Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 2)

Chancen zum Angriff? – Social Engineering

Cybercrime und COVID-19 – Die Angreifer schlafen nicht. Im Gegenteil, die Situationen rund um COVID-19 Erkrankungen erlauben es Angreifern, auf eine Vielzahl von Szenarien zurückzugreifen. Ich möchte hier das Augenmerk auf den Bereich des sogenannten “Social Engineering” lenken. Gerade hier handelt es sich um einen beliebten Angriffsvektor, denn hier können relativ leicht geschützte Informationen eines Unternehmens erlangt werden. Die Angriffsmethode selbst ist dabei lange bekannt und oft schon oft erfolgreich verwendet. Allein die Szenerien, in welche Angriffe via Social Engineering aktuell eingebettet werden, sind neu und machen sich die Situation rund um COVID-19 zunutze. Ich will versuchen, im aktuellen Beitrag auf die spezifischen Herausforderungen im Bereich der IT-Sicherheit im Zusammenhang mit der veränderten Situation durch Covid-19 gerade in Bezug zum Feld des Social Engineering näher einzugehen.

Social Engineering

“Social Engineering” ist zumeist die erste Stufe eines mehrstufigen gezielten Angriffs. Und somit aber auch nur die erste Stufe eines mehrstufigen Angriffes. Die Betrachtung dieses Artikels beschränkt sich auf diese Stufe.

„Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.“ (Wikipedia)

Die Umwelt des Angriffes

Social Engineering im Zeitalter von Covid-19 erfährt gewissermaßen eine Vereinfachung. Der Angreifer umgeht das Schwarmwissen der Gruppe. Mitarbeiter sitzen in der Regel in Gruppen gemeinsam in Büros. Auffällige E-Mails werden oft schnell in der Gruppe besprochen oder die Anforderung einer Überweisung (CFO-Fraud) kann über den „Flurfunk“ oder einen raschen Telefonanrufruf überprüft werden. Diese kurzen Kommunikationswege fehlen in den aktuellen Strukturen der nicht ortsbezogenen Arbeit. – Im Ergebnis überlegt der Mitarbeiter mehrfach, bevor er sich mit weiteren Kollegen in Verbindung setzt, und öffnet sogar im Zweifel einen „gefährlichen“ Link, oder gibt die geforderte Information preis, ohne sich über andere Kommunikationskanäle rückzuversichern. In diesem Zusammenhang wird auch die Dunkelziffer dieser Vorfälle steigen – Nach dem Motto: „Das hat doch niemand bemerkt“.

Hinzu kommt die generelle Verunsicherung ausgelöst durch eine unbekannte Erkrankung. In der modernen Medienwelt existiert eine Vielzahl von Quellen. Welche Informationen ein Mensch hierbei als die „seinen“ filtert, ist unterschiedlich. Schon die Unterscheidung zwischen „Fake“-News und seriösen Nachrichten ist oft für den „Normalbürger“ nicht einfach. Diese Unschärfen in der aktuellen Nachrichtenlage werden durch Angreifer im Cyber-Bereich gnadenlos ausgenutzt. Eine kleine „Instabilität“ in der Gemütslage eines Mitarbeiters kann so schnell zum Sicherheitsrisiko werden.

Schon an dieser Stelle sei dabei darauf hingewiesen, dass Standartmaßnahmen – die jedoch nur teilweise zum Schutz geeignet waren/sind – wie Firewall-Einstellungen und Webfilter zum Teil aufgrund der Nutzung von privaten Endgeräten nicht vorhanden sind. Unabhängig davon, ob eine Data Leakage Prevention (DLP) systematisch oder durch eigene organisatorische Maßnahmen umgesetzt wurde, drohen diese im „entfesselten“ Arbeiten gegebenenfalls leer zu laufen.

Realität

Es handelt sich hierbei nicht um hypothetische Szenarien. In den letzten Tagen und Wochen ist eine klare Zunahme von SPAM-Kampagnen und Phishing E-Mails zu verzeichnen (Quelle: z.B. Europol – Pandemic profiteering how criminals exploit the COVID-19 crisis- March 2020). Die Maßnahmen der Angreifer gehen so weit, dass im DarkWeb sogar ganze Verkaufsstrategien mit Rabatten zu COVID-19 laufen. Dabei ist es wichtig, zu wissen, dass Angriffe und Tools für Angriffe bereits für wenig Geld (BitCoins) im DarkWeb erworben werden können. Somit können auch technisch weniger versierte Angreifer heute auf einen ganzen Werkzeugkasten von Angriffsmitteln zurückgreifen. Oftmals ist auch festzustellen, dass derjenige, der Informationen über ein Opfer sammelt, diese Informationen nicht selbst weiterverwendet. Oft werden die Informationen in Paketen zusammengestellt und über Plattformen im Netz weiterverkauft, um dann von anderen Angreifern weiter genutzt zu werden – zumeist ohne dass sich die Beteiligten untereinander kennen.

Folgen – Strafverfolgung u.a.

Dieses Vorgehen macht die Ermittlung von Angreifern für die Behörden, aber auch die internen Abteilungen, schwierig bis oftmals völlig unmöglich. Dies verhindert in vielen Fällen strafrechtliche Verfolgung und zivilrechtliche Regressansprüche. – In einigen Fällen führt es auch dazu, dass Unternehmen Angriffe bei den Behörden gar nicht erst melden und anzeigen – oft um vermeintliche Reputationsschäden zu vermeiden. Zumindest in Deutschland sind jedoch über die handelnden Behörden, BSI und Staatsanwaltschaften, Wege geschaffen worden, Know-How bei diesen Behörden aufzubauen. Auch wenn dieses Know-How nicht immer zu der Ergreifung der Täter führt, hilft es doch bei der Beseitigung der Folgeschäden und der Entwicklung von besseren Schutzmechanismen in der Zukunft.

Spezifische COVID-19 Veränderungen

Covid-19 hat dazu geführt, dass viele Unternehmen beschleunigt in die Vereinzelung von Arbeitsplätzen eingestiegen sind. Das von mir beschriebene „Schwarmwissen“ steht den handelnden Mitarbeitern nicht mehr zur Verfügung. Ich habe diesen Aspekt gewählt, weil er für mich durch die COVID-19 Krise besonders heraussticht. Daneben stehen natürlich noch viele weitere Aspekte, wie z.B. die Angst des Menschen vor Erkrankung und Tod, die Anfälligkeit für Fake-News und Verschwörungstheorien, der Wegfall von Schutz- und Kontrollmechanismen durch den Arbeitgeber – Gelegenheit macht Diebe…

All diese Faktoren führen im Ergebnis zu einem erhöhten Risiko in der COVID-19 Umgebung durch Social Engineering.

Schutz

Was können Unternehmen zum Schutz tun? Kurzzeitig werden sich Unternehmen für verstärkte Schulungsmaßnahmen zur Sensibilisierung ihrer Mitarbeiter entscheiden müssen. Die Maßnahmen lassen sich schnell über Telemedien ausrollen und sind, sofern in regelmäßigen Abständen wiederholt, ein wirksames Mittel zur Eindämmung von Attacken, welche auf Social Engineering-Mechanismen aufbauen.
Auf lange Zeit wird hierfür Unterstützung durch technische Maßnahmen benötigt werden. Der Unternehmer wird hierzu klare Regelungen darüber treffen müssen, ob die Mitarbeiter mit Unternehmenseigener Hardware oder eigener, auch privat genutzter Hardware, ihrer Arbeit nachgehen (dürfen). – Auch hier werden Modelle dazu entwickelt werden müssen, wie mit eigenen Endgeräten umzugehen ist. Dabei ist die Sicherheit ein wichtiges rechtliches Thema, aber auch der Bereich des Arbeitsrechtes, Stichpunkt „Arbeitsmittel“ wird hier zu diskutieren sein. Je nach gewähltem Modus werden dann technische Maßnahmen umzusetzen sein; Möglichkeiten hierzu sind auf dem Markt in allen Varianten und Größen zu finden.

Nach dem Angriff

Das frühzeitige Erkennen eines Angriffes ist gut und kann bei besonnenem Handeln dazu führen, dass der Angriff fehlschlägt. – Auch dann ist bereits strafrechtliche Verfolgung möglich.

Spannend wird es nach einem erfolgreichen Angriff. Dann gilt es, koordiniert und besonnen vorzugehen. Unternehmen ohne eigene spezifische Fachabteilungen, die sich bereits auf solche Szenarien vorbereitet haben, sind hier unbedingt auf externe Hilfe angewiesen.

Denn es gilt:

- - Die Lage einfrieren! Datenbestände vor jeglicher Veränderung schützen!
  - ein aktuelles Lagebild erstellen,
    - Was ist passiert?
    - Wo ist es passiert?
    - Wer war beteiligt?
    - Welche Daten wurden abgerufen / verändert / gelöscht?
  - den Betriebsablauf weiter gewährleisten,
  - Behörden informieren.

Dieser stichpunktartige Ablauf soll der allgemeinen Darstellung genügen. Eine Begleitung dieses Prozesses durch fachkundige Personen ist unerlässlich. Aus rechtlicher Sicht birgt ein solches Szenario hohes Risikopotential, auch unmittelbar für die verantwortlich Handelnden auf Opferseite. Die Auswirkungen sind über viele Bereiche gestreut und haben unter anderem straf-, zivil und versicherungsrechtliche Folgen. Daneben sind die Vorschriften der Datenschutzgrundverordnung (DSGVO), der Arbeitnehmerbeteiligung und des Arbeitsrechts zu beachten. Ein falsches Handeln durch die verantwortlichen Personen in einem der genannten Szenarien kann neben einem erheblichen Reputationsverlust auch zu immensen finanziellen Verlusten führen.

Rechtsanwalt Dirk Koch
(Verfasser)

Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 1)

Dokumentation – Was haben wir getan?

Einleitung

Am 27. Januar 2020 wurde in Deutschland der erste Fall einer Erkrankung mit dem neuartigen Coronavirus (Covid-19) bekannt. Nur zwei Tage später schloss das erste Unternehmen mit Webasto (Sitz in Bayern) aufgrund von Erkrankungen seine Firmenzentrale. Ab diesem Zeitpunkt fingen Unternehmen an, zu erkennen, dass Geschäftsabläufe durch Covid-19 gefährdet sein könnten. Nur wenige Unternehmen verfügten zu diesem Zeitpunkt über Strategien, um mit pandemischen Vorkommnissen umgehen zu können.

Zwei Monate später, um den 19. März 2020 herum, erliegt das öffentliche Leben in Deutschland zu großen Teilen. Es beginnt eine Phase, die als „Kontaktminimierung“ bezeichnet wird. Die Bundesländer erlassen hierzu weitreichende Verordnungen unter dem Infektionsschutzgesetz, um das pandemische Geschehen auf ein Minimum zu reduzieren.

Organisation

Die meisten Unternehmen reagieren in ähnlicher Form. Es muss jedoch klar herausgestellt werden, dass die Unternehmen dieses nicht unter einer staatlichen Verordnung oder aufgrund der allgemeinen Gesetzeslage tun. Vielmehr ist es in den meisten Fällen die freie Entscheidung von Unternehmensführungen, den Betrieb ihrer Unternehmen alternativ zu gestalten.

Die alternativen Gestaltungen kommen in vielen Variationen. Unternehmen einigen sich beispielsweise auf ein sogenanntes „3-Schichten-Modell“. Die erste Gruppe besteht dabei aus Mitarbeitern, die vor Ort in den Niederlassungen und Büros arbeiten, die zweite Gruppe unterstützt die im Büro verblieben Mitarbeiter aus dem Homeoffice, während die dritte Gruppe keiner Tätigkeit nachgeht. – Es ist dabei unstreitig, dass diese „Art“ des Arbeitens nicht für alle Tätigkeitsarten zielführend ist.
Diese Taktik soll sicherstellen, dass eine Infektion verlangsamt wird, und auch über längere Zeit eine Gruppe gesund und arbeitsfähig bleibt. – Inwieweit diese Taktik bei der aktuell eingetretenen Verlangsamung der Verbreitung von Covid-19 weiterhin sinnvoll ist, bleibt abzuwarten.

Technische Organisation

Die Nutzung des Homeoffice, der sogenannten Telearbeit, ist auf technische Unterstützung angewiesen. Mitarbeiter sollen dabei gleichwertig zu ihrem regulären Arbeitsplatz in einer Niederlassung oder den vorhandenen Unternehmensbüros arbeiten können.

Das führt, aufgrund der zeitkritischen Umsetzung, zu einer Reihe von wahrscheinlich zunächst unerwarteten Herausforderungen, die ich im Folgenden beleuchten will. Die Darstellung ist nicht abschließend, umfasst aber die wichtigsten Punkte, die ein Unternehmer beachten sollte, sofern er Telearbeit im Rahmen der Krisenreaktion umsetzen will.

- Verfügbarkeit von unternehmensbezogenen, aber auch personenbezogenen Daten als Arbeitsgrundlage für Mitarbeiter
- Kommunikation (Erreichbarkeit von Extern und Intern)
- Zugriff von extern auf unternehmensspezifische Applikationen
- Wahrung der gesetzlichen Vorschriften
- Schutz der Kommunikation und Daten außerhalb des Unternehmens.

Ich will noch einmal darauf hinweisen, dass es sich bei dem Artikel im Schwerpunkt nicht um eine Darstellung zur Einrichtung von regulären Telearbeitsplätzen im Rahmen von normalem unternehmerischen Handeln behandelt. Vielmehr geht es um die schnelle Umsetzung aufgrund sich überholender Ereignisse im Zusammenhang mit Covid-19 Erkrankungen.

Dokumentation

Mein erster Hinweis dabei geht ganz klar in Richtung einer klaren, zeitnahen und regelmäßigen Dokumentation Ihrer durchgeführten Schritte. Unternehmen ändern in dieser Krisenzeit schnell Prozesse und Arbeitsabläufe, um eine Handlungsfähigkeit oder sogar Betriebsfähigkeit zu erhalten.
Im Rahmen des Krisenmanagements ist dabei niemand vor Fehlentscheidungen geschützt. Wichtig wird es jedoch sein, auch in rechtlicher Hinsicht auf Dokumentation zurückgreifen zu können, welche die Umstände der Entscheidung klar darzustellen ermöglicht. In diesem Zusammenhang sei auf die Haftung von Vorständen und den Tatbestand der Untreue im Bereich des Strafrechtes verweisen, ohne dies an dieser Stelle näher ausführen zu wollen.

Die praktische Umsetzung

Im Bereich der Informationstechnologien hat die Dokumentation eine weitere wichtige Bedeutung.
Ich entschuldige mich im Voraus für die folgende Verallgemeinerung.

IT‘ler sind Bastler.

Der klassische IT’ler ist von seiner Mentalität her an lösungsorientiertem Arbeiten interessiert. Dabei ist das Verfahren von „Try and Error“ keine Seltenheit und es führt schlussendlich meist zum Erfolg.

Die Situation rund um COVID-19 hat dabei die zuständigen Fachabteilungen oft aus ihrer Wohlfühl-Zone geführt. Lösungen und spezifische Applikationen, die oft schon seit Jahren auf den Tischen der Entscheidungsträger lagen, mussten jetzt innerhalb von Tagen unternehmensweit eingeführt werden. – Wohl durchdachte Regelwerke zur Nutzung von eigenen Endgeräten, Nutzung von Internet, Freigaben von Webcams und Mikrofonen und Konzepte zur Dateifreigabe wurden innerhalb von Stunden über Bord geworfen oder außer Kraft gesetzt.

Fazit

Warum also Protokolle? Irgendwann, wenn der erste Rauch sich gelegt hat, werden Unternehmer darüber nachdenken müssen, ob die oben geschaffen Ausnahmen dem Anspruch der Unternehmensführung, zumindest jedenfalls den gesetzlichen Anforderungen entsprechen. Dies können Sie nur dann nachverfolgen, wenn Sie auch wissen, was angepasst und geändert wurde. – Und seien Sie sich darüber bewusst, die Änderungen mit den größten Auswirkungen hat kein Board- oder Vorstandsmeeting durchgeführt, sondern vermutlich ein IT-Administrator mit einem kleinen Haken vor einer Einstellungsoption in Softwarelösungen, die er zum Zeitpunkt der Umsetzung nur ungenau kannte.

Mit dieser Reihe will ich in den nächsten Tagen Problemfelder im Bereich der IT-Sicherheit und Datenschutz im Zusammenhang mit Covid-19 aufwerfen.

Dirk Koch – Rechtsanwalt
(Verfasser)