Was passiert eigentlich genau wenn...
- von Thilo Noack
- •
- 24 Jan., 2019
Es kommt zu einem Datenverlust - was passiert und welche Konsequenzen stehen im Raum
Gleich wie, die Möglichkeiten sind vielfältig. Datenpannen, Datenklau, Hackerangriff usw. - viele Begriffe reissen sich um die möglichst plakative Darstellung des jeweiligen Vorfalls. Ausbleibend dabei sind die Hintergründe, sozusagen das "und dann?"
Damit bleiben auch Fragen unbeantwortet, die sich der genauen Methodik des Angriffes, oder der - nennen wir es Datenpanne - widmen. Jüngstes Beispiel war der medienwirksame "Hackerangriff" eines 20 jährigen Schülers. So tituliert, meint man es wurde Nullen und Einsen gekrümmt um an geheimste Hochsicherheitsinformationen zu gelangen, dabei ist hier die Leichtfertigkeit der Anwender vielmehr in den Fokus zu nehmen, doch kein Wort von Spear Phishing oder notwendiger Sensibilisieren der Massen, ihr Daten nicht mit Passwörter "hallo123" zu schützen oder vermeintliche Anfragen von Absendern gleich mit heiligsten Passwörtern zu beantworten.
Genau darum geht es auch in der Konsequenz des Angriffs. Sind Unternehmen auf der Höhe der Zeit, wenn es um die Angriffe auf deren Infrastrukturen geht? Die meisten Firmen sind gut ausgerüstet. Doch Gut reicht nicht mehr. Gut heisst, den Virenscanner zu haben, die Firewall zu nutzen, ein vermutlich funktionierendes Backup zu haben und die Rechte der Benutzer, Software installieren zu können, eingeschränkt zu haben.
Damit bleiben auch Fragen unbeantwortet, die sich der genauen Methodik des Angriffes, oder der - nennen wir es Datenpanne - widmen. Jüngstes Beispiel war der medienwirksame "Hackerangriff" eines 20 jährigen Schülers. So tituliert, meint man es wurde Nullen und Einsen gekrümmt um an geheimste Hochsicherheitsinformationen zu gelangen, dabei ist hier die Leichtfertigkeit der Anwender vielmehr in den Fokus zu nehmen, doch kein Wort von Spear Phishing oder notwendiger Sensibilisieren der Massen, ihr Daten nicht mit Passwörter "hallo123" zu schützen oder vermeintliche Anfragen von Absendern gleich mit heiligsten Passwörtern zu beantworten.
Genau darum geht es auch in der Konsequenz des Angriffs. Sind Unternehmen auf der Höhe der Zeit, wenn es um die Angriffe auf deren Infrastrukturen geht? Die meisten Firmen sind gut ausgerüstet. Doch Gut reicht nicht mehr. Gut heisst, den Virenscanner zu haben, die Firewall zu nutzen, ein vermutlich funktionierendes Backup zu haben und die Rechte der Benutzer, Software installieren zu können, eingeschränkt zu haben.
Es beginnt also an der Stelle, wo die "Hackerindustrie" leichtes Spiel hat, es werden nicht konsequent Passwörter mit mindestens 10 Zeichen genutzt, Brute Force lässt grüßen, es werden keine Updates auf Switches, Firewall, Routern, Nas, Druckern usw. ausgerollt, die Datensicherung wird nicht vollständig als Desaster-Recovery-Fall geprüft - Wiederanlaufzeiten sind indes unbekannt - und die Aktivität von sich im Netz umschauenden Angreifern wird nicht einmal bemerkt. Verschlüsselung von Geräten als eines der von der DSGVO wörtlich vorgeschriebenen Maßnahmen ist bislang ebenso wenig zu finden, wie Evaluierung von Maßnahmen.
Und dann passiert es: Hackerangriff, Daten sind in jedem Falle hinsichtlich ihrer Integrität und Vertraulichkeit verletzt.
Ziehen wir einen Strich unter den durchschnittlichen Zustand von Unternehmen und den Angriffsfall.
Die dann folgenden Konsequenzen sind:
Und dann passiert es: Hackerangriff, Daten sind in jedem Falle hinsichtlich ihrer Integrität und Vertraulichkeit verletzt.
Ziehen wir einen Strich unter den durchschnittlichen Zustand von Unternehmen und den Angriffsfall.
Die dann folgenden Konsequenzen sind:
zunächst, nach der Legaldefinition des § 276 Absatz 2 BGB das außer Acht lassen der im Verkehr erforderlichen Sorgfalt.
Des weiteren:
Des weiteren:
- Meldepflicht über den Vorfall bei einer Aufsichts-Behörde für Datenschutz des jew. Bundeslandes
- Bußgeld-Risiko bei Unterlassen der Meldung
- Meldepflicht ggü. Betroffenen Personen und Mitarbeitern
- mögliche zivilrechtliche Schadensersatzansprüche geschädigter Personen (DSGVO, BGB)
- gerichtliche Auseinandersetzung zu Haftungsfragen "Gutachter stellt fest: ausser Acht lassen der erforderlichen Sorgfalt = Mitschulds-Risiko"
- staatliches Sanktionieren des Vorfalls durch Bußgeld
Entkommen:
Die "Formel" ist einfach und klar, ausnahmsweise. Setzen Sie die Vorgaben des Artikel 32 der DSGVO um, folgen Sie hinsichtlich Ihrer IT-Sicherheit einem anerkannten Sicherheitsstandard (ISO, BSI-Grundschutz usw..) und sie haben "dem Stand der Technik" entsprochen. Das Ergebnis wird sein, dass der Kern der Sanktionierbarkeit und der Haftung, welche vom Verschulden abhängen, entkräftet werden, Verschulden meint nämlich die subjektive Vorwerfbarkeit der Verwirklichung des Tatbestandes. Diese dürfe damit mindestens offen bleiben.
- Bußgeld-Risiko bei Unterlassen der Meldung
- Meldepflicht ggü. Betroffenen Personen und Mitarbeitern
- mögliche zivilrechtliche Schadensersatzansprüche geschädigter Personen (DSGVO, BGB)
- gerichtliche Auseinandersetzung zu Haftungsfragen "Gutachter stellt fest: ausser Acht lassen der erforderlichen Sorgfalt = Mitschulds-Risiko"
- staatliches Sanktionieren des Vorfalls durch Bußgeld
Entkommen:
Die "Formel" ist einfach und klar, ausnahmsweise. Setzen Sie die Vorgaben des Artikel 32 der DSGVO um, folgen Sie hinsichtlich Ihrer IT-Sicherheit einem anerkannten Sicherheitsstandard (ISO, BSI-Grundschutz usw..) und sie haben "dem Stand der Technik" entsprochen. Das Ergebnis wird sein, dass der Kern der Sanktionierbarkeit und der Haftung, welche vom Verschulden abhängen, entkräftet werden, Verschulden meint nämlich die subjektive Vorwerfbarkeit der Verwirklichung des Tatbestandes. Diese dürfe damit mindestens offen bleiben.
Wie schreibe ich Weihnachtsgrüße nach DSGVO richtig und beachte den Datenschutz
Google Analytics nur nach Einwilligung " Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Derzeit äussern sich gleich mehrere Aufsichtsbehörden in der gleichen Tonart zu dem Thema und es gibt bereits eine 6-stellige Zahl an Seiten, die einer Behörde beschwerdetechnisch vorliegen.
ZDNET ( https://www.zdnet.de/88364323/dsgvo-british-airways-droht-eine-rekordstrafe-von-183-millionen-pfund/
)
DSGVO: British Airways droht eine Rekordstrafe von 183 Millionen Pfund
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Praxis: Einfache Umsetzung von Grundsätzen zeigen Wirkung bei aktuellen behördlichen Prüfungen.
Die Wertschöpfung im Zeitalter nahezu 100%-iger Digitalisierung steht in unmittelbarer Verbindung mit Daten. Ein Großteil dieser Daten sind personenbezogene Daten, bei denen es in erheblichem Maße auf deren Rechtmäßigkeit im Rahmen derer Verarbeitung ankommt. Die Aufgabe von Datenschutzexperten besteht in eben dieser Kontrolle und Prüfung. Aber auch Mitarbeiterdaten sind Teil dieser Verarbeitung und ein ebenso wichtiger Teil eines fundierten Datenschutz-Managements.
Stellen Sie Ihre Daten auf die Probe. Kontrollieren Sie die Datenverarbeitung aus den Augen derer, die Risiken für Ihr Unternehmen bedeuten können:
- sind Betroffenenrechte rechtssicher umgesetzt
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
