Hilfe ich wurde gehackt - Erste Hilfe für Unternehmen Hilfe ich wurde gehackt - Erste Hilfe für Unternehmen - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.10.2016 Roland Kissling Knowhow

Hilfe ich wurde gehackt - Erste Hilfe für Unternehmen

Die IT kommt mit der Hiobsbotschaft - am Server wurde eine "Web shell" gefunden. Das Script hatte vollen Zugriff auf den Webserver und war in der Lage, die Datenbank auszulesen. Datenschutz-Experte Rainer Knyrim zeigt was Unternehmen in solchen Fällen tun sollten und wie die gesetzliche Lage in Österreich aussieht.

Gehackt - was tun? Ein Datenschutzexperte gibt Auskunft

Gehackt - was tun? Ein Datenschutzexperte gibt Auskunft

Datendiebstahl ist ein brandheißes Eisen für Unternehmen. Nicht nur aufgrund des Image-Schadens, sondern auch aufgrund von Regress-Forderungen durch Kunden und möglichen Strafen durch den Gesetzgeber. Laut dem Österreichischen Datenschutzgesetz (DSG) können bis zu 10.000 Euro Strafe verhängt werden, wenn Kunden über einen möglichen Schaden nicht informiert werden. Die brandneue Datenschutz-Grundverordnung sieht ab 2018 sogar Strafen von bis zu 20 Mio. Euro oder 4 Prozent vom Umsatz vor.

Unternehmen sind verpflichtet, Sicherheitsvorkehrungen zu treffen. Diese sind in § 14 DSG sehr allgemein geregelt und müssen dem Stand der Technik entsprechen, je nach Art und Umfang der verwendeten Daten. Wer also sensible Daten (zB Gesundheitsdaten) speichert, muss erhöhte Datensicherheitsmaßnahmen treffen. 

In den meisten Fällen treten Datenlecks durch unachtsame Mitarbeiter auf, welche sich Trojaner im Netzwerk-PC einfangen, oder wichtige Informationen versehentlich an falsche Personen senden. Auch billige Dienstleister bzw. Subdienstleister welche gravierende Fehler machen (ZB Standard-Passwörter in Applikationen nicht ändern, etc.) können rasch in den Supergau führen.

Was tun wenn es brennt?

1. Schadens-Feststellung

Der erste Schritt ist die genaue Feststellung des Schadens. Was genau ist passiert? Wie lange besteht die Gefahr bereits? Wurden Daten entwendet (Logfiles)? Handelt es sich um Bestandsdaten, sensible Kundendaten (Gesundheit, ethnische Herkunft, etc.) oder vielleicht sogar finanzielle Daten (Kreditkarten, Bankkontoinformationen)? Wie viele Kunden sind betroffen? Welche Maßnahmen zur Absicherung wurden bereits getroffen?

2. Information der Behörden

In Österreich besteht derzeit nur Meldepflicht, wenn man ein Telekommunikationsunternehmen ist nach dem TKG. Ab 25.5.2018 muss die Datenschutzbehörde aber von jedem Unternehmen verständigt werden, wenn personenbezogene Daten gehackt wurden. Man muss ihr binnen 72 Stunden einen ersten Bericht liefern, was passiert ist und was man bereits für Abhilfemassnahmen gesetzt hat und ob die Betroffenen schon verständigt wurden.

Parallel dazu sollte die Polizei (Bundeskriminalamt) eingeschalten werden, um den Angriff aufzuklären, obwohl das bei den meisten internationalen Fällen schwierig ist. Das BMI bietet mit dem Cyber Crime Competence Center eine Ansprechstelle (siehe Ende des Artikels).

3. Information der Kunden

Wurden personenbezogene Daten entwendet, durch die den Betroffenen ein Schaden entstehen kann (ZB Passwörter, sensible Kundendaten, Kreditkarten-Infos, etc.), müssen Kunden umgehend informiert werden - andernfalls drohen gegenwärtig Strafen von bis zu 10.000 Euros und teure Regress-Forderungen falls Kunden tatsächlich Schaden erleiden.

4. Absicherung der Schwachstellen

Die IT muss die Lücke im System feststellen und umgehend Maßnahmen ergreifen. Dies sind: Scan und Entfernung von Schad-Dateien, Änderung aller relevanten Passwörter, Installation von Virenschutz, Updates von Software, Sicherheits-Audits oder Schulungen für Mitarbeiter. Parallel dazu sollten auch Services installiert werden, welche den Webserver permanent auf Schadcode scannen und bei Problemen alarmieren. Der mit dem Constantinus ausgezeichnete Österreichische Security Anbieter Nimbusec beispielsweise bietet einen derartigen Service an. Diese Scans zielen darauf ab inhaltliche Veränderungen, Defacements oder die Verteilung von Schadsoftware an Website-Besucher zu finden. Zusätzlich wird geprüft ob die eigene Webseite auf einer Blacklist steht.

Services:

Meldestelle Bundeskriminalamt
Telefon: +43-(0)1-24836-986500
E-Mail: against-cybercrime(at)bmi.gv.at 

www.nimbusec.com 
https://sitecheck.sucuri.net/
www.unmaskparasites.com
www.shelldetector.com
www.acunetix.com 

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • catWorkX GmbH

    catWorkX GmbH mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr

Hosted by:    Security Monitoring by: