Was kommt nach der Datenschutzverletzung? Die Suche nach dem alles entscheidenden Beweis.

Systeme, Technologien und Bedrohungen verändern sich. Und genau das sollte Ihr Reaktionsplan auch tun. Wir haben drei wesentliche Schritte zusammengestellt, wie Sie nach einer Datenschutzverletzung praktisch am besten vorgehen.

Unternehmen befassen sich oftmals so intensiv mit Maßnahmen zur Verhinderung eines Sicherheitsvorfalls dass sie dabei einen der wichtigsten Schritte gerne aus den Augen verlieren. Nämlich den, zu verstehen, was genau passiert ist, wenn es zu einer Datenschutzverletzung gekommen ist. Prävention ist nur die eine Seite der Gleichung. Unternehmen beginnen die Vorteile darin zu erkennen, eine Datenschutzverletzung exakt zu analysieren. Dazu gehören beispielsweise zukünftige Kosteneinsparungen bei der forensischen Analyse, etwa durch ein effizienteres Störfallmanagement. Aber wie bei den meisten IT-Sicherheitsmaßnahmen gibt es noch ausreichend Luft nach oben. Hier sind drei wichtige Schritte wie man das Assessment nach einer Datenschutzverletzung mithilfe von Best-Practices umsetzt und sich damit vor zukünftigen Angriffen besser schützt.

Schritt 1:

Potenzielle Datenquellen identifizieren

Nach einem Datenschutzvorfall ist die einfache Frage „Wer hat was wann getan?“ eine der wichtigsten und zugleich eine der am schwersten zu beantwortenden. Wenn es zu einem Vorfall gekommen ist, wollen die betroffenen Unternehmen so schnell wie möglich die Ursache klären. Dies dient vornehmlich dazu beurteilen zu können, ob weitere Daten gefährdet sind und eine Ausweitung des Vorfalls zu verhindern.

Typische Datenquellen zur Untersuchung eines Vorfalls sind Sicherheits- und Betriebsprotokolle sowie Protokolle von Remote-Zugriffen. Protokolle, die auf Servern, Clients, Betriebssystemen, Datenbanken, Netzwerken und Sicherheitsgeräten anfallen. Die Untersuchung unterstützt die Ursachenforschung und lässt Zusammenhänge zwischen einer Reihe von Ereignissen erkennen, die nicht unmittelbar ersichtlich sind. Die Auswertung der Log-Daten hat jedoch ihre Grenzen.
Ein Beispiel: verlässt sich ein Unternehmen alleine auf die Analyse dieser Daten, riskiert es komplexe Attacken zu übersehen, die auf Aktivitäten eines privilegierten Nutzers zurückgehen. Darüber hinaus sind erfahrene Angreifer genauso wie ein böswillig agierender Systemadministrator problemlos in der Lage, relevante Protokolldaten zu löschen oder so zu verändern, dass alle Spuren verwischt sind. Der Verlust solcher Informationen kann zu Fehlern bei der Analyse führen und zugleich die Kosten in die Höhe treiben. Ganz abgesehen davon, dass das betroffene Unternehmen nur verspätet auf einen Vorfall reagieren kann oder die Datenschutzverletzung sogar gänzlich unentdeckt bleibt. Der schlimmste Albtraum eines jeden Unternehmens.

Als Gegenmaßnahme sollte sich ein IT-Sicherheitsteam auf zusätzliche Ressourcen stützen können wie etwa Session Audits (detaillierte Aufzeichnungen von Benutzersitzungen) und Verhaltensanalysen (erkennen anomaler Aktivitäten, die von einer zuvor definierten Norm abweichen). Dadurch wird der komplette Kontext einer verdächtigen Benutzeraktivität sichtbar und im Verdachtsfall können Alarme generiert werden.

Biometrische Merkmale und Sitzungsdaten – dazu gehören charakteristische Mausbewegungen, die Art des Tastenanschlags Logindaten, eingegebene Befehle und während einer Session geöffnete Fenster werden in manipulationssichere Audit Trails gespeichert. Mit ihnen lassen sich die Aktivitäten eines Benutzers exakt nachvollziehen. Kombiniert mit den Protokolldaten erlaubt diese Art des Monitorings einen zeitlichen Verlauf von Aktivitäten zu erstellen – und dieser ist unerlässlich sowohl für die Analyse in Echtzeit als auch für sämtliche Untersuchungen in der Folge eines Datenschutzvorfalls.

Schritt 2:

Erfassen, verifizieren und extrahieren Sie die betroffenen Daten.

Wenn potenzielle Datenquellen identifiziert sind, müssen relevante Daten erfasst und – als wichtiger Schritt – ihre Integrität festgestellt werden, bevor mit der Untersuchung fortgefahren werden kann.

Logmanagement-Tools helfen dabei, Protokolldaten von einer Vielzahl unterschiedlicher Quellen zentral zu sammeln, zu filtern, zu normalisieren und zu speichern. Sollte es sich um ein Szenario handeln bei dem privilegierte Benutzerkonten missbraucht wurden, sind die aufgezeichneten Audit Trails ebenfalls in den Plan zur Datenerfassung mit aufzunehmen.

Hat man die Daten erfasst, ist es entscheidend zu überprüfen, dass diese nicht manipuliert sind. Das ist insbesondere im Fall eines juristischen Nachweises von erheblicher Bedeutung.

Moderne forensische Tools schützen vor Datenmanipulation indem sie Daten verschlüsseln, mit Zeitstempel versehen und sie digital signieren. Zudem sichern sie vertrauliche Informationen zusätzlich über granulare Zugriffsrichtlinien ab. Nachdem alle Daten erhoben und verifiziert worden sind, geht es daran die relevanten Informationsbausteine zu bewerten und zu extrahieren. Auch hier helfen forensische Tools, zügig den Zeitpunkt zu lokalisieren an dem das verdächtige Ereignis aufgetreten ist. Die Protokolldaten mit den Metadaten der aufgezeichneten Sessions zu kombinieren beschleunigt die Untersuchung von Vorfällen in Zusammenhang mit privilegierten Konten.

Schritt 3:

Führen Sie eine vollständige Analyse durch

Auf die Datenextraktion folgt die Analyse.

Dabei sind hinsichtlich des Datenschutzvorfalls Fragen nach dem wer, was, wo, wann, warum und wie zu beantworten. Die Grundlage einer guten forensischen Analyse ist ein methodischer Ansatz. Er gewährleistet, dass auf Basis der verfügbaren Daten angemessene Schlussfolgerungen gezogen werden oder zu der Erkenntnis gelangt wird, dass es nur eine mögliche Schlussfolgerung gibt.

Externe Anbieter unterstützen Unternehmen dabei, vollständige Assessments durchzuführen. Die Palette reicht von der Einschätzung informationstechnologischer Risiken über die Analyse von Netzwerkschwachstellen bis hin zu Penetrationstests. Es gibt noch eine ganze Reihe weiterer Assessmenttypen, die potenzielle Schwachstellen aufdecken helfen und beim Ergreifen geeigneter Schutzmaßnahmen unterstützen. Solche Risikoevaluierungen versetzen ein Unternehmen in die Lage einen geeigneten Reaktionsprozess zu etablieren, der dann im Falle zukünftiger Datenschutzverletzungen greift.

Solange Daten einem Risiko ausgesetzt sind, wird es Datenschutzverletzungen geben – beabsichtigte und nicht beabsichtigte. Wer sich allerdings die Mühe einer umfassenden Risikoeinschätzung und Analyse nach einem erfolgten Datenschutzvorfall macht, der kann einen durchdachten Reaktionsplan entwickeln. Dazu gehört es Risiken und Abwehrmaßnahmen zu priorisieren, die Sicherheit unternehmenskritischer Werte zu gewährleisten und im Krisenfall den Plan effektiv umzusetzen.

Kontinuierliche Maßnahmen

Systeme, Technologien und Bedrohungen verändern sich. Ihr Reaktionsplan sollte das auch tun. IT-Sicherheitsteams sollten wenigstens ein Mal im Jahr ein entsprechendes Audit durchführen und den Reaktionsplan auf seine Tauglichkeit im Krisenfall testen. Und natürlich um festzustellen, ob der Plan in dieser Form überhaupt noch relevant ist. Auf diese Weise minimiert man zukünftige Risiken und ist gleichzeitig in der Lage, die Verantwortlichkeiten kontinuierlich abzustimmen.

Über den Autor:

Jackson Shaw, VP of Products, One Identity

Derzeit ist Jackson Shaw Director of Product Management bei One Identity beschäftigt. Shaw befasst sich seit über 25 Jahren mit Directory, Meta-Directory und diversen Sicherheitsinitiativen. Er ist ein gefragter Sprecher auf Veranstaltungen und betreibt einen beliebten Blog zum Thema Identity Management. Bei One Identity verantwortet er die Ausrichtung der Produktpalette, die Strategie und die Go-to-Market-Aktivitäten für die Identity und Access Management-Lösungen von One Identity. Bevor Jackson Shaw zu One Identity wechselte war er Teil des Microsoft Identity and Access Management Product Management Teams innerhalb der Windows Server Marketing Gruppe bei Microsoft. 

CC BY-SA 4.0 DE

 
 
Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
  • Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.