Informationspflichten bei IT-Vorfällen
Wie Incident Report Tools helfen
Unternehmen brauchen Unterstützung
Je nach geltender Vorgabe zur Meldepflicht müssen die betreffenden Organisationen einiges beachten, wie das Beispiel ein Blick in die Verordnung (EU) Nr. 611/2013 zeigt, die für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste gilt.
Eine Vereinfachung hinsichtlich Informations- und Meldepflichten ist nicht zu erwarten. So wird zum Beispiel von der Zurich Versicherung eine Ausweitung der Meldepflichten gefordert, zudem steht die NIS-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union im Raum.
- Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten. - 1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern. - 2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet. - 03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist. - 4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt. - 5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.
"Wenn jetzt auch noch direkt nach Einführung der Auflagen in Form einer Richtlinie die angekündigte europäische Richtlinie kommt, haben wir wie auch beim Vergaberecht ein heilloses Durcheinander an Berichts- und Meldepflichten", so der Bundesverband IT-Mittelstand anlässlich der Verabschiedung des IT-Sicherheitsgesetzes. Unterstützung bei der Einhaltung der um sich greifenden Meldepflichten tut also not.
Incident Report Tools: Bitte anpassen
Eine ganze Reihe von Tools hat sich dem Incident Management verschrieben oder bietet zumindest Funktionen für das Incident Reporting, darunter EnCase Cybersecurity Incident Response, PPM 2000 Perspective SOC, iTrak Incident Reporting & Risk Management System und Report Exec, teilweise lassen sich diese Tools auch für Berichte über kritische Vorfälle außerhalb der IT einsetzen.
Besonders hilfreich ist es für meldepflichtige Organisationen, wenn Lösungen bereits vorbereitete Berichtsvorlagen und Workflows enthalten, die individuell angepasst werden können. So enthält zum Beispiel die D3 Security Cyber Security Incident Response Software vorbereitete Workflows für verschiedene Typen von IT-Sicherheitsvorfällen wie DDoS-Attacken, Phishing oder Advanced Persistent Threats (APTs). RSA Archer Incident Management unterstützt die in verschiedenen Compliance-Vorgaben vorgesehene Möglichkeit zur anonymen Meldung von Vorfällen durch Whistleblower. Das Resilient Privacy Module bietet Incident Response Pläne auf Basis verschiedener Datenschutzgesetze zum Beispiel aus Europa, USA und Kanada.
Foto: Infotecs Internet Security Software GmbH
Da die meisten Tools internationaler Herkunft sind, kommen Unternehmen aus Deutschland kaum an einer Anpassung der Berichte und Meldewege an die nationalen bzw. europäischen Vorgaben vorbei. Entscheidend bei der Suche nach einem Incident Report Tool ist es deshalb, dass die Workflows, Berichte, Kommunikationswege und Berichtsempfänger auf die individuellen Anforderungen des Meldepflichten anpassbar sind. Was zum Beispiel im Fall von schwerwiegenden Zahlungssicherheitsvorfällen die Meldungen der Internet- Zahlungsdienstleister an BaFin enthalten sollen, zeigen entsprechende Vorlagen zur Erstmeldung und zur Abschlussmeldung.
Foto: McKula
Weitere Kriterien bei der Suche nach einer passenden Lösung zur Unterstützung bei der Umsetzung der Informations- und Meldepflichten sind neben den anpassbaren Berichtsvorlagen und Workflows Punkte wie die Verfügbarkeit und Ausfallsicherheit der Lösung, der Zugriffsschutz für Auswertungen und Berichte (besondere Zweckbindung der Daten), die grundsätzlich zu verschlüsselnde Übertragung und Speicherung der Daten über die Sicherheitsvorfälle sowie die Datensparsamkeit bzw. Anonymisierung hinsichtlich personenbezogener Daten in den Incident Reports. Schließlich soll die Meldung eines IT-Sicherheitsvorfalles nicht selbst eine neuen IT-Vorfall oder eine Datenpanne ermöglichen.
Auf der folgenden Seite sind betroffene Gesetze, Unternehmen sowie Art und Umfang der jeweils geltenden Meldepflichten übersichtlich aufgeführt.