Das gilt es bei Ransomware-Attacken rechtlich zu beachten
Wird ein Unternehmen Opfer einer Ransomware-Attacke, ist auch die Rechtsabteilung gefordert. Die Anwälte David Rosenthal, Adrian Ott und Helmut Studer fassen in einer Checkliste zusammen, was man vor, während und nach einem Angriff beachten sollte.
Wie können sich Unternehmen rechtlich auf einen Ransomwareangriff vorbereiten? Was ist in den ersten 72 Stunden nach einer Attacke zu tun? Und was ist längerfristig zu beachten? Antworten auf diese und weitere Fragen liefert eine Checkliste der Anwälte David Rosenthal, Adrian Ott und Helmut Studer. Darin listen sie die wichtigsten Schritte auf, die Unternehmen vor, während und nach einem Angriff durchführen sollten, erklärt Rosenthal in einem Linkedin-Beitrag.
Zudem enthalte das Dokument einige Erkenntnisse aus der Bearbeitung vieler solcher Fälle, schreibt der Anwalt weiter. Die aufgeführten Ratschläge behandeln längst nicht nur rechtliche Aspekte, sondern auch technische und organisatorische Masssnahmen.
"Bei einem Cybervorfall stellt man oft als erstes fest, dass der Notfallplan veraltet ist, die Kommunikationskanäle nicht verfügbar sind und die verantwortlichen Personen nicht mehr im Unternehmen arbeiten", heisst es etwa in der Liste. Im Abschnitt zu den Massnahmen vor dem Angriff raten die Anwälte unter anderem dazu, eine Richtlinie zur Meldung von Datenschutzvorfälle zu erstellen, in der lokale und zentrale Zuständigkeiten geregelt werden.
Weshalb jedes Unternehmen ein Incident Response Playbook braucht und worauf es dabei zu achten gilt, lesen Sie auch hier.
Im gleichen Abschnitt empfehlen die Experten, man solle sicherstellen, dass alte Daten überall und vollständig gelöscht werden, denn "bei Angriffen gestohlene Daten stellen sich oft als Daten heraus, die das Opfer längst hätte löschen sollen". Weiter enthält der Abschnitt Empfehlungen zu Themen wie der Sensibilisierung der Angestellten oder regelmässigen Back-ups.
Kommt es zu einem Ransomwareangriff, gelte es zunächst, herauszufinden, ob kritische Daten abgegriffen wurden und wie sie missbraucht werden könnten. Rechtlich sei auch zu prüfen, welchen Personen, Behörden und Partnern der Vorfall gemeldet werden müsse. Die Mitarbeitenden und die Versicherungsgesellschaft seien schnell zu informieren. Ausserdem sei eine freiwillige Information an Kunden, Schlüsselpartner oder die Medien zu überlegen. "Seien Sie offen, aber vermeiden Sie Details und Schuldzuweisungen", schreiben die Anwälte.
Längerfristig sollten Unternehmen sämtliche Schäden, auch jene mit geringen Risiken, dokumentieren. Auch die Kosten, die der Vorfall nach sich zog, müssen festgehalten werden. Dazu gehören auch zusätzlich geleistete Arbeitszeit und Geschäftsverluste. Behörden und wichtige Partner sollten auf dem Laufenden gehalten und Unternehmensinterne Prozesse gemäss den "Lessons Learned" auf den neuesten Stand gebracht werden.
Die vollständige Checkliste (PDF) ist kostenlos auf der Website von David Rosenthal abrufbar.
Was Sie sonst noch zu Ransomware wissen sollten, fasst Cornelia Lehle, Sales Director bei G Data Schweiz, in einer Bestandsaufnahme zusammen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.