Reaktion auf Sicherheitsvorfälle

What Is Reaktion auf Sicherheitsvorfälle?

Bei der Reaktion auf Sicherheitsvorfälle gemäß der DSGVO müssen Unternehmen feststellen, ob ein Sicherheitsvorfall personenbezogene Daten betrifft, und wenn ja, innerhalb enger regulatorischer Fristen spezifische Bewertungs- und Benachrichtigungsverfahren befolgen. Nicht jeder Sicherheitsvorfall ist eine Datenschutzverletzung, aber jede Datenschutzverletzung beginnt als Sicherheitsvorfall. Diese Entscheidung schnell und genau zu treffen, ist die Kernkompetenz, die diese Übung entwickelt. Sie übernehmen die Verantwortung für einen aktiven Sicherheitsvorfall, bei dem Ihre Netzwerküberwachung verdächtige Datenexfiltrationsmuster erkennt. Sie müssen die Koordination zwischen der IT-Sicherheit, die die Bedrohung eindämmen und untersuchen möchte, und dem Datenschutzteam, das die Auswirkungen auf personenbezogene Daten bewerten und regulatorische Verpflichtungen verwalten muss, koordinieren. Diese beiden Prioritäten stehen manchmal im Konflikt: Für forensische Untersuchungen kann es erforderlich sein, kompromittierte Systeme zur Beweiserhebung online zu halten, während der Datenschutz eine sofortige Eindämmung erfordert. Die Übung führt Sie durch den Aufbau eines funktionsübergreifenden Incident-Response-Workflows, der beide Ziele erfüllt. Sie üben den Triage-Entscheidungsbaum: Klassifizierung der Schwere des Vorfalls, Feststellung, ob auf personenbezogene Daten zugegriffen oder diese herausgefiltert wurden, Beurteilung der Anzahl der betroffenen Personen und Bewertung des Risikos für ihre Rechte. Wenn es sich bei dem Vorfall um eine Verletzung des Schutzes personenbezogener Daten handelt, müssen Sie den Meldeprozess nach Artikel 33 aktivieren, während die Untersuchung noch läuft. Dies bedeutet, dass Sie der Aufsichtsbehörde unvollständige Informationen melden und sich zu schrittweisen Aktualisierungen verpflichten. Laut IBMs „Cost of a Data Breach Report 2024“ reduzieren Unternehmen mit getesteten Incident-Response-Plänen die durchschnittlichen Kosten für Datenschutzverletzungen um 2,66 Millionen US-Dollar im Vergleich zu Unternehmen ohne.

What You'll Learn in Reaktion auf Sicherheitsvorfälle

• Untersuchen Sie einen Sicherheitsvorfall, um festzustellen, ob auf personenbezogene Daten zugegriffen wurde, diese exfiltriert wurden oder kompromittiert wurden
• Koordinieren Sie parallele Arbeitsabläufe zwischen der Eindämmung der IT-Sicherheit und den regulatorischen Verpflichtungen des Datenschutzteams
• Wenden Sie den Entscheidungsbaum zur Klassifizierung von Verstößen an, um Schweregrad, Umfang und Benachrichtigungsanforderungen zu bewerten
• Melden Sie den Aufsichtsbehörden unvollständige Informationen und verpflichten Sie sich gleichzeitig zu schrittweisen Offenlegungsaktualisierungen
• Erstellen Sie einen funktionsübergreifenden Workflow für die Reaktion auf Vorfälle, der sowohl forensische Untersuchungen als auch Datenschutzanforderungen erfüllt

Reaktion auf Sicherheitsvorfälle — Training Steps

1. Einführung

   In der heutigen Schulung erfahren Sie mehr über die DSGVO-konforme Reaktion auf Vorfälle – wie Sie Sicherheitsereignisse bewerten, Anforderungen an die Benachrichtigung bei Verstößen festlegen und die richtigen Verfahren einleiten, wenn personenbezogene Daten gefährdet sein könnten.

2. Beginnen Sie Ihre Schicht

   Alice beginnt ihre Morgenschicht im Security Operations Center (SOC). Das Dashboard zeigt normale Aktivitätsniveaus an – ein paar Routinewarnungen, die bereits vom Nachtteam gesichtet wurden. SecureNet Financial übernimmt die Zahlungsabwicklung für Hunderte von Unternehmenskunden. Das SOC überwacht rund um die Uhr unbefugten Zugriff, Datenexfiltration, Richtlinienverstöße und andere Sicherheitsereignisse.

3. Warnung mit hohem Schweregrad

   Plötzlich wird auf dem Dashboard eine Warnung mit hoher Dringlichkeit angezeigt. Das SIEM hat ungewöhnliche Anmeldeversuche erkannt – mehrere fehlgeschlagene Authentifizierungsversuche, gefolgt von einer erfolgreichen Anmeldung von einer fremden IP-Adresse. Die Warnung weist darauf hin, dass das Konto einem Systemadministrator mit erhöhten Rechten gehört. Dabei könnte es sich um einen Brute-Force-Angriff handeln, der erfolgreich die Zugangsdaten kompromittiert hat.

4. Analysieren des Login-Alarms

   Die Warnungsdetails offenbaren folgende Informationen: Konto : sysadmin_jsmith (Systemadministrator) Quell-IP : 185.220.101.45 (Osteuropa) Fehlversuche : 47 über 3 Stunden Erfolgreiche Anmeldung : 06:47 Uhr lokal Zeit Sitzungsdauer : 2 Stunden 13 Minuten Der rechtmäßige Kontoinhaber, John Smith, ist derzeit im Urlaub in Spanien – aber der Login stammt aus einem ganz anderen Land.

5. Zweite Warnung erscheint

   Beim Überprüfen der Anmeldewarnung wird eine zweite Warnung mit mittlerem Schweregrad angezeigt. Das Data Loss Prevention (DLP)-System hat eine große Datenexportanfrage gemeldet. Jemand hat das manipulierte Systemadministratorkonto verwendet, um Kundendatensätze aus der Produktionsdatenbank zu exportieren. Der Export wurde abgeschlossen, bevor die automatisierten Systeme ihn blockieren konnten.

6. Der Umfang des Verstoßes

   Die Datenexportwarnung zeigt das Ausmaß des potenziellen Schadens: Exportierte Datensätze : 50.000 Kundendatensätze Datentypen : Vollständige Namen, E-Mail-Adressen, Telefonnummern, Finanzkontonummern, Transaktionsverlauf Exportziel : Externer FTP-Server (IP: 185.220.101.89) Zeitpunkt des Exports : 07:15 Uhr Ortszeit Dies ist nicht mehr nur ein Sicherheitsvorfall – persönliche Daten wurden auf einen externen Server übertragen, der von unbekannten Parteien kontrolliert wird.

7. Bestätigen der Warnungen

   Alice muss beide Warnungen bestätigen, um anzuzeigen, dass sie derzeit untersucht werden. Dadurch wird ein Audit-Trail erstellt, der zeigt, wann das SOC auf den potenziellen Verstoß aufmerksam wurde. Nach der DSGVO gilt die Organisation als „bewusst“ von einem Verstoß, wenn das SOC einen Vorfall mit personenbezogenen Daten feststellt – und nicht, wenn die Untersuchung abgeschlossen ist.

8. Bestätigen der Datenexportwarnung

   Der unberechtigte Zugriff wurde als bestätigt markiert. Jetzt muss Alice auch die Datenexportwarnung bestätigen. Nachdem beide Warnungen bestätigt wurden, gibt es einen eindeutigen Zeitstempel, der zeigt, wann SecureNet Financial auf den potenziellen Verstoß gegen personenbezogene Daten aufmerksam wurde.

9. Überprüfen des Compliance-Status

   Bevor der Vorfall eskaliert, überprüft Alice das Compliance-Dashboard, um den aktuellen Sicherheitsstatus der Organisation zu verstehen. Dieser Kontext hilft bei der Feststellung, welche Kontrollen möglicherweise fehlgeschlagen sind. Das Verständnis bestehender Compliance-Lücken kann dabei helfen, zu erklären, wie es zu dem Verstoß kam und welche Abhilfemaßnahmen priorisiert werden sollten.

10. Identifizieren der Schwachstelle

    Das Compliance-Dashboard zeigt ein kritisches Problem: Einwilligungsverwaltung : Konform DSAR-Reaktionszeit : Konform Datenverschlüsselung : Konform MFA-Durchsetzung : Warnung – 23 % der Administratorkonten verfügen nicht über MFA Datenaufbewahrung : Konform Die Das kompromittierte Systemadministratorkonto gehörte zu den 23 % ohne aktivierte Multi-Faktor-Authentifizierung. Diese Sicherheitslücke ermöglichte es dem Angreifer, sich ausschließlich mit gestohlenen Zugangsdaten Zugang zu verschaffen.