Mit der zunehmenden Digitalisierung unserer Welt steigt auch die Cyberkriminalitätsrate stetig an. Viele Experten sagen, es sei keine Frage «ob», sondern nur noch «wann» man von einer Attacke bzw. einem IT-Sicherheitsvorfall betroffen sein wird. Aus diesem Grund ist es wichtig, dass sich Organisationen wie auch Private mit diesem Thema befassen und sich darauf vorbereiten.
| Hinweis: Liechtenstein hat kürzlich eine neue Stabsstelle Cyber-Sicherheit (SCS) geschaffen, welche sich speziell um dieses Thema im ganzen Land kümmert. In Kürze werden von der SCS deshalb auf der eigenen Internetseite umfangreiche Informationen zum Thema Cybersicherheit aufgeschaltet und ein Newsletter bereitgestellt. |
Nicht jeder IT-Sicherheitsvorfall ist notwendigerweise auch ein Datenschutzvorfall, denn dazu müssen personenbezogene Daten betroffen sein. In vielen Fällen trifft dies jedoch zu, weswegen auch die Datenschutzstelle hier einige Informationen dazu bereitstellt.
-
Was ist ein IT-Sicherheitsvorfall?
Ein IT-Sicherheitsvorfall kann unterschiedlich schwer ausfallen und je nach Situation mehr oder weniger Schaden anrichten. Grundsätzlich geht es immer darum, dass die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten (böswillig) gestört bzw. verletzt wird, was mitunter zu Betriebsunterbrüchen, einem Image-Schaden oder auch zu rechtlichen Risiken führen kann.*
Die derzeit häufigsten IT-Sicherheitsfälle entstehen durch erfolgreiche Phishing-Angriffe, Ransomware Attacken oder Informationsdiebstähle:
- Phishing-Angriff: Beim Phishing geht es um das betrügerische Herausfinden von Passwörtern und anderen vertraulichen Informationen mittels getarnter E-Mails und Links auf Webseiten mit der Aufforderung zur Eingabe dieser Informationen. Erkennen lassen sich solche E-Mails häufig durch eine inkorrekte / gefälschte E-Mail-Adresse des Absenders oder durch einen Link, dessen URL nicht ganz korrekt / gefälscht ist (Achten Sie auf Kleinigkeiten!). Auch eine vorgegaukelte Dringlichkeit oder ein dubioses Erscheinungsbild des E-Mails oder der verlinkten Webseite (z.B. keine HTTPS-Verschlüsselung) können Hinweise sein. Zudem gilt: Niemand wird Sie jemals bitten, via E-Mail, Telefon oder eine externe Webseite persönliche Login-Informationen weiterzugeben! Fragen Sie im Zweifel auf anderem Weg beim echten Absender der Nachricht nach, ob sie wirklich von ihm versandt wurde.
- Ransomware Attacke: Bei Ransomware handelt es sich um eine bösartige Software, die in ein Computer-System eindringt und dort sämtliche Daten verschlüsselt oder den Zugriff auf die angeschlossenen Geräte blockiert. Häufig wird sie mit einem Phishing-E-Mail in Form einer angehängten Datei verschickt, welche der arglose Empfänger dann anklickt bzw. öffnet und herunterlädt. Ist das System erst einmal verschlüsselt oder gesperrt, verlangen die Cyberkriminellen oftmals ein Lösegeld zur Entschlüsselung/Entsperrung oder drohen mit der Veröffentlichung kritischer Informationen.
- Informationsdiebstahl: Durch Verlust eines Geräts (z.B. eines Laptops, USB-Sticks, Tablets oder Smartphones), auf dem vertrauliche Informationen gespeichert waren, können sensible Daten in falsche Hände geraten und missbraucht werden.
* Art. 3 Abs. 1 Ziff. 9 Entwurf-CSG: "Sicherheitsvorfall": jedes Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen [kann];“
-
Vorbeugen ist besser
Es ist immer besser Vorkehrungen zu treffen, um sich auf einen Sicherheitsvorfall vorzubereiten bzw. einen solchen möglichst zu vermeiden, als im Nachhinein mit einem tatsächlichen Sicherheitsvorfall umgehen zu müssen.
Als Organisation sollten Sie beispielsweise darum besorgt sein:
- Ihre Systeme regelmässig zu aktualisieren und zu «patchen»;
- Regelmässige Backups anzulegen;
- Ihre Mitarbeitenden für Sicherheitsvorfälle zu sensibilisieren und zu schulen;
- Einen Vorgehensplan für das Eintreten eines IT-Sicherheitsvorfalls zu entwerfen, der einen klaren Ablauf mit zugewiesenen Verantwortlichkeiten, zu erledigenden Tätigkeiten («Dos and Don’ts») und wichtigen Kontaktadressen enthält. Ein solcher Plan sollte dabei nicht nur Anweisungen zur Sicherung und Wiederherstellung der IT-Infrastruktur und der Daten enthalten, sondern auch Regeln für den Kommunikationsablauf und um Haftungsfälle zu vermeiden; usw.
Als Privatperson sollten Sie etwa folgende Massnahmen ergreifen:
- Ihre Systeme regelmässig aktualisieren und Updates einspielen;
- ein Backup Ihrer Daten in einem externen Speicher anlegen;
- starke und unterschiedliche Passwörter und/oder einen Passwortmanager verwenden;
- Ihre Passwörter unter keinen Umständen an Dritte weitergeben;
- wo möglich eine Multi-Faktor-Authentifizierung verwenden;
- vorsichtig sein beim Klicken auf Links, dem Öffnen von unbekannten Anhängen in E-Mails oder der Eingabe persönlicher Daten in Eingabemasken; usw.
Hinweis: Weitere Hinweise für vorbeugende Massnahmen finden Sie z.B. bei:
- Dr. Datenschutz (Intersoft Consulting Services AG);
- Bundesamt für Sicherheit in der Informationstechnik (BSI): für Organisationen und Private;
- Nationales Zentrum für Cybersicherheit (NCSC): für Unternehmen und Private.
-
Wir wurden «gehackt» - Was nun?
Der Schock ist meist gross, wenn man feststellt, von einem grösseren IT-Sicherheitsvorfall betroffen zu sein. Versuchen Sie dennoch einen kühlen Kopf zu bewahren und überlegt vorzugehen:
- Bewahren Sie die Ruhe und nehmen Sie keine überstürzten Handlungen vor;
- Falls vorhanden, konsultieren Sie den internen Vorgehensplan für IT-Sicherheitsvorfälle (Sicherheitsrichtlinie) und folgen Sie dessen Anweisungen;
- Falls nicht vorhanden, beachten Sie die entsprechenden Verhaltensregeln einschlägiger Stellen (z.B. «10 Schritte im IT-Sicherheitsnotfall» von Dr. Datenschutz (Intersoft Consulting Services AG); Bundesamt für Sicherheit in der Informationstechnik (BSI) für Organisationen und Private; oder Nationales Zentrum für Cybersicherheit (NCSC) für Unternehmen und Private);
- Schalten Sie ggf. externe IT-Experten ein, die Sie bei der Analyse, Eindämmung und Bekämpfung des Sicherheitsvorfalls wie auch seiner rechtlichen Aufarbeitung unterstützen;
- Melden Sie den Vorfall bei den relevanten Stellen (siehe nächster Abschnitt).
Jeder Sicherheitsvorfall ist jedoch ein Einzelfall und alle vorgenommenen Schritte müssen auf die individuelle Situation und ihre Erfordernisse abgestimmt werden. Unabhängig davon müssen aber nach jedem Sicherheitsvorfall die Ursachen davon erforscht und drastische Massnahmen ergriffen werden, um Ähnliches in Zukunft zu verhindern.
-
Meldepflichten
- Datenschutz-Grundverordnung (DSGVO)
Wenn personenbezogene Daten betroffen sind, sind Sie unter Umständen gesetzlich verpflichtet, den Vorfall innerhalb von 72 Stunden ab Kenntnis bei der Datenschutzstelle zu melden. Weitere Informationen dazu sowie ein Meldeformular finden Sie hier.
- Cybersicherheitsgesetz (CSG)
Am 1. Juli 2023 ist in Liechtenstein das neue Cybersicherheitsgesetz in Kraft getreten. Seither müssen Betreiber wesentlicher Dienste (z.B. in den Bereichen Energie, Verkehr, Gesundheitswesen, Trinkwasserversorgung etc.), sowie Anbieter bestimmter digitaler Dienste (Online-Marktplatz, Online-Suchmaschine, Cloud-Computing‐Dienst) Sicherheitsvorfälle mit bestimmten Auswirkungen, wie beispielsweise erheblichen Auswirkungen auf die Verfügbarkeit eines bereitgestellten Dienstes, der Stabsstelle Cyber-Sicherheit (SCS) melden. Weitere Informationen zur Meldepflicht bei der SCS und ein Meldeformular finden Sie auf der Internetseite der SCS.
- Datenschutz-Grundverordnung (DSGVO)