„Cyberangriff! Und was passiert nun?“

Und es trifft nicht nur die großen Unternehmen.

Ein Cyberangriff bedeutet eigentlich in allen Fällen für das betroffene Unternehmen Probleme und Stress. Daher sollten Sie sich als Geschäftsführung Gedanken um das notwendige Handeln machen, solange man davon nicht betroffen ist.

Was passiert bei einem solchen Angriff?
1. Ihre IT wird „attackiert“.
2. Dadurch funktionieren die Rechner, in vielen Fällen auch die Server, nicht mehr so, wie sie sollen.
3. Sie und Ihre Mitarbeiter können schlichtweg die Arbeit nicht mehr erledigen, da die IT nicht mehr (komplett) zur Verfügung steht.
4. Mit einem Komplettausfall ist in vielen Fällen zu rechnen.
5. Bedeutet, Sie und Ihre Administration müssen sehr schnell handeln.
6. Es muss zudem schnellstmöglich geklärt werden, ob personenbezogene Daten betroffen sind. Konnte man diese entwenden? Kam es zu einem Zugriff?
 Stichwort „Meldepflichtige Datenpanne“

Ihre IT muss (wieder) funktionieren
Sprechen Sie jetzt in „ruhigen“ Zeiten mit Ihrem IT-Dienstleister.
Wie schnell kann er Sie unterstützen? Planen Sie zumindest grob die ersten Schritte.
Sprechen Sie Notfallpläne durch.

Sind personenbezogene Daten betroffen? Meldepflicht?
Ein Cybervorfall muss innerhalb von 72 Stunden der Datenschutzaufsicht gemeldet werden, wenn personenbezogene Daten betroffen sind.
Das muss daher schnellstmöglich geprüft werden. 72 Stunden sind nicht lang. Und in vielen Fällen sind es meldepflichtige Datenpannen.
Ist eine Meldung notwendig, dann müssen Sie u. a. wissen welche Daten betroffen sind.
Ein Cyberangriff bei einem Berufsgeheimnisträger hat oftmals ganz andere Auswirkungen und Notwendigkeiten als bei einem Elektrofachhändler.

Kontakt zum DSB
Auf jeden Fall sollten Sie ihn sofort einbeziehen.
Es geht um Schadensbegrenzung, Bußgelder und Festlegung der notwendigen Schritte.
Auch, wenn keine Meldung notwendig ist, so muss die Datenpanne dokumentiert werden.

Strafanzeige?
Dies kann und sollte überlegt werden. Insbesondere dann, wenn personenbezogene Daten betroffen oder wichtige Funktionen oder Ressourcen vom Unternehmen betroffen sind, wie z.B. bei einem Versorger.

Fazit?
Sie als verantwortliche Stelle haben für sich, aber auch für Ihre Mitarbeiter, Kunden/Patienten/Mandanten, eine Fürsorgepflicht.
Überprüfen Sie Ihre technischen organisatorischen Maßnahmen regelmäßig. Bei einigen Unternehmen ist es empfehlenswert, dass diese auf Spezialisten zugehen, wie z.B. Penetrationstester, die die IT einem sogenannten Stresstest unterziehen.
Natürlich kosten jegliche Aktionen und Vorbereitungen in diesem Bereich Geld und Zeit.
Aber überlegen Sie für Sich, was ein Ausfall oder auch schlimmstenfalls sogar Bußgelder bedeuten.

Es bleibt spannend!

Eine kleine Anmerkung aus der Praxis.
Ich selbst habe schon einige Datenpannen und Cyberangriffe begleitet.
Ein Unternehmen, welches zu dem damaligen Zeitpunkt etwa 15 Mitarbeiter hatte, hatte für rund 2 Wochen einen Komplettausfall der IT.
Die Nerven lagen am Schluss bei Geschäftsführung und Mitarbeitern blank.