|
Zurück zur Übersicht
24.11.2022Fachbeitrag

Update Datenschutz Nr. 123

Cyberangriffe – Effektive Vorbeugung und richtige Begegnung im Angriffsfall

A. Hintergründe

Mit zunehmender Digitalisierung in Unternehmen häufen sich auch Vorfälle und Angriffe, auf die IT-Infrastruktur von Unternehmen („IT-Sicherheitsvorfall“). Bei Vorfällen dieser Art handelt es sich um Ereignisse, die die Sicherheit von Informationen, also die Vertraulichkeit, Verfügbarkeit sowie die Integrität von Daten beeinträchtigt oder beeinträchtigen können. Nicht selten werden IT-Sicherheitsvorfälle gezielt durch Angreifer herbeigeführt („Cyberangriff“). Für attackierte Unternehmen können Cyberangriffe einschneidende Folgen haben, welche bis zum Ausfall der gesamten IT-Infrastruktur führen und mit existenziellen Einschränkungen in den internen und externen Geschäftsabläufen verbunden sein können. Dies kann auch eine erhebliche Beeinträchtigung der eigenen Reputation am Markt mit sich bringen. Zielt der Cyberangriff auf die Erlangung von Daten ab, bedeutet dies im Falle von personenbezogenen Daten, dass es sich um eine datenschutzrechtlich relevante Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO handelt. Dies führt nach Kenntnisnahme des Vorfalls zu einer unverzüglichen Meldepflicht des Verantwortlichen gegenüber der zuständigen Aufsichtsbehörde, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

B. Aktuelle Fälle von Cyberangriffen

Nachfolgende Fälle von Cyberangriffe sind zuletzt bei bekannten Unternehmen oder öffentlichen Stellen bekannt geworden:

  • Im Oktober 2022 wurde das US-Finanzministerium Ziel eines DDoS-Angriffs durch die russische Hackergruppe Killnet, der jedoch erfolgreich abgewehrt werden konnte.
  • Im September war das Unternehmen FourB S.p.A., ein Vertriebspartner der italienischen Sparte von Vodafone, Ziel einer Cyberattacke. Dabei konnten die Hacker auf einen 310 GB großen Datensatz mit 295.000 Dateien von Vodafone-Kunden, wie Vertragsinformationen, Kontaktdaten sowie Kopien von Ausweisen, zugreifen.
  • Der französische Rüstungskonzern Thales war im November Opfer eines Ransomware-Angriffs. Die Hacker behaupten, dabei nicht nur Daten verschlüsselt, sondern auch abgeschöpft zu haben, und kündigten einen Daten-Leak an.
Cyberangriffe sind, sofern dadurch personenbezogene Daten unbefugt zugänglich gemacht oder offengelegt werden, datenschutzrechtlich relevant. Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (vgl. Art. 33 DSGVO). Im Falle einer verspäteten oder unterbliebenen Meldung drohen Bußgelder (vgl. Art. 83 DSGVO).

Die im Zusammenhang mit Verstößen der Meldepflichten verhängten Bußgelder können ein durchaus beträchtliches Ausmaß annehmen:
 
  • Im Dezember 2020 verhängte der Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Bußgeld in Höhe von 12.000 EUR für ein Unternehmen, welches der Meldepflicht nicht nachkam.
  • Im Juni 2019 verhängte die ungarische Datenschutzbehörde ein Bußgeld in Höhe von 15.462 EUR für die verspätete Meldung (45 Tage nach Vorfall).
  • Im März 2019 verhängte die ungarische Datenschutzbehörde eine Geldbuße in Höhe von 34.375 EUR gegen eine Partei, die nicht über einen Datenschutzvorfall informierte.

C. Verantwortlichkeit

Im Falle einer Verletzung der Meldepflicht nach einem Cyberangriff ist nicht der Datenschutzbeauftragte des Unternehmens Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO). Vielmehr ist die Geschäftsführung des Unternehmens die verantwortliche Stelle, welche die Pflicht zur unverzüglichen Meldung trifft (siehe Urteil des ArbG Heilbronn zum Az. 8 Ca 135/22).

Das Arbeitsgericht Heilbronn führt dazu sinngemäß aus:

"…bei den Pflichten des Datenschutzbeauftragten handelt es sich nicht um weisungsgebundene, sondern um gesetzliche Aufgaben, bei denen der Amtsträger Weisungen nicht unterworfen ist. Ihm (dem Datenschutzbeauftragten) obliegen nach Art. 39 DSGVO vorwiegend Unterrichtungs-, Beratungs- und Überwachungsaufgaben. Verantwortlich für die Umsetzung der Vorgaben der DS-GVO und des diese konkretisierenden und ergänzenden BDSG ist nach Art. 4 Nr. 7 DSGVO demgegenüber die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet…“

Verantwortlich für die Umsetzung des Datenschutzes ist daher der Geschäftsführer bzw. Vorstand, nicht der Datenschutzbeauftragte.

D. Empfohlene Vorbeugungsmaßnahmen

Insbesondere folgende Maßnahmen sind grundsätzlich zu empfehlen, um Unternehmen angemessen vor einem Cyberangriff zu schützen und das Risiko einer erfolgreichen Cyberattacke zu minimieren:

  • Größte Einbruchstelle für Cyberangriffe ist der Mensch selbst. Darum ist die Schulung von Mitarbeitern auf das Thema IT-Sicherheit essentiell, insbesondere: a) Sensibilisierung der Mitarbeiter im Hinblick auf den sicheren Umgang mit E-Mails, Anhängen oder Links, b) Erstellung einer Verhaltensrichtlinie zum Umgang mit Cyberattacken, c) Erstellung von Passwortrichtlinien, deren Einhaltung automatisiert gewährleistet wird, mit besonderen Anforderungen für und an Administratoren,
  • Vor Verwendung einer Software: Durchführung einer Risikoklassifizierung von Systemen, Software und Betriebssystemen und Tracking von Incidents, ggf. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
  • Nach Implementierung der Software regelmäßige Schwachstellenanalyse und im Bedarfsfall Ausmusterung von Systemen, die mit Software und Betriebssystemen arbeiten, die nicht mehr mit aktuellen Sicherheitsupdates versorgt werden (siehe Infoseite von etwa Microsoft),
  • Sicherstellung einer Einspielung von Patches für Hardware und Software unverzüglich nach deren Erscheinen,
  • Implementierung einer gemanagten Antivirenlösung für sämtliche Clients und Server,
  • Einsatz eines dynamisch tagesaktuell befüllten, reputationsbasierten IP-Filters auf der Firewall,
  • Einsatz von rechtlich zulässiger System-Überwachungssoftware zum Aufspüren von auffälligem Verhalten,
  • Aktivierung sämtlicher rechtlich zulässigen Log-Quellen und detaillierte Protokollierung von Systemaktivitäten (hierbei ist in jedem Fall im Vorhinein festzulegen, wie lange die Log-Dateien gespeichert werden),
  • Einsatz von Verschlüsselungstechnik für Speichermedien und Endgeräte (Clients, mobile Geräte),
  • Regelmäßige Datensicherung,
  • Bestellung eines Informationssicherheitsbeauftragten für die Kontrolle ebendieser Präventionsmaßnahmen.

E. Empfohlene Reaktionsmaßnahmen

Die Bewältigung eines Krisenfalls ist stets individuell und Maßnahmen müssen auf die Umstände des Einzelfalls, insbesondere der IT-Infrastruktur vor Ort, die Art des Angriffs und die Zielsetzung angepasst werden.

Das Bundesamt für Sicherheit in der Informationstechnik („BSI“) stellt eine nicht abschließende Broschüre mit TOP12-Maßnahmen bereit, die im Krisenfalle angewendet werden können, hiernach gilt insbesondere:

  • Handelt es sich tatsächlich um einen Cyberangriff oder lediglich um einen technischen Defekt?
  • Haben Sie kontinuierlich Ihre Maßnahmen protokolliert?
  • Haben Sie alle relevanten Personen und Verantwortlichen informiert?
  • Wurden System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
  • Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden?
  • Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt?
  • Wurde das gesamte Ausmaß des Angriffs untersucht? 
  • Wurden die beim Cyber-Angriff ausgenutzten Schwachstellen in Systemen oder sonstigen Prozessen durch relevante Maßnahmen adressiert und behoben?
  • Wurden die Ermittlungsbehörden benachrichtigt, also Strafanzeige gestellt?
  • Wird das Netzwerk nach dem Vorfall weiter überwacht, um mögliche erneute Anomalien festzustellen?
  • Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?
  • Was ist zukünftig zu verändern, um Cyberangriffe vorzubeugen?
  • Ergänzend: Wurde der Datenschutzvorfall nach Art. 33 DSGVO innerhalb von 72 Stunden ab Kenntnis an die Datenschutzbehörde und ggf. nach Art. 34 DSGVO an alle Betroffenen gemeldet?

F. Fazit

Es ist notwendig, einerseits präventiv das Risiko eines Cyberangriffs zu minimieren und andererseits präventive Maßnahmen für den Eintritt eines Cyberangriffs vorzubereiten. Die konkrete Ausgestaltung von Maßnahmen sowohl zur Prävention als auch zur Nachsorge hängt im Wesentlichen von den Einzelumständen eines jeden Unternehmens ab. Für die rechtskonforme Prävention und Reaktion haben wir ein Beratungspaket entwickelt, welches hier beschrieben wird. Eine ausführliche Übersicht zum IT-Sicherheitsrecht in Deutschland finden Sie unter diesem Link zum Download bei Legal 500. Unser Beratungsangebot zum Thema Cybersecurity finden Sie hier auf unserer Website.

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.