„Flugzeuge am Boden, Kliniken operieren nicht“, so titelte die Tagesschau am 19. Juli 2024. Ein fehlerhaftes Update einer IT-Security-Lösung des Herstellers Crowdstrike (Falcon) führte weltweit zu signifikanten Störungen auf Windows-Systemen und beeinträchtigte somit unmittelbar die IT-Infrastruktur unzähliger Unternehmen, darunter auch zahlreiche Kliniken und Betreiber Kritischer Infrastrukturen (KRITIS). Dieser Vorfall wirft wesentliche Fragen zur Datensicherheit und zur Resilienz von IT-Systemen auf, die im Folgenden eingehender betrachtet werden.
Das fehlerhafte Update führte weltweit zu schwerwiegenden Systemabstürzen, dem sogenannten „Blue Screen of Death“. Betroffen waren etwa 8,5 Millionen Computer. Besonders gravierend waren diese Ausfälle für Kritische Infrastrukturen wie Krankenhäuser und Flughäfen, deren Geschäftsbetrieb wesentlich unterbrochen wurde. Zusätzlich zu den technisch bedingten Ausfällen und deren direkten Auswirkungen entstand auch ein erheblicher monetärer Schaden. Dieser Störfall verdeutlicht eindrücklich, in welch hohem Maß moderne Organisationen auf stabile und sichere IT-Systeme angewiesen sind.
Wenngleich der Störfall vorwiegend Systemabstürze zur Folge hatte, deutet bislang in der Aufarbeitung nichts direkt darauf hin, dass personenbezogene Daten kompromittiert worden sind. Jedoch wurden die Vorfälle von Cyberkriminellen für unterschiedliche Formen von Phishing-, Scam- oder Fake-Webseiten genutzt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte. Das Ereignis wirft wichtige Fragen zur Einhaltung der IT-Sicherheitsziele und der Datenschutz-Grundverordnung (DSGVO) auf, insbesondere in Bezug auf die folgenden Aspekte:
Datensparsamkeit
In Übereinstimmung mit Art. 5 DSGVO sollten Unternehmen nur die unbedingt notwendigen Daten erheben und speichern. Eine strikte Datenminimierung reduziert das Risiko, dass sensible Daten im Falle eines Systemausfalls betroffen sind.
Unternehmen sollten sicherstellen, dass ihre Datenspeicherung auf das notwendige Mindestmaß beschränkt ist.
Integrität und Vertraulichkeit
IT-Systeme sind robust vor unbefugtem Zugriff und unrechtmäßiger Datenverarbeitung zu schützen. Zur Gewährleistung der Integrität der Systeme sind regelmäßige Updates und Sicherheitsüberprüfungen unerlässlich. Es empfiehlt sich, die Maßnahmen sorgfältig auf ihre Wirksamkeit zu testen, um unvorhergesehene Systemausfälle zu vermeiden.
Verfügbarkeit und Resilienz
IT-Systeme sind auch in Krisensituationen funktionsfähig zu halten. Redundante Systeme und regelmäßige Back-ups sind essenziell, um die Geschäftskontinuität zu gewährleisten. Diese Vorkehrungen tragen maßgeblich dazu bei, den Datenschutz und die IT-Sicherheit auch im Falle von Störfällen zu garantieren.
FAZIT
Unternehmen müssen sicherstellen, dass ihre IT-Infrastruktur den Anforderungen der Informationssicherheit genügt, zukünftigen gesetzlichen Vorgaben wie der NIS-2-Richtlinie entspricht und dass die Datenschutzgrundsätze eingehalten werden. Die durch den Crowdstrike-Vorfall gewonnenen Erkenntnisse sollten dazu genutzt werden, Sicherheitsstrategien zu überdenken und zielgerichtete Maßnahmen zur Steigerung der IT-Sicherheit zu ergreifen. Hierzu zählen IT-Sicherheitsanalysen zur Bestimmung des IT-Sicherheitsniveaus sowie die Einführung von Informationssicherheits-Managementsystemen (ISMS). Diese Maßnahmen stärken zugleich den Datenschutz in Unternehmen.
Sie möchten die Curacontact abonnieren und kostenlos per Post erhalten? Dann melden Sie sich jetzt bei uns. Jetzt abonnieren!