BSI: Einschätzung der aktuellen Cyber-Sicherheitslage in Deutschland nach dem russischen Angriff auf die Ukraine

UPDATE vom 3. August 2022

In Anbetracht des russischen Angriffskrieges gegen die Ukraine bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) fortwährend die Lage mit Bezug zur Informationssicherheit in Deutschland.

Nach wie vor stellt das BSI eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine fest, die auf eine ohnehin schon angespannte Gesamtbedrohungslage trifft (siehe dazu auch den BSI-Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“). Dies gilt grundsätzlich auch für Kritische Infrastrukturen. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Weitere Informationen zur Bedrohungslage sowie konkrete Hinweise zur Umsetzung von Cyber-Sicherheitsmaßnahmen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.

Seit Beginn des Angriffs Russlands auf die Ukraine ist es in Deutschland zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten. Dabei handelte es sich u.a. um Kollateralschäden aus Cyber-Aktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen, auch aus dem Bereich der Kritischen Infrastrukturen.

Seit Ende April 2022 beobachtet das BSI wiederholt Distributed Denial of Service (DDoS)-Angriffe von Hacktivisten auf Ziele in Deutschland und international. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfügige Auswirkungen. Dennoch sollten Unternehmen und Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen. Das BSI hat eine Übersicht zertifizierter DDoS-Mitigations-Dienstleister veröffentlicht.

Trotz der wenigen konkreten Vorfälle kann sich die Lage jederzeit ändern.

Das BSI geht insbesondere davon aus, dass grundsätzlich alle Anlagen der Kritischen Infrastruktur – demnach Anlagen zur Versorgung der Allgemeinheit – potenzielles Ziel von Angriffen sein können.

Durch die bestehenden Abhängigkeiten von Energieimporten kommt den Branchen Strom, Gas und Mineralöl aktuell eine außergewöhnliche Relevanz zu. Der Sektor Energie stellt somit aktuell ein besonders attraktives Angriffsziel für Cyber-Attacken dar.

Das BSI hat seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen, wiederholt sensibilisiert, gezielt informiert und ruft weiterhin zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

Das BSI als die Cyber-Sicherheitsbehörde des Bundes steht zur Bewertung der IT-Sicherheitslage fortwährend in engem Austausch mit dem Bundesministerium des Innern und für Heimat sowie zahlreichen nationalen und internationalen Partnerbehörden.

Vollständiger Artikel: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220225_Angriff-Ukraine-Statement.html

BayLDA: Datenschutzprüfung zum Thema Absicherung von E-Mail-Accounts gestartet

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA hat die nächste Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts gestartet. Es geht um die datenschutzrechtliche Prüfung hinsichtlich technischer und organisatorischer Maßnahmen zum vorbeugenden Schutz gegen Cyberattacken auf E-Mail-Accounts (insb. Phishing). Weitere Informationen und den Prüffragen auf deren HP.

Link: https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

DsiN-Praxisreport zeigt eklatante IT-Sicherheitsmängel in kleineren Unternehmen 

Besonders kleinere Unternehmen in Deutschland schützen sich nicht ausreichend vor IT-Risiken, stellt der aktuelle Praxisreport der Initiative Deutschland sicher im Netz (DsiN) fest. Da erscheint es wenig verwunderlich, dass auch der Anteil folgenreicher IT-Angriffe auf mittelständische Unternehmen merklich gestiegen sei. Laut DsiN führten mehr als drei Viertel aller Angriffe zu spürbaren Auswirkungen (76 Prozent), bei jedem achten Unternehmen wurden sie als erheblich, bei vier Prozent sogar als existenzgefährdend angegeben. Zwar bewertete jedes dritte Unternehmen die unzureichende Absicherung der eigenen IT als Risiko, allerdings seien die Defizite bei Standardmaßnahmen des Cyberschutzes „besonders auffällig“: So verfügen 64 Prozent der Unternehmen über keine Maßnahmen der Angriffsangriffserkennung, mehr als ein Drittel verzichte auf IT-Notfallpläne (34 Prozent), 43 Prozent seien nachlässig im Umgang mit Software- und Sicherheitsupdates.

Weitere Informationen zum DsiN-Praxisreport: https://www.sicher-im-netz.de/dsin-praxisreport-42-prozent-im-mittelstand-melden-it-angriffe

BvD begrüßt „Privacy Shield“-Nachfolgeabkommen, mahnt aber vor überzogenen Erwartungen

Brüssel und Washington haben eine grundsätzliche Einigung über ein überarbeitetes Nachfolgeabkommen zu „Privacy Shield“ erzielt, gaben Präsidentin der Europäischen Kommission Ursula von der Leyen und US-Präsident Joe Biden heute im Rahmen von Bidens Besuch in Brüssel bekannt.

Seit der Europäische Gerichtshof das „Privacy-Shield“-Abkommen im Juli 2020 gekippt hat, weil es befürchtete, dass die Daten nach der Übermittlung über den Atlantik nicht vor dem Zugriff amerikanischer Behörden sicher seien, arbeiten die Unterhändler an einem Abkommen, das den Transfer personenbezogener Daten von Europäern in die Vereinigten Staaten ermöglicht.

„Die Datenschutzbeauftragten in Deutschland begrüßen, dass die EU und die USA eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt haben“, so Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. „Die Ankündigung ist zunächst sicherlich ein Hoffnungsschimmer für unzählige Datenschutzbeauftragte, die sich in ihrer Beratung mit zunehmender Rechtsunsicherheit konfrontiert sehen, wenn es darum geht, Daten in die USA zu übermitteln.“

Der Verband sieht in der bisherigen Rechtsprechung des Europäischen Gerichtshof zu früheren transatlantischen Abkommen eine Bestätigung des durch die europäische Datenschutz-Grundverordnung begründeten sehr hohen Schutzniveaus für personenbezogene Daten und die Rechte sowie Freiheiten betroffener Personen. Gleichzeitig habe dies massive praktische Auswirkungen, da Transfers personenbezogener Daten zwischen den USA und der EU eine wichtige Grundlage darstellen für den globalen Handel und die unbeschränkte Nutzung von Onlinediensten, die nach wie vor im Schwerpunkt aus den USA heraus angeboten werden.

Beamte auf beiden Seiten des Atlantiks hatten darum gekämpft, eine Sackgasse zu überbrücken, was es bedeutet, den Europäern einen wirksamen Rechtsbehelf gegen die Überwachung durch US-Behörden zu geben. Nicht alle diese Fragen konnten gelöst werden, obwohl von der Leyens Kommentare darauf hindeuten, dass technische Lösungen in Reichweite sind. „Insofern. bleibt abzuwarten, inwiefern dieses neue Abkommen vor Gericht Bestand haben wird. Ich denke, man sollte hier keine allzu hohen Erwartungen hegen, bis Details zu dem Abkommen bekannt sind“.

DSK äußert sich zu Facebook Fanpages

Die DSK hat beschlossen, die ihren Aufsichten unterstehenden obersten Bundes- und Landesbehörden über das Kurzgutachten der DSK-TaskForce zu Facebook Fanpages zu informieren. Sie möchte erreichen, dass die Behörden ihre Fanpages deaktivieren, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können. Dazu sagte Professor Kelber: „Facebook Fanpages lassen sich aktuell nicht datenschutzkonform betreiben. Zu diesem Ergebnis kam auch die von der DSK eingesetzte TaskForce. Behörden haben hier eine besondere Verantwortung und eine Vorbildfunktion für die Bürgerinnen und Bürger.“

Die Dokumente zur DSK und das Kurzgutachten der TaskForce Fanpages finden Sie in Kürze auf der Homepage der Datenschutzkonferenz:

www.datenschutzkonferenz-online.de

Kontakt:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Straße 153
53117 Bonn
E-Mail: pressestelle@bfdi.bund.de

3G-Nachweis und Kontaktdaten – einfach zerreißen reicht nicht!

Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 23.03.2022.

Mit der Änderung des Infektionsschutzgesetztes vom 20. März 2022 entfällt die Verpflichtung zum Nachweis der Impfung, der Genesung oder der Negativ-Testung (3G-Nachweis) am Arbeitsplatz. „Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehme ich zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen: Die von den Arbeitgeber*innen erhobenen Daten müssen spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten“, erklärt Bettina Gayk, Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen.

Angesichts steigender Corona-Zahlen gewann für Unternehmen die Erfassung von Gesundheitsdaten der Beschäftigten an Bedeutung, um den Betrieb trotz der Risiken durch SARS-CoV-2 aufrechtzuhalten. Dabei wurden die Arbeitgeber*innen verpflichtet zu überwachen, ob die Beschäftigten geimpft, genesen oder getestet sind. Dazu sollte eine tägliche Nachweiskontrolle durchgeführt und dokumentiert werden. Geregelt wurde das durch das Infektionsschutzgesetz des Bundes (§ 28b Abs. 3 Satz 1 IfSG a.F.). „In Einzelfällen haben Arbeitgeber*innen Impf- oder Testnachweise sogar kopiert oder gescannt. Das ist nicht zulässig gewesen, und selbstverständlich müssen diese Kopien und Scans umgehend fachgerecht entsorgt werden“, macht Gayk deutlich.

Dass im Zuge der Pandemie gesammelte Daten wieder gelöscht oder vernichtet werden müssen, ist nicht neu. So ist bereits die Pflicht zur Kontaktdatenerhebung für bestimmte Wirtschaftsbereiche – zum Beispiel in der Gastronomie – entfallen, als am 20. August 2021 die „Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2“ (Corona-Schutzverordnung) der NRW-Landesregierung geändert wurde. Allerdings kann sie seitdem noch weiterhin durch die Städte und Gemeinden als örtliche Ordnungsbehörden angeordnet werden.

Gayk: „Inzwischen geht es darum, die erhobenen Daten rechtskonform zu entsorgen. Das bedeutet: Die Gesundheitsdaten von Beschäftigten und – sofern noch vorhanden – Daten zur Kontaktnachverfolgung müssen gelöscht, also vollständig und unwiderruflich vernichtet werden. Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Aktenvernichter verwendet werden.“ Ein Zerreißen von Hand sei nicht ausreichend. Wie Datenträger datenschutzkonform vernichtet werden können, regelt unter anderem die DIN 66399. Für das Löschen personenbezogener Daten durch Aktenvernichter sind Geräte der Sicherheitsstufe 4 oder höher gemäß dieser DIN geeignet.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4, 40213 Düsseldorf
Tel.: 0211-38424 – 158
Fax: 0211-38424 – 999
E-Mail: pressestelle@ldi.nrw.de
Internet: www.ldi.nrw.de

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nach §7 BSI-Gesetz vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Das BSI empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.

Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.

Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.

Alle Nutzerinnen und Nutzer der Virenschutzsoftware können von solchen Operationen betroffen sein. Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen sind in besonderem Maße gefährdet. Sie haben die Möglichkeit, sich vom BSI oder von den zuständigen Verfassungsschutzbehörden beraten zu lassen.

Unternehmen und andere Organisationen sollten den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Würden IT-Sicherheitsprodukte und insbesondere Virenschutzsoftware ohne Vorbereitung abgeschaltet, wäre man Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der Umstieg auf andere Produkte ist mit vorübergehenden Komfort-, Funktions- und Sicherheitseinbußen verbunden. Das BSI empfiehlt, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.


Weitere Informationen sind in den FAQ zusammengefasst.

LfDI BW: Öffentliche Stellen: Raus aus Facebook, Twitter, TikTok!“

„Stefan Brink und Clarissa Henning appellieren: Öffentliche Stellen sollten aus den vermeintlich Sozialen Medien aussteigen. Warum die nicht sozial sind, was Polizei, Kommunen und Co. stattdessen tun sollten und was das mit dem Vertrauen in mündige Bürger zu tun hat, kommentieren sie in ihrem Gastbeitrag.“ Vom 15.3.22.

Zum Beitrag: https://netzpolitik.org/

LfDI Bremen: LfDI verhängt gegen die BREBAU GmbH Geldbuße

Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich. Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.

Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: „Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.“

Die Webseite der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit kann hier abgerufen werden.

Bitkom: IT Sicherheitsmaßnahmen vor Konfliktaustragungen im Cyberraum

Konflikte werden heutzutage auch im digitalen Raum ausgetragen. Zwar ist die Situation in der Ukraine in diesem Sinne noch nicht hierzulande angekommen, doch sollten Unternehmen ihre IT-Sicherheit für einen Ernstfall prüfen. Der Bitkom nennt fünf Maßnahmen, die Unternehmen jetzt ergreifen sollten.

Die Offensive Russlands begann im digitalen Raum bereits einige Zeit vor dem Einmarsch in die Ukraine. „Während Cyberangriffe auf militärische Zielsysteme, Behörden und Institutionen bereits seit längerem stattfinden, spielte der digitale Raum in den ersten Tagen des russischen Angriffskriegs nur eine nachgelagerte Rolle. Mit zunehmender Kriegsdauer könnte sich dies wieder ändern, und das kann unmittelbare Konsequenzen für Deutschland und seine Wirtschaft haben. Denn die Distanzen im digitalen Raum sind kurz und die Grenzen nicht so klar, wie sie sein müssten“, erklärt Bitkom-Sicherheitsexperte Sebastian Artz. „Es gibt keinen Grund zur Panik, aber mit dem Angriffskrieg Russlands ist auch im deutschen Cyberraum volle Aufmerksamkeit und größtmögliche Wachsamkeit aller Unternehmen, Organisationen und staatlichen Stellen geboten.“

Der Digitalverband Bitkom gibt deshalb fünf konkrete Hinweise, welche Vorbereitungen und Vorsichtsmaßnahmen insbesondere kleine und mittelständische Unternehmen jetzt für ihre IT-Sicherheit treffen sollten:

1. Risiken und Auswirkungen von Cyberangriffen minimieren

Unternehmen sollten ihre Schutzmaßnahmen insgesamt verstärken. Betriebssysteme und Software müssen auf dem aktuellen Stand sein, Sicherheitsupdates sind zügig einzuspielen. Sichere – also komplexe und für jedes System unterschiedliche – Passwörter können signifikant das Schutzniveau erhöhen bei. Möglichst alle Logins mit Außenanbindung sollten über eine Multi-Faktor-Authentifizierung geschützt werden. Privilegien und Administrationsrechte sollten für einzelne NutzerInnen eingeschränkt werden und die Komplexität von verwendeten Diensten insgesamt verringert werden. Eine solche Härtung der Systeme ist ratsam, obwohl sie nicht nutzungsfreundlich ist und die Produktivität einschränkt, denn sie schützt die eigene Infrastruktur und unternehmenssensible Daten. Zudem ist die unternehmenseigene Back-up-Strategie zu prüfen und nachzuziehen, sodass alle relevanten Unternehmensdaten gesichert sind und zusätzlich Sicherheitskopien offline auf einem externen Datenträger existieren.

2. Verantwortlichkeiten klar definieren

Unternehmen müssen in einem Angriffsfall reaktionsfähig sein. Verantwortlichkeiten im Sicherheitsbereich müssen klar definiert sein und entsprechende Anlaufstellen eingerichtet werden – sowohl intern als auch bei externen Dienstleistern. Es gilt sicherzustellen, dass zu jeder Zeit ausreichend Personal einsatzfähig ist. Urlaubszeiten oder Vertretungen bei Krankheit müssen dabei einkalkuliert werden. Außerdem ist es sinnvoll sich darauf vorzubereiten, auch ohne die Hilfe externer Dienstleister kurzfristig reagieren zu können – bei großflächigen Cyberangriffen könnten Externe an Kapazitätsgrenzen stoßen.

3. Beschäftigte sensibilisieren

Alle Erfahrungen zeigen: Der Mensch bleibt eines der größten Sicherheitsrisiken, ist aber auch Schutzgarant eines Unternehmens. Alle Beschäftigten sollten zielgruppengerecht für das erhöhte Risiko von Cyberangriffen sensibilisiert werden. Dazu gehört, potenzielle Gefahren verständlich zu erklären und Schritt-für-Schritt-Anleitungen bereitzustellen, wie sich Beschäftigte im Falle eines Angriffs verhält und an wen sie sich wenden müssen. Gegebenenfalls können kurzfristige Sicherheitsschulungen sinnvoll sein. Ziel ist es, die Wachsamkeit in der Belegschaft zu erhöhen. Besonders für den E-Mail-Verkehr gilt, Hyperlinks und Anhänge nicht vorschnell zu öffnen und ungewöhnliche Anweisungen mit Skepsis zu betrachten. An Unternehmen werden auch sehr gezielte und gut gemachte Phishing-Mails geschickt, wodurch der Fake nur anhand weniger Details wie etwa eines falsch geschriebenen Namens oder einer falschen Durchwahl in der Signatur entdeckt werden kann.

4. Notfallplan erstellen

Für den Fall eines Angriffs sollte im Unternehmen ein Notfallplan bereitliegen, der das weitere Vorgehen dokumentiert. Neben den technischen Schritten, die eingeleitet werden müssen, sollte der Plan auch organisatorische Punkte wie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen sowie die Notfallkontakte der offiziellen Anlaufstellen beinhalten. Auch rechtliche Aspekte wie Meldepflichten bei Datenschutzverletzungen müssen berücksichtigt werden. Des Weiteren gehört eine vorbereitete Krisenkommunikation dazu, um schnell alle relevanten Stakeholder wie Kunden, Partner sowie die Öffentlichkeit zu informieren.

5. Informationen offizieller Stellen beobachten

Die Sicherheitslage ist hochdynamisch und kann sich von Tag zu Tag ändern. Unternehmen sollten daher die Meldungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Allianz für Cybersicherheit (ACS) stets beobachten.