Back
Products new

Lösungen

Entdecken Sie unser Angebot an personalisierten Security Awareness-Schulungen, um Ihr Team gegen moderne Cyberbedrohungen zu stärken und weiterzubilden. Vom Policy Management bis hin zu Phishing-Simulationen – mit unserer Plattform bekommen Ihre Mitarbeiter das Wissen und die Fähigkeiten, die zum Schutz Ihres Unternehmens notwendig sind.

Automatisierung der Security Awareness

Planen Sie Ihre jährliche Awareness-Kampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie auf der Stelle Phishing-Angriffe dank preisgekrönter Phishing-Software

E-Learning Cyber Security

E-Learning zur Cyber Security: Entdecken Sie unsere preisgekrönte E-Learning-Bibliothek, maßgeschneidert für jede Abteilung

Policy Management

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutzmanagement

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Incident Management

Übernehmen Sie die Kontrolle über interne Vorfälle und beseitigen Sie die wichtigsten Probleme

Back
Industry

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiebereich bis hin zum Gesundheitswesen – erfahren Sie, wie unsere Lösungen in verschiedenen Branchen Wellen schlagen.

Finanzdienstleistungen

Erste Verteidigungslinie für Finanzdienstleistungsunternehmen

Staatliche Behörden

Eine beliebte Security Awareness-Lösung für Regierungen

Großunternehmen

Eine Lösung für Security Awareness-Schulung bei großen Unternehmen

Belegschaft im Homeoffice

Verankern Sie eine Kultur der Security Awareness – auch zu Hause

Bildungssektor

Ansprechende Security Awareness-Schulung für den Bildungssektor

Arbeitskräfte im Gesundheitswesen

Entdecken Sie unsere maßgeschneiderte Lösung zur Security Awareness für Arbeitskräfte im Gesundheitswesen

Technologiebereich

Transformation der Security Awareness-Schulung im Technologiebereich

NIS2-Compliance

Unterstützen Sie Ihre Anforderungen zur NIS2-Compliance mit Awareness-Initiativen für Cyber Security

Back
Resources

Ressourcen

Von Plakaten und Richtlinien bis hin zu vollständigen Leitfäden und Fallstudien – nutzen Sie unsere kostenlosen Informationsmaterialien, um die Awareness für Cyber Security in Ihrem Unternehmen zu stärken.

Awareness für Cyber Security für Dummies

Eine unverzichtbare Ressource um eine Kultur der Cyber Awareness zu schaffen

Leitfaden für Dummies zum E-Learning Cyber Security

Der ultimative Leitfaden für die Implementierung von einem effektiven E-Learning zur Cyber Security

Ultimativer Leitfaden gegen Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Awareness-Plakate

Laden Sie diese kostenlosen Plakate herunter, um die Wachsamkeit Ihrer Mitarbeiter zu erhöhen

Anti-Phishing-Richtlinie

Schaffen Sie eine sicherheitsbewusste Kultur und fördern Sie die Awareness für Cyberbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, ein positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cyber Security von A-Z

Ein Glossar der wichtigsten Begriffe zur Cyber Security

Reifegradmodell für das Verhalten im Bereich Cyber Security

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Material

Laden Sie unsere kostenlosen Awareness-Materialien herunter, um die Awareness für Cyber Security in Ihrer Organisation zu stärken

Back
About

Über uns

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung im Sektor Cyber Security und Compliance und bietet eine innovative Lösung für die Awareness der Mitarbeiter für die Informationssicherheit und die Automatisierung von Incident Management. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cyber Security, Datenschutz und Compliance zu erfüllen.

Wie wir Ihnen helfen.

Erfahren Sie, warum MetaCompliance der vertrauenswürdige Partner für Security Awareness-Schulungen ist

Spezialisten für Employee Engagement.

Wir ermöglichen es, Mitarbeiter einzubinden und eine Kultur der Cyber Awareness zu schaffen

Automatisierung der Security Awareness

Einfache Automatisierung von Security Awareness-Schulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Die wichtigsten Schritte für ein effektives Data Breach Management

Luke Noonan

Data Breach
Die wichtigsten Schritte für ein effektives Data Breach Management | MetaCompliance

Ein Plan für das Data Breach Management stellt sicher, dass das richtige Personal und die richtigen Verfahren vorhanden sind, um einer Bedrohung wirksam zu begegnen.

Stellen Sie sich die Panik vor, wenn eine massive Datenpanne entdeckt wird, die vielleicht schon seit Monaten andauert. Im Jahr 2017 alarmierte Equifax die Welt über den Diebstahl von mehreren Millionen Datensätzen, die unter seiner Aufsicht standen.

Der Diebstahl wurde durch eine Sicherheitslücke in Apache Struts, einem weit verbreiteten Entwicklungs-Framework, ermöglicht. Equifax wusste von der Schwachstelle, aber der Mitarbeiter, der sie schließen sollte, tat dies nicht. In der Folge kam es zu einer Reihe unglücklicher Ereignisse, darunter das Versagen von Patch-Scannern bei der Suche nach weiteren Sicherheitslücken, die durch mehrere menschliche Versäumnisse noch verschlimmert wurden.

Equifax hat seitdem rund 1,4 Milliarden Dollar für die Verbesserung seiner Sicherheit ausgegeben. Das Unternehmen wurde außerdem vom britischen Information Commissioner’s Office (ICO) zu einer Geldstrafe von einer halben Million GBP verurteilt, und der ehemalige CIO von Equifax wurde zu einer viermonatigen Haftstrafe verurteilt, weil er die Datenschutzverletzung zur persönlichen Bereicherung genutzt hatte. Die Datenpanne bei Equifax war der Stoff, aus dem Unternehmens-Albträume gemacht sind.

Indem wir „eine Meile in den Schuhen eines anderen laufen“, können wir verstehen, wie jeder Teil einer Organisation effektiv mit dem Management von Datenschutzverletzungen umgeht. Durch die Überlegung, wie jede Abteilung dazu beitragen kann, die Kette von Ereignissen, die zu einer Datenschutzverletzung führen, zu deeskalieren, kann die Datenexposition effektiver gehandhabt werden.

Das Wie und Warum von Data Breach Management

Datenschutzverletzungen betreffen jeden in einer Organisation. Umgekehrt kann jeder dazu beitragen, die Auswirkungen einer Datenschutzverletzung zu verhindern oder zu minimieren. Im Folgenden werden die verschiedenen Verantwortlichkeiten von funf Schlüsselbereichen in einer Organisation und die Art der Verantwortlichkeiten bei der Bewältigung einer Datenschutzverletzung erläutert.

1. Das Team für Sicherheitsvorfälle

Das Management und die Prävention von Datenschutzverletzungen sind die Hauptaufgaben des Teams für Sicherheitsvorfälle. Mit der zunehmenden Zahl und Intensität von Datenschutzverletzungen wird dieses Team immer häufiger in Anspruch genommen. Seine Rolle ist von zentraler Bedeutung für die Bewältigung einer Datenschutzverletzung, und das Team ist auf ein solides Verfahren angewiesen, das ihm bei dieser Aufgabe hilft. Das Sicherheitsteam sollte in der Lage sein, auf einen Notfallplan und einen Notfallwiederherstellungsplan zurückzugreifen, um die Verletzung einzudämmen. Diese Pläne helfen bei der Festlegung von Maßnahmen, wenn es zu einer Sicherheitsverletzung kommt.

Typische Schritte zur Eindämmung und Bewältigung von Sicherheitsverletzungen sind:

Bestätigen Sie den Verstoß

Es ist wichtig, zu bestätigen, dass die Sicherheitsverletzung tatsächlich stattgefunden hat und ob sie vertrauliche oder sensible Daten betrifft. Die bei der Analyse der Sicherheitsverletzung gesammelten Daten werden herangezogen, wenn die Sicherheitsverletzung schlimm genug ist, um eine Aufsichtsbehörde zu benachrichtigen. Zu den Informationen, die gesammelt und dokumentiert werden sollten, gehören:

  • Wie die Sicherheitsverletzung entdeckt wurde
  • Wo sie geschah
  • Wer betroffen ist (einschließlich aller Ökosystem-Anbieter)
  • Wer den Verstoß gemeldet hat
  • Das Datum/die Daten der Verstöße
  • Welches Risiko die Verletzung für die Organisation/Kunden usw. darstellt
  • Ob die Sicherheitslücke nun vollständig geschlossen ist

Analyse des Verstoßes

Eine Analyse der Sicherheitsverletzung ist nicht nur aus Gründen der Einhaltung von Vorschriften erforderlich, sondern kann auch dazu beitragen, zukünftige Verstöße zu verhindern. Durch das Verständnis der Ursachen können Maßnahmen ergriffen werden, um ähnliche Sicherheitslücken in der Zukunft zu vermeiden.

Identifizierung des Risikoniveaus der betroffenen Daten: Ein Unternehmen sollte bereits ein Klassifizierungssystem auf der Grundlage einer Norm wie ISO 27001 entwickelt haben. Diese Norm legt vier Datenkategorien fest:

  • Vertraulich (nur leitende Angestellte haben Zugang)
  • Eingeschränkt (die meisten Mitarbeiter haben Zugang)
  • Intern (alle Mitarbeiter haben Zugang)
  • Öffentliche Informationen (jeder hat Zugang)

Eingrenzung und Wiederherstellung

Sobald eine Sicherheitsverletzung entdeckt wurde, ist es wichtig, diese so schnell wie möglich einzudämmen. Die Maßnahmen, die während der Analyse der Sicherheitsverletzung ergriffen werden, ermöglichen die Ausarbeitung einer Strategie zur Eindämmung. Verstöße, die Mitarbeiter betreffen, erfordern möglicherweise eine Überprüfung der Sicherheitsschulung. Bei Verstößen, an denen externe böswillige Hacker beteiligt sind, müssen die Systeme und Abhilfemaßnahmen weiter untersucht werden. Es müssen Wiederherstellungspläne aufgestellt werden, um die Auswirkungen der Sicherheitsverletzung zu minimieren.

2. Recht und Compliance

Die Rechts- und Compliance-Abteilungen verwenden alle gesammelten Belege für die Datenschutzverletzung, um die Folgen der Verletzung zu bewältigen. Die Rechts- und Compliance-Teams entscheiden, ob die Sicherheitsverletzung unter die Meldepflicht fällt; so muss beispielsweise gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) innerhalb von 72 Stunden, nachdem das Unternehmen von der Sicherheitsverletzung Kenntnis erlangt hat, eine Meldung über die Sicherheitsverletzung an die zuständige Datenschutzaufsichtsbehörde erfolgen. Alle vom Sicherheitsteam gesammelten dokumentierten Beweise über die Verletzung, das Wo und Warum und die Art und Weise, wie sie abgemildert wurde, werden in dieser Offenlegung verwendet. Es kann auch erforderlich sein, die Verletzung gegenüber allen Betroffenen offenzulegen. Dies kann ein vollständiges Offenlegungsschreiben erfordern, das auf der Website des Unternehmens veröffentlicht wird. Weitere Informationen zur Meldung von Datenschutzverletzungen in Deutschland finden Sie auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Regeln für die Notifizierung

Entscheidend für den rechtlichen Umgang mit einer Datenschutzverletzung ist eine fundierte Entscheidung darüber, ob und wann die Aufsichtsbehörde über die Verletzung informiert werden soll. Fragen wie die, ob eine Meldepflicht besteht, können nur von qualifizierten, sachkundigen Mitarbeitern entschieden werden. Diese Entscheidung kann es erforderlich machen, dass die Sicherheitsverletzung öffentlich gemacht wird: Dies hat offensichtlich lang anhaltende Auswirkungen auf den Ruf und wird wahrscheinlich die Marketingabteilung einbeziehen, um die Auswirkungen auf die Marke zu minimieren. Hier sind einige Beispiele für öffentliche Mitteilungen über Datenschutzverletzungen:

Die Regeln für die Meldung von Datenschutzverletzungen variieren von Verordnung zu Verordnung. Nach der Allgemeinen Datenschutzverordnung der EU (GDPR) beispielsweise muss die Benachrichtigung über eine Datenschutzverletzung innerhalb von 72 Stunden nach Feststellung der Verletzung erfolgen. Nach der Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation (Privacy and Electronic Communications Regulations, PECR, eine Verordnung, die für Internet- und Telekommunikationsdienstleister gilt) muss eine Verletzung des Schutzes personenbezogener Daten jedoch spätestens 24 Stunden nach der Entdeckung an die ICO gemeldet werden.

3. Das Personal

Indem man die Mitarbeiter in den Prozess des Verstoßmanagements einbezieht, werden sie zu einer wichtigen Ressource bei der Bekämpfung von Cyberangriffen. Personal und Sicherheit decken ein breites Spektrum potenzieller Schwachstellen ab, von der versehentlichen Datenpreisgabe über Phishing bis hin zu geheimen Absprachen mit externen Hackern.

Laut dem Data Breach Investigation Report 2020 (DBIR) von Verizon lassen sich rund 17 % der Datenschutzverletzungen auf einfache Fehler zurückführen. Beispielsweise ist die gemeinsame Nutzung von Passwörtern durch Mitarbeiter oder die Wiederverwendung von Passwörtern für mehrere Anwendungen eine schlechte Sicherheitspraxis.

Phishing ist nach wie vor die bevorzugte Waffe der Cyberkriminellen; Phisher imitieren gerne Marken wie Microsoft, um Benutzer zur Herausgabe von Unternehmensdaten zu verleiten. In Schulungen zum Sicherheitsbewusstsein lernen die Mitarbeiter die vielen positiven Möglichkeiten kennen, mit denen sie zur Aufrechterhaltung einer guten Sicherheitslage des Unternehmens beitragen können.

In Bezug auf das Management von Datenschutzverletzungen muss das Bewusstsein der Mitarbeiter so weit reichen, dass sie ihre Verantwortlichkeiten im Rahmen der verschiedenen Vorschriften verstehen, z. B. dass sie sicherstellen müssen, dass Kundendaten innerhalb der Grenzen von Rechtsvorschriften wie DPA 2018 und GDPR respektiert und verwendet werden. Wenn eine Organisation versteht, wo eine Datenschutzverletzung auftreten könnte, und die Verantwortlichkeiten im Rahmen verschiedener einschlägiger Vorschriften kennt, kann sie ihre Mitarbeiter in den Prozess des Verstoßmanagements einbinden.

Es ist jedoch wichtig, das Personal auf dem entsprechenden Niveau zu schulen. Einige Mitarbeiter, wie z. B. technische Angestellte, benötigen möglicherweise eine spezielle Sicherheitsschulung und/oder müssen sich zertifizieren lassen.

Neu eingestellte Mitarbeiter müssen vom ersten Tag an in die Schulungsprogramme für das Cyber Security Awareness des Unternehmens eingebunden werden. Regelmäßige Überprüfung der Sicherheitsschulung des Personals in Bereichen wie:

  • Phishing
  • Sicherheitshygiene
  • Bewusstsein für die Verantwortung im Bereich der Datensicherheit

…sollten kontinuierlich durchgeführt werden, um wirksam zu bleiben.

Die Schulung des Sicherheitsbewusstseins sollte in die Sicherheitsrichtlinien des Unternehmens als Teil eines Verfahrens zum Umgang mit Datenschutzverletzungen aufgenommen werden.

4. Anbieter von Drittanbietern

Lieferanten-Ökosysteme können komplex sein und vierte und fünfte Parteien einbeziehen. Ein aktueller Bericht von Accenture mit dem Titel „State of Cyber Resilience 2020“ zeigt, dass 40 % der Sicherheitsverletzungen mit indirekten Angriffen auf der Ebene der Lieferkette beginnen. Das Risikomanagement von Lieferanten ist Teil des effektiven Managements von Datenschutzverletzungen. Datenschutzverletzungen durch Lieferanten sind eine zweiseitige Angelegenheit. Neben der Durchführung einer Schwachstellenanalyse der Lieferantenverbindungen zur Eindämmung von Cyberangriffen muss im Falle eines Verstoßes auch das Lieferanten-Ökosystem analysiert werden, um festzustellen, ob sich der Verstoß auf den Lieferanten auswirkt.

5. Der Vorstand

Ein Bericht der britischen Regierung mit dem Titel Cyber Security Breaches Survey 2021 ergab, dass 77 % der Unternehmen der Meinung sind, dass die Cybersicherheit für ihre Direktoren oder leitenden Angestellten eine hohe Priorität hat. Infolge der Bekanntheit von Datenschutzverletzungen sind in immer mehr Aufsichtsräten Sicherheitsexperten vertreten. Wenn es zu einem Datenschutzverstoß kommt, kann ein geschulter Vorstand das restliche Unternehmen bei der Bewältigung des Verstoßes unterstützen, sicherstellen, dass die gesetzlichen Anforderungen erfüllt werden und ein Budget zur Bewältigung des Verstoßes und zur Abwehr weiterer Angriffe zur Verfügung steht.

Wissen die Mitarbeiter, was bei einer Datenpanne zu tun ist?

Die Einführung von Maßnahmen zum Schutz vor Datenschutzverletzungen ist eine Aufgabe für das gesamte Unternehmen. Einer der wichtigsten Aspekte für ein wirksames Management von Datenschutzverletzungen ist die Art und Weise, wie Sie Ihre Mitarbeiter schulen. Relevanz ist der Schlüssel, um sicherzustellen, dass das Management von Datenschutzverletzungen in Ihrem Unternehmen funktioniert. Jede Organisation muss ihren eigenen relevanten und einzigartigen Ansatz für die Meldung und das Management einer Sicherheitsverletzung entwickeln.

Die Optimierung des Bewusstseins beginnt auf der Ebene der Mitarbeiter und Prozesse. Jeder Aspekt, vom kleinsten Detail bis hin zum großen Ganzen, muss gründlich genug sein, um sicherzustellen, dass Ihre Strategie zur Reaktion auf Vorfälle robust und für alle Mitarbeiter verständlich ist. Dies muss Folgendes umfassen:

  • Kommunikation: Von den verwendeten Telefonnummern bis zur E-Mail-Adresse oder jedem anderen System, das zur Meldung eines Verstoßes verwendet wird
  • Rollen und Verantwortlichkeiten: Hervorhebung der zuständigen Vorfallmanager und ihrer Verantwortlichkeiten
  • Maßnahmen: Wer macht was und wann und wie sie ihre Rolle bei der Bewältigung einer Datenschutzverletzung wahrnehmen
  • Wiedergutmachung: Wie die Sicherheitsverletzung behoben wird und welche Lehren daraus gezogen werden, einschließlich einer Aktualisierung der Sicherheitsschulung

In größeren multinationalen Unternehmen müssen diese Kommunikationslinien die gesamte Organisation widerspiegeln und die Abteilungen und Büros des Unternehmens zusammenführen.

Alle müssen sich an diesem Plan beteiligen, von den Mitarbeitern über die Führungskräfte bis hin zu den Vorstandsmitgliedern.

Bewusstsein für Cybersicherheit für Dummies

ANDERE ARTIKEL ZU CYBER SECURITY AWARENESS TRAINING, DIE SIE INTERESSIEREN KÖNNTEN

Unterschied Datenschutz und Informationssicherheit
Data Breach

Unterschied Datenschutz und Informationssicherheit: Erklärung und Gemeinsamkeiten

Erfahren Sie, was Informationssicherheit ist und welche Unterschiede den Datenschutz von der Informationssicherheit abgrenzen. Lesen Sie mehr hier.

Mehr erfahren

Luke Noonan

11. September 2024
unterschiede datenschutz und datensicherheit
Data Breach

Datenschutz und Datensicherheit: Das sind die Unterschiede

Erfahren Sie mehr über die Unterschiede zwischen Datenschutz und Datensicherheit sowie die Bedeutung von BDSG, DS-GVO und KRITIS.

Mehr erfahren

Luke Noonan

11. September 2024
Awareness für Cyber Security für Dummies | MetaCompliance