Cyberattacken: Was tun, wenn die Daten weg sind?

Was tun, wenn die Daten weg sind?

Heartbleed zeigt die Wichtigkeit der richtigen Vorgehensweise bei einem Datenvorfall

Keyfacts über Datenschutz

  • Cyberangriffe schaden der Reputation
  • Schnelles Handel ist wichtig
  • Information der Behörden ist Pflicht
Zusammenfassung lesen

Die Heartbleed-Sicherheitslücke zeigt eindrucksvoll, dass die Entschlüsselung von geschützten Daten oft nur eine Frage der Zeit ist. Sind die Daten einmal weg, müssen die Betroffenen handeln, und zwar schnell.

Cyberangriffe bringen Unternehmen oft in eine Ausnahmesituation. Innerhalb weniger Stunden ist unter Beteiligung vieler Fachbereiche und externer Berater eine Vielzahl an Entscheidungen zu treffen. Diese beziehen sich ebenso auf die Eindämmung der Cyberattacke und der Schadensbegrenzung, wie auch auf die Gewährleistung IT-forensischer Beweissicherung und die Information von Behörden und Betroffenen.

Wurden personenbezogene Daten gestohlen, muss sich ein Unternehmen um die gesetzliche Benachrichtigungspflicht aus dem Bundesdatenschutzgesetz kümmern. Je nach Branche kommen noch zusätzliche Pflichten dazu: Telekommunikationsunternehmen oder Betreiber von Energieversorgungsnetzen müssen beispielsweise die Bundesnetzagentur unterrichten.
Nebenbei soll natürlich auch die Ursache für den Vorfall gefunden werden, um die Lücke für die Zukunft zu schließen. Durch zielgerichtete in- und externe Krisenkommunikation soll der Reputationsschaden für das Unternehmen so gering wie möglich gehalten werden.

Dass es sich dabei um mehr als nur eine lästige Formalie handelt, zeigt das Beispiel eines Krankenhauses: Es musste in überregionalen Tageszeitungen mit halbseitigen Anzeigen „werben“. Nicht mit den exzellenten medizinischen Fähigkeiten des Hauses, sondern mit dem Eingeständnis, dass sensible Patientendaten abhandengekommen sind und Hinweisen, was dies für betroffene Patienten bedeuten mag. Der Reputations-Super-Gau für diese Klinik!

Für Unternehmen ist die Meldeentscheidung eine Gratwanderung

Jede zu breit gestreute Information über die Cyberattacke vergrößert den Reputationsverlust – oft tritt dadurch ein noch größerer Schaden ein. Auf der anderen Seite ist eine zu Unrecht unterlassene Information z.B. nach Datenschutzvorfällen mit Bußgeldern bis zu 300.000 Euro je Fall bewährt.
Zu allem Überfluss hat die Benachrichtigung auch noch „unverzüglich“ zu erfolgen. Viel Zeit zum Entscheiden bleibt also nicht. Die Frage, wann, wer und wie zu informieren ist, stellt Unternehmen in der Praxis vor schwierige Entscheidungen. Denn die gesetzliche Regelung mag klarer klingen, als sie es im konkreten Anwendungsfall tatsächlich ist. Sie sieht eine Benachrichtigungspflicht für sensible personenbezogene Daten vor, also insbesondere bei Verlust von Gesundheitsdaten oder Kundendaten, denen Bank- oder Kreditkartendaten zugeordnet sind.
Wirksam verschlüsselte Daten müssen an sich nicht gemeldet werden: Der Verlust von Daten setzt voraus, dass der Dritte diese Daten auch lesen und nutzen kann. Bei verschlüsselten Daten besteht allerdings dann eine Informationspflicht, wenn durch den Cyberangriff die Daten endgültig verloren gegangen sind und bei den betroffenen Kunden Nachteile eintreten können, etwa weil die Patientenhistorie unwiederbringlich verloren ist.

300 Tsd.

Euro Bußgelder können bei zu Unrecht unterlassener Information je Fall drohen.

Die Entschlüsselung von geschützten Daten ist nur eine Frage der Zeit

Mit der richtigen Technik ist es einem Angreifer möglich, Informationen von einem Server zu erlangen, um damit bereits vorher aufgezeichnete oder gestohlene Daten im Nachhinein – vielleicht auch erst Jahre später – zu entschlüsseln.
Einen praktischen Leitfaden zu diesen Fragen hat nun die Art. 29 Gruppe, der Zusammenschluss der nationalen und der europäischen Aufsichtsbehörden für den Datenschutz, vorgelegt. Anhand von sieben Fällen und weiteren Beispielen erläutert das Gremium, ob und wie im Falle des Datenverlustes die Betroffenen und die Aufsichtsbehörden zu informieren sind.
Gleichzeitig zeigen die Beispiele, wie eine Benachrichtigungsverpflichtung hätte vermieden werden können. Ein sinnvoller Leitfaden, nicht nur für die Reaktion auf Cyberattacken bzw. Datenschutzverstöße, sondern auch für die Ergreifung präventiver Maßnahmen, um im Falle des Falles gerüstet zu sein.

08. Mai 2014
Zusammengefasst

»Mit der richtigen Technik können gestohlene Daten noch Jahre später entschlüsselt werden.«

Die Heartbleed-Sicherheitslücke zeigt, wie angreifbar unsere Daten sind. Dabei ist in Ausnahmesituationen Schnelligkeit gefragt. Neben Schadensbegrenzung und Krisenmanagement droht dem Unternehmen nach einem Cyberangriff auch ein Rufschaden. Behörden und Betroffene müssen informiert werden, nur fehlt dazu eine klare gesetzliche Vorgabe. Je weiter die Information darüber reicht, desto größer der Reputationsverlust. Wird diese Pflicht jedoch nicht angemessen erfüllt, drohen hohe Bußgelder.  

Alexander Geschonneck Partner, Forensic
Ganzen Artikel lesen

Kommentare

Sind die Richtlinien zur Meldepflicht in Datenverstößen streng genug?

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen