6
Okt
2020

Incident response plan (personal data breach policy)

Cyberangriffe sind in unserer heutigen Zeit unvermeidlich. Sie führen zu Risiken in allen möglichen Themenbereichen: Produktionsbänder stehen still, Zulassungen geraten in Gefahr, Datenschutzbehörden drohen mit Bußgeldern, Kunden und sonstige betroffene Personen verlangen Schadensersatz und auch Investoren können betroffen sein. Noch dazu droht unternehmensschädigende Berichterstattung. Unsere zuletzt erschienenen Blogbeiträge zu diesen Themen finden Sie hier.

Ein Incident Response Plan ist neben einer guten Cyberabwehr auf IT-Ebene ein wichtiges Mittel, um im Falle eines Cyberangriffs effektiv und schnell mit dem richtigen Team zu reagieren und so die Schäden so klein wie möglich zu halten.

An welche wichtigen Themen sollte man im Zusammenhang mit einem solchen Incident Response Plan auf jeden Fall denken?

Im Folgenden haben wir die wichtigsten – und teilweise häufig übersehenen – Themen für Sie zusammengestellt:

Risiko analysieren

Um bereits vor einem Cyberangriff ausreichend vorbereitet zu sein, kann im Vorfeld das Risiko eines Cyberangriffs anhand von Informationen aus der Vergangenheit und mittels computerforensischer Analysen eingeschätzt werden. Insbesondere könnten etwaige Sicherheitslücken in der eigenen IT-Infrastruktur identifiziert und nach Möglichkeit geschlossen werden. Hierzu kann die Einschaltung externer Experten, wie spezialisierter IT-Service Provider und IT-Rechtsberatern sinnvoll sein. Die Einstufung des Risikos wirkt sich direkt auf den möglicherweise erforderlichen Umfang der Sicherungsmaßnahmen aus.

Prozesse implementieren

Bildung eines Incident Response Teams

Das Incident Response Team sollte aus den relevanten Experten der verschiedenen beteiligten Abteilungen (insb. IT, Sicherheit, Recht) sowie den wichtigen Entscheidungsträgern und deren Vertretern und Zuarbeitenden bestehen.

Einrichtung Frühwarnsystem/Reporting/Monitoring

Damit im Ernstfall eine schnelle Reaktion möglich ist, kann ein effizientes Frühwarnsystem zum Sammeln von internen und externen Meldungen und Informationen eingerichtet werden. Es sollte sichergestellt werden, dass Meldungen (z.B. von Mitarbeitern oder Kunden) über mögliche Cyberangriffe möglichst schnell an die zuständigen Stellen im Unternehmen weitergeleitet werden.

Training

Das Verhalten im Falle eines Cyberangriffs sollte unter Einbeziehung aller Experten und Entscheidungsträger regelmäßig geübt werden. Häufig wird den Beteiligten erst beim praktischen Training klar, wo es im Ernstfall „hakt“. So verhindert man, dass in der ohnehin knappen Zeit nach einem Zwischenfall wertvolle Minuten (oder gar Stunden) verloren gehen.

Aktualisierung des Plans

Der Incident Response Plan sollte in regelmäßigen Abständen überarbeitet und an die geänderten Gegebenheiten angepasst werden. Dabei sollten alle Stakeholder einbezogen werden.

Sofortmaßnahmen nach einem Angriff

Damit der Schaden möglichst gering bleibt und das Haftungsrisiko minimiert wird, gilt es, schnell und effizient zu reagieren.

Sachverhaltsaufklärung

Zunächst sollte festgestellt werden, um welche Art von Angriff es sich handelt. Es ist dabei auch von Bedeutung, den Ursprung und Zeitpunkt des Cyberangriffs sowie die betroffenen Bereiche zu identifizieren.

Identifikation möglicher Sofortmaßnahmen

In einem nächsten Schritt sollten die Auswirkungen des Angriffs auf das Unternehmen eingeschätzt und etwaige erforderliche Sofortmaßnahmen ausgewählt und eingeleitet werden. Nur so können etwa gesetzliche Meldepflichten gegenüber Behörden und/oder Betroffenen eingehalten werden oder auch Strafverfolgungsbehörden eingeschaltet werden und Beweismaterialien gesichert werden.

Sind nicht nur die internen Systeme des Unternehmens, sondern beispielsweise auch bereits ausgelieferte vernetzte Produkte von einem Cyberangriff betroffen, sollten auch Maßnahmen zur Gewährleistung der Produktsicherheit und Vermeidung von Produkthaftungsfällen getroffen werden. Die erforderlichen Maßnahmen sind stets auf den Einzelfall anzupassen und können beispielsweise die Notifizierung von Behörden, die Warnung von Kunden, den Rückruf von Produkten oder die Bereitstellung von Updates umfassen.

Es sollte zudem geprüft werden, ob ein datenschutzrechtlich relevanter Personal Data Breach vorliegt. Ist dies der Fall, sollte geprüft werden, ob eine Meldepflicht gem. der DSGVO besteht und der Vorfall bei der zuständigen Datenschutzbehörde zu melden ist und ggf. zudem den betroffenen Personen individuell mitgeteilt werden muss. Zur Durchführung der Risikoanalyse als Grundlage für die Entscheidung über die Meldepflicht sowie zur Dokumentation des Breaches und der getroffenen Maßnahmen empfiehlt es sich, eine spezielle Personal Data Breach Policy (bzw. ein entsprechendes Tool Kit) zu implementieren und diese mit dem Incident Response Plan zu verknüpfen.

Bei regulierten oder börsennotierten Unternehmen kommen unter Umständen z.B. Meldepflichten gegenüber der Regulierungsbehörde und Anlegern in Betracht.

Beweissicherung

Bereits in der Reaktionsphase sollten der Cyberangriff und alle ergriffenen Maßnahmen umfassend für die Sicherung etwaiger Regressansprüche und die Verteidigung gegen z.B. strafrechtliche, produktsicherheitsrechtliche und produkthaftungsrechtliche Vorwürfe dokumentiert werden (siehe unten, Punkt 5.).

Einbindung der richtigen Stellen

Infolge der ergriffenen Sofortmaßnahmen ist regelmäßig eine Einbindung der richtigen internen und externen Stellen essenziell und unter Umständen gesetzlich vorgeschrieben;

  • Aufsichtsorgane / Gesellschafter / Datenschutzbeauftragter;
  • Relevante Kontaktpersonen bei Dienstleistern / Kunden / Zulieferern/Partnerunternehmen (z.B. Franchisegeber, Konzerngesellschaften im In- und Ausland etc.);
  • Datenschutzbehörden;
  • Strafverfolgungsbehörden;
  • Sonstige für die Branche zuständige Aufsichtsbehörden;
  • Marktüberwachungsbehörden;
  • Versicherungen.

Im Anschluss: Untersuchung, Verteidigung, Regress

Sachverhaltsermittlung und Dokumentation

Zunächst sollte eine Ermittlung und Dokumentation von Art und Umfang der potentiellen Sicherheitslücke eingeleitet werden. Als Grundlage für mögliche Regressansprüche und zur Verteidigung gegen etwaige Ansprüche und Vorwürfe von Behörden sollten die erforderlichen Beweise sichergestellt werden und eingeleitete Maßnahmen umfassend dokumentiert werden.

Einstweiliger Rechtschutz

Sofern ausnahmsweise der Angreifer bekannt ist oder Vermögenswerte nachvollziehbar abgeflossen sind, können Maßnahmen im Wege des einstweiligen Rechtschutzes erwogen werden.

Verteidigung gegen zivilrechtliche Ansprüche und Behördenverfahren

Eine optimale Verteidigung gegen zivilrechtliche (Schadensersatz-)Verfahren oder auch behördliche Verfahren setzt voraus, dass interne und ggf. externe Experten frühzeitig in die Sachverhaltsaufklärung eingebunden werden, um die relevanten Informationen zu sichern und schnell aufzuarbeiten. Zudem kann eine frühzeitige Einbindung einen Schutz der Korrespondenz vor Beschlagnahme und Herausgabepflichten mit dem in vielen Rechtsordnungen anerkannten Anwaltsprivileg schaffen.

Regress

Wenn dem Unternehmen Schäden entstanden sind, sollte geprüft werden, inwiefern Regressansprüche gegen Versicherer, IT-Dienstleister, Zulieferer etc. bestehen.

Hogan Lovells – Cyber Breach App

Klicken Sie hier oder auf das Bild, um es zu vergrößern.

Laden Sie hier unsere Cyber Breach App herunter.