wir die Ein­füh­rung von Not­fall­vor­sor­ge­kon­zep­ten und die Erstel­lung von Not­fall­plä­nen. Selbst­ver­ständ­lich bie­ten wir die­se Dienst­leis­tung im Rah­men der Ein­füh­rung und Beglei­tung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten, aber auch flan­kie­rend zur Tätig­keit als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te an. Spre­chen Sie uns ein­fach an. Ihren Daten­schutz­be­auf­trag­ten wird das sicher auch freuen.

Apro­pos Daten­schutz­be­auf­trag­ter: Ver­fügt Ihre Orga­ni­sa­ti­on über einen Daten­schutz­be­auf­trag­ten? Öffent­li­che Stel­len sind zur Bestel­lung unge­ach­tet der Mit­ar­bei­ter­zahl gene­rell ver­pflich­tet. Unter­neh­men benö­ti­gen einen Daten­schutz­be­auf­trag­ten ab 10 Mit­ar­bei­tern (soll­te das 2. DsAnpG den Bun­des­rat pas­sie­ren erhöht sich die Zahl auf 20), die regel­mä­ßig mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten befasst sind. Und las­sen Sie sich kei­nen Sand in die Augen streu­en. Ob mit oder ohne Daten­schutz­be­auf­trag­ten müs­sen alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on erfüllt sein. Wenn es kei­nen DSB gibt, muss sich jemand ande­res um die meist büro­kra­ti­schen Auf­ga­ben küm­mern. Ein­fa­cher und prag­ma­ti­scher geht es mit a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te. For­dern Sie noch heu­te Ihr unver­bind­li­ches Ange­bot an.

Unver­bind­li­ches Ange­bot anfordern
Trojanisches Pferd

Wer aktu­ell eine Bewer­bung per Email erhält, soll­te beson­ders wach­sam sein. Hat­ten auf Stel­len­an­zei­gen hin prä­pa­rier­te Kryp­to-Tro­ja­ner wie Gol­den Eye damals das Ver­schlüs­seln aller Daten auf dem Ziel­sys­tem im Sinn, sieht das bei Ger­man­Wi­per nun anders aus. Statt Ver­schlüs­se­lung greift die­se neue Ran­som­wa­re zum Löschen aller Daten. Im ange­häng­ten ZIP-Archiv befin­det sich die­ses Mal kein Word-Doku­ment mit Makros, son­dern eine Win­dows-Link-Datei. Wird die­se gestar­tet, öff­net sich die Win­dows Powers­hell und der eigent­li­che Schad­code von Ger­man­Wi­per wird gela­den und aus­ge­führt. Lt. BSI gibt der Text der Email noch kei­nen Anlass zum Arg­wohn. Unbe­darf­te bzw. unsen­si­bi­li­sier­te Anwen­der dürf­ten also durch­aus eine Risi­ko­grup­pe für die­sen Angriff darstellen.

Hof­fen auf eine Löse­geld­for­de­rung nach mög­li­cher Bit­coin-Löse­geld­zah­lung braucht man bei Ger­man­Wi­per nicht. Denn statt zur Ver­schlüs­se­lung zu grei­fen, löscht Ger­man­Wi­per ein­fach alle Daten im Rah­men der Zugriffs­rech­te des Anwen­ders. Gelöscht wird nicht mit dem klas­si­schen Ver­schie­ben in den Papier­korb und anschlie­ßen­dem Lee­ren des Papier­korbs. In die­sem Fall wären die Daten meist mit mehr oder weni­ger Auf­wand wie­der­her­stell­bar. Ger­man­Wi­per über­schreibt vor­han­de­ne Daten mit Nul­len. Per­fi­de: Am Ende zeigt Ger­man­Wi­per doch einen Löse­geld­bild­schirm an. Dar­auf ein­ge­hen, soll­te man jedoch nicht. Denn die von Ger­man­Wi­per gelösch­ten Daten kön­nen auch nach Zah­lung von Löse­geld nicht mehr wie­der­her­ge­stellt werden.

Wohl dem, der ein funk­ti­ons­fä­hi­ges und regel­mä­ßig geprüf­tes Back­up sei­ner Daten hat. Die­ses soll­te selbst­ver­ständ­lich „off­line“ sein, also durch einen Angriff wie mit Ger­man­Wi­per nicht erreich­bar sein. Berech­ti­gungs­kon­zep­te soll­ten nach dem least pri­vi­le­ge Prin­zip umge­setzt sein (nur so vie­le Zugriffs­rech­te wie zwin­gend not­wen­dig). Exter­ne Lauf­wer­ke aber auch Netz­lauf­wer­ke soll­ten wirk­lich nur im Fall der Daten­si­che­rung ver­bun­den sein und danach wie­der getrennt wer­den. Eine Grund­an­for­de­rung ist eben­falls: Ein Admi­nis­tra­tor surft mit sei­nen erwei­ter­ten Rech­ten nicht im Inter­net und liest damit auch kei­ne Emails. Für die­se Tätig­kei­ten steht ein ein­ge­schränk­ter Account zur Verfügung.

Im Rah­men eines Infor­ma­ti­ons­si­cher­heits­kon­zepts aber auch bei regel­mä­ßig durch den Daten­schutz­be­auf­trag­ten geprüf­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men soll­te dies gewähr­leis­tet sein. Auch regel­mä­ßi­ge Tests zur Daten­wie­der­her­stel­lung (Reco­very-Tests) hel­fen, die­sem Risi­ko zu begeg­nen. Viel­leicht wäre es auch ein guter Zeit­punkt, die schon eine Wei­le zurück­lie­gen­de Sen­si­bi­li­sie­rung der Mit­ar­bei­ter nachzuholen.

Sie ver­fü­gen noch über kei­nen Daten­schutz­be­auf­trag­ten? Mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept wie dem BSI IT-Grund­schutz, ISIS12 oder der Vari­an­te „Arbeits­hil­fe“ für kleins­te Ein­rich­tun­gen haben Sie zwar schon gelieb­äu­gelt, aber noch nichts der­glei­chen umge­setzt? Dann spre­chen Sie uns ger­ne an. Ger­ne unter­stüt­zen wir Sie auch als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te mit unse­rem Team in Ber­lin, Sim­mels­dorf und Mün­chen und unse­rer über 10 Jah­re bewähr­ten Erfah­rung mit prag­ma­ti­schen Lösungen.

Der klas­si­sche Angriffs­weg: Schad­code über Makros in Office-Dokumenten

Das Angriff­sze­na­rio ken­nen wir zur Genü­ge. Eine Word- oder Excel-Datei ent­hält Makro-Code, der nach Öff­nen des Doku­ments und einen unacht­sa­men Klick des Nut­zers auf “Makros akti­vie­ren” den eigent­li­chen Schad­code (zumeist einen Ver­schlüs­se­lungs­tro­ja­ner) nach­lädt. Es soll sogar ganz Hart­ge­sot­te­ne geben, in deren Office-Instal­la­ti­on “Makros auto­ma­tisch aus­füh­ren” ein­ge­stellt ist, spart näm­lich viel Arbeitszeit 😉

Infor­mier­te Anwen­der und IT-Abtei­lun­gen kön­nen mit die­sem Risi­ko mitt­ler­wei­le recht gut umge­hen. Neben den tech­ni­schen Lösun­gen ist natür­lich auch die regel­mä­ßi­ge Sen­si­bi­li­sie­rung der Anwen­der zwin­gend nötig. Die­se sind näm­lich kei­ne Secu­ri­ty-Spe­zia­lis­ten und soll­ten recht­zei­tig und immer wie­der auf neue mög­li­chen Stol­per­fal­len für Sicher­heit und Daten­schutz hin­ge­wie­sen werden.

Rand­no­tiz: Im Rah­men der Ein­füh­rung eines ISMS nach ISIS12 wur­de uns der Begriff “regel­mä­ßig” mit zwi­schen 5 und 10 Jah­ren erklärt. Das kann man so sehen, soll­te aber aus Grün­den der eige­nen Orga­ni­sa­ti­ons­si­cher­heit dann doch zeit­lich eher etwas straf­fer aus­ge­legt sein. Begrün­dung war übri­gens: Schu­lun­gen hal­ten nur unnö­tig von der Arbeit ab. 😉

Makros bekom­men Kon­kur­renz durch Excels Power Que­ry — neu­es Ein­falls­tor für Schadcode

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Que­ry ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-She­ets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Que­ry als Add-In nach­träg­lich instal­liert wur­de. Power Que­ry wird lt. Micro­soft zur Ver­bin­dung mit exter­nen Daten­quel­len genutzt. Ein von Hei­se ent­spre­chend prä­pa­rier­tes Doku­ment schlug bei der Prü­fung durch Virus Total kei­nen Alarm. Wie die­se Sicher­heits­lü­cke kon­kret aus­ge­nutzt wer­den kann und wie ein­fach das geht, beschreibt Hei­se in einem Bei­trag (exter­ner Link) sehr konkret.

Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Que­ry kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440 (exter­ner Link).

Micro­soft mel­det (exter­ner Link zu Twit­ter) eine aktu­el­le Bedro­hung mit Schwer­punkt Euro­pa über eine älte­re Schwach­stel­le in Micro­soft Office. Mit­tels eines prä­pa­rier­ten RTF Doku­ments infi­ziert sich das Win­dows-Sys­tem mit einem Back­door-Tro­ja­ner, der das Aus­füh­ren wei­te­ren Codes auf dem befal­le­nen Sys­tem zulässt. Die Schwach­stel­le wur­de bereits 2017 im CVE-2017–1182 (exter­ner Link) beschrie­ben. Micro­soft emp­fiehlt allen Office-Anwen­dern, das aktu­el­le Patch-Level zu prü­fen. Die not­wen­di­gen Update für Office 2007–2016 fin­den Sie im unte­ren Teil der CVE.