© kzenon, 123RF
Unternehmen, die einem Einbruch in ihre IT-Systeme zum Opfer gefallen sind, müssen anschließend einigen Pflichten der deutschen Datenschutzgesetzgebung genügen. Ein Überblick zu den juristischen Vorgaben und Tipps zur Aufarbeitung.
Gelingt es einem Angreifer, in die IT-Systeme eines Unternehmens einzudringen und Daten abzugreifen oder zu manipulieren, ist das nicht allein ein Schaden für das betroffene Unternehmen. Je nach Art der vom Angriff betroffenen Daten sieht der deutsche Gesetzgeber auch die Rechte Dritter in Gefahr. Der Umgang mit personenbezogenen Daten ist in Deutschland über eine Reihe von Vorschriften, etwa das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze und auch die noch junge Europäische Datenschutzgrundverordnung, geregelt.
Und die Geschäftsführungen von Unternehmen sind zur angemessenen Sorgfalt verpflichtet, dazu zählen auch Sicherheitsmaßnahmen. Das in Deutschland geltende Gesetz zur Kontrolle und Transparenz im Unternehmensbereich [1], das Gesetz betreffend die Gesellschaften mit beschränkter Haftung [2] oder das Aktiengesetz [3] verpflichten die Geschäftsführung zu Maßnahmen, die die Informationssicherheit gewährleisten sollen.
Sicherheitsrelevant
Zum Kreis von Unternehmen, die zu einer Meldung von Angriffen auf die IT-Systeme verpflichtet sind, zählen Betreiber sicherheitsrelevanter Infrastrukturen. Der Gesetzgeber rechnet dazu etwa Telekommunikationsanbieter und Energieversorger. Wer als Unternehmen in diesen Bereich fällt, muss Mindeststandards bei der IT-Sicherheit einhalten und Angriffe an die Behörden, etwa die Bundesnetzagentur, melden. Die Meldepflichten sind im IT-Sicherheitsgesetz [4] festgelegt.
DSGVO
Mit der Europäischen Datenschutzgrundverordnung (DSGVO, [5]) rücken weitere Unternehmen in eine mögliche Meldepflicht. Uwe K. Schneider, Fachanwalt für IT-Recht und Mitglied der Working Group Recht von der Open Source Business Alliance (OSBA, [6]) gibt einen Überblick des Ablaufs.
Die erste Maßnahme bei einem Einbruch ist nicht das Melden. Schneider: “Sind personenbezogene Daten von einem Einbruch betroffen, ist ein Einbruch – wenn er noch andauert – präventiv so schnell wie möglich zu beenden. Gegebenenfalls müssen dafür auch Systeme vom Netz genommen werden, um das Risiko einer noch größeren Offenlegung personenbezogener Daten zu verhindern, selbst wenn dies einen empfindlichen Umsatzausfall mit sich bringen würde.” In diesem Zusammenhang erinnert der Experte daran, dass zu den personenbezogen Daten bereits E-Mail-Adressen von Kunden zählen.
Melden oder nicht?
Zudem müsse der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, Meldung an die zuständige Datenschutz-Aufsichtsbehörde gemäß Artikel 33 Absatz 1 Datenschutzgrundverordnung machen, erinnert Schneider. Ausnahmen zu dieser Meldepflicht gibt es auch,: “Die Meldepflicht gilt lediglich dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.”
Dieses Risiko auszuschließen sei kaum möglich, wenn ein Abfluss personenbezogener Daten stattgefunden habe, so der Anwalt. Eine Ausnahme von der Meldepflicht könnte es geben, wenn es anhand von Logfiles sehr wahrscheinlich sei, dass Daten durch einen Erpressungs-Trojaner lediglich verschlüsselt und nicht abgesaugt wurden.
Kunden informieren
In besonders schweren Fällen muss nach Artikel 34 der Datenschutzgrundverordnung der Verantwortliche auch die betroffenen Personen (Kunden und Endkunden) benachrichtigen. Dies gilt laut Schneider gerade dann, wenn der oben beschriebene Fall eintritt und ein hohes Risiko für die persönlichen Rechte und Freiheiten besteht. Ob ein solches Risiko bestehe, lasse sich mit der Aufsichtsbehörde erörtern, so Schneider.
Unabdingbar erscheine eine solche Benachrichtigung aber, wenn etwa Kreditkartendaten abhandengekommen seien und damit die Gefahr unberechtigter Abbuchungen bestehe. Die vom Datenklau betroffenen Endkunden müssten in diesem Fall den Abbuchungen widersprechen, so Schneider, und es sei nötig, sie zur sorgfältigen Kontrolle ihrer entsprechenden Abrechnungen aufzufordern.
Workflow
Der Workflow für Meldungen an die Aufsichtsbehörden variiert. “Wenn einem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen, der dies gegebenenfalls weiter zur Aufsichtsbehörde eskalieren muss”, sagt Schneider. Auftragsverarbeiter sind etwa Hoster, Verantwortliche die Kunden des Hosters.
Der Verantwortliche müsse überdies Verletzungen des Schutzes personenbezogener Daten und alle damit im Zusammenhang stehende Fakten dokumentieren (Abbildung 1). Dazu zählt der Experte auch Auswirkungen des Einbruchs und die Auflistung der Abhilfemaßnahmen. Diese Dokumentation sei gegebenenfalls der Aufsichtsbehörde vorzulegen.
Abbildung 1: Die Dokumentation des Einbruchs ist notwendig. Quelle: Katarzyna Biaasiewicz, 123-RF
Schadenersatz
All diese Maßnahmen des Datenschutzes kosten natürlich Geld. Auch ohne die Berührung personenbezogener Daten, kann es aufwändig sein, einen Angriff nachzuvollziehen, eingebrachte Malware zu beseitigen, IT-Systeme nach einem Angriff neu aufzusetzen oder sonstige Tätigkeiten. Hierfür kann man vom Angreifer zwar Schadenersatz verlangen. Das Problem besteht meist aber darin, dass man den nicht kennt oder seiner nicht habhaft wird.
Grundsätzlich könne man sich aber Polizei und Staatsanwaltschaft zu Verbündeten machen, denn ein Angriff auf IT-Systeme erfüllt regelmäßig auch Straftatbestände, so Schneider. So zum Beispiel das Ausspähen von Daten (§ 202a StGB), die rechtswidrige Datenveränderung (§ 303a StGB) oder der Computerbetrug (§ 263a StGB).
Bei den meisten Landeskriminalämtern gäbe es hierfür inzwischen zentrale Ansprechstellen für Cybercrime für Unternehmen und Behörden, die mit spezialisierten Kriminaltechnikern besetzt sind. Auch bei Staatsanwaltschaften seien zunehmend Zentralstellen für Cybercrime mit spezialisierten Juristen eingerichtet. Durch diese zunehmende Spezialisierung im Bereich der Strafverfolgung gerate man kaum noch an Beamte, denen der Bereich Cybercrime mit seinen technischen und rechtlichen Fragen wenig bekannt sei.
Gleichwohl führe die Spur eines Angriffs meist nur zu einer IP-Adresse, die auch mit Methoden der Strafverfolgungsbehörden nicht zuverlässig einer bestimmten Person zuzuordnen sei, die man umfassend verantwortlich machen könnte. Oft werden auch Anschlüsse unbeteiligter Personen für Angriffe missbraucht, erläutert Schneider. Und die bloße Haftung als Anschlussinhaber oder Störer reiche meist nicht aus, um umfassendere Schäden ersetzt zu bekommen.
Kostenfragen
Gleichwohl könne sich eine Kontaktaufnahme zu den zentralen Ansprechstellen für Cybercrime lohnen, da man hier durchaus wertvolle Tipps zum Umgang mit einem Angriff bekommen könne. Umgekehrt profitiere davon auch die Polizei, die damit einen Überblick über die Gefährdungslage bekomme, der dann wiederum für andere (potenziellen) Opfern hilfreich sein könne.
Wem die Polizei jedoch nicht dazu rate, sollte es sich gut überlegen, ob er sich und den Staatsanwaltschaften die Mühe und Kosten eines Strafverfahrens durch Stellung eines Strafantrags auferlegen wolle, so Schneider. Bei einer guten Spurenlage und ausreichenden Verdachtsmomenten, auch außerhalb der IT-Forensik, sollten die Geschädigten dies jedoch in Erwägung ziehen.
Zu den Verdachtsmomenten außerhalb der reinen Forensik könne auch zählen, wenn der größte Konkurrent nach einem IT-Angriff unvermittelt ein sehr ähnliches Produkte wie der Angegriffene auf den Markt bringt.
Infos
-
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich: https://de.wikipedia.org/wiki/Gesetz_zur_Kontrolle_und_Transparenz_im_Unternehmensbereich
-
GmbH-Gesetz:https://dejure.org/gesetze/GmbHG
-
Aktien-Gesetz: https://dejure.org/gesetze/AktG
-
IT-Sicherheitsgesetz: https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/it_sig_node.html
-
OSBA: https://osb-alliance.de
