Acht Jahre nach der Einführung der DSGVO und vor dem Hintergrund neu hinzugekommener Regularien zur Cyberresilienz, wie beispielsweise NIS2 oder DORA, stehen die Bereiche Datensicherung und Datenschutz erneut vor neuen Herausforderungen. Zu befürchten ist, dass KI-Modelle zu einer drastischen Zunahme von Datenschutzvorfällen führen werden.
Der regulatorische Druck wächst
Unternehmen, Organisationen und Behörden müssen daher mehr tun, um die Folgen von Sicherheitsvorfällen besser und effizienter einzudämmen. Mit NIS2, DORA und der DSGVO hat die EU einen regulativen Rahmen sowie ein Bußgeldsystem eingeführt, um die Verantwortlichen zu mehr operativer Resilienz zu verpflichten. Für Verstöße gegen die DSGVO wurden inzwischen in 2.888 Fällen Bußgelder in Höhe von rund sechs Milliarden Euro ausgesprochen. Die Richtlinien NIS2 und DORA werden die Durchsetzung anhand eines ähnlichen Bußgeldkonzepts regeln. Mit dem Unterschied, dass nun die Geschäftsführer:innen selbst mit ihrem Vermögen haften sollen. Die deutsche Bank- und Finanzaufsicht Bafin hat seit dem DORA-Start über 600 schwere Vorfälle gemeldet. Laut Bafin-Exekutivdirektor Nikolas Speer will die Bafin aber auf einen ehrlichen und direkten Dialog mit den Instituten setzen. Erste medienwirksame Fälle bei NIS2 und DORA sind nur eine Frage der Zeit.
Leider ist mit einem Anstieg offengelegter Informationen zu rechnen, da sich durch das von böswilligen Nutzern zweckentfremdete KI-Modell Mythos die grundlegenden Sicherheitsrisiken massiv verschieben. Mythos kann eigenständig Schwachstellen in IT-Systemen aufspüren und Sicherheitslücken verketten. Da fast jedes Unternehmen personenbezogene Daten verarbeitet, können Hacker durch solche KI-gestützten Angriffe schneller und in größerem Stil Zugriff auf sensible Daten erhalten. Open-Source-Umgebungen sind besonders betroffen. So werden etwa Lücken im 27 Jahre lang als sicher eingeschätzten Betriebssystem OpenBSD jetzt mit Mythos entdeckt.
Zudem werden Cyberkriminelle eigene KI-Werkzeuge entwickeln, um die Qualität ihrer Attacken zu steigern. Insbesondere Phishing-Attacken werden sie mithilfe von Large Language Models LLMs stärker personalisieren, um gezielt die Zugangsdaten der relevanten internen Anwender mit den entsprechenden Privilegien abzugreifen. Bereits jetzt basieren neun von zehn Attacken auf kompromittierten Identitäten und Identitätssystemen. Für weitere Risiken sorgt die Schatten-KI von Mitarbeitenden in den einzelnen Abteilungen. Viele Mitarbeitende nutzen Modelle externer Anbieter, um interne Unternehmensdaten zu verarbeiten, ohne dass ein DSGVO-konformer Vertrag zur Auftragsverarbeitung (AVV) besteht. In die andere Richtung können sie auch eigene Daten ohne Rückversicherung hochladen und gegen den Datenschutz verstoßen.
Meldepflichten erfordern schnelle Analyse und Reaktionszeiten
Eine der drängendsten Vorgaben der DSGVO ist die Meldepflicht bei Cybervorfällen. So verlangt die DSGVO, dass Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden, während NIS2 und DORA eine Meldefrist von 24 Stunden vorsehen. Um diese Vorgaben im Ernstfall einhalten zu können, müssen Unternehmen ihren Datenbestand, ihre Applikationen und ihre Umgebung unbedingt kennen und sensible Daten sowie Assets im Vorfeld entsprechend kategorisieren und priorisieren. Das ist eine zentrale Bedingung, um im Ernstfall handlungsfähig zu bleiben.
Damit legen sie im Voraus fest, welche Infrastruktur, Systeme, Anwendungen, Prozesse und Umgebungen absolut notwendig sind, um einen Notbetrieb aufrechtzuerhalten. Ein solches Minimalpaket wird in einer isolierten Umgebung gesichert abgelegt, sodass es von Angriffen unberührt bleibt. Im Falle einer Attacke wird das Notpaket in einem isolierten Cleanroom aktiviert. Von dort aus führen die Teams für IT-Security und Infrastruktur in vorher festgelegten Abläufen gemeinsam die Wiederherstellung der Cyberresilienz durch, indem sie die Produktionsumgebung gehärtet neu aufspielen. Parallel dazu untersuchen sie den Angriff, die betroffenen Daten und Hintertüren.
Ein möglicher Untersuchungsgegenstand ist die Veränderung der Zugriffsrechte von Nutzern, Anwendungen oder Identitäten. Einerseits, um deren Beleg zu erbringen, andererseits, um durch das Zurücksetzen eines Privilegs vielleicht doch noch den Abfluss von Daten zu verhindern. Nur wer dank dieser Vorgabe sofort und ohne Unterbrechung handeln und automatisierte Resilienzabläufe starten kann, wird den knappen Meldepflichten und der Schnelligkeit der Angreifer gerecht. Unternehmen, die sich nicht entsprechend vorbereiten, sind im Ereignisfall viel zu langsam und benötigen im Durchschnitt 24 Tage, um den Betrieb wieder aufzunehmen.
Warum Automatisierung jetzt entscheidet
Es wird essenziell sein, diesen Automatismen ebenfalls Workflows gegenüberzustellen, welche die Folgen einer erfolgreichen Attacke eindämmen und die IT-Systeme strukturiert wiederherstellen.
Die dafür notwendigen Resilienzabläufe verankern die Krisensicherheit der IT fest im täglichen operativen Betrieb. Sie führen Organisationen von passiven, reaktiven Backup-Strategien weg und ermöglichen einen aktiven, kontinuierlichen Resilienzstatus. Resilience Operations sollen Teams aus den Bereichen Sicherheit, Infrastruktur, Business und Betrieb ermöglichen, jeden kritischen Dienst genau jetzt wiederherzustellen – mit voller Gewissheit und nachweislich. Dazu gehört auch die Zurücksetzung von Identitäten, die für den illegalen Datenzugriff missbraucht wurden, um weitere Schäden zu verhindern.
KI wird diese Abläufe auch im positiven Sinn automatisieren und so das Gleichgewicht zu den Fähigkeiten der Angreifer wiederherstellen. Wer Verstöße gegen die DSGVO vermeiden will, kann sich nicht mehr nur auf eine starke Abwehr verlassen. Er muss sich darauf vorbereiten, seine Daten, Anwendungen und Infrastrukturen schnell, sauber und funktionsfähig wiederherstellen zu können.
