Was tun beim Hacker-Angriff?

Trotz Sicherheitsvorkehrungen ist es jemandem gelungen sensible Daten von Kunden oder Mitarbeitern zu stehlen. Mit so einem Hacker-Angriff ist nicht zu spaßen und schnell stellt sich die Frage: Wie reagiert man am besten auf eine Datenpanne?
Göttingen, 24.04.2017 – Stellt die IT-Abteilung eines Unternehmens fest, dass eine Datenpanne vorliegt, wird sie mit dem Datenschutzbeauftragten und/oder beim IT-Sicherheitsbeauftragten Kontakt aufnehmen. Beispielsweise ist es Dritten gelungen die Firewall des Unternehmensnetzes zu überwinden und Zugriff auf die Kundendatenbank oder das Buchhaltungssystem zu erlangen. Es besteht nun die Gefahr, dass die Daten kopiert und entwendet wurden.
Sollte eine Datenpanne eintreten, dann sollten folgende Schritte umgehend angegangen werden:
  1. Das unternehmensinterne Krisenteam (bestehend aus dem Leiter der IT-Abteilung, dem IT-Sicherheitsbeauftragten, dem Datenschutzbeauftragten) muss kurzfristig informiert werden und sich beraten.
  2. Problembeschreibung und zügige Klärung des Sachverhalts. (Was ist geschehen? Welche Systeme sind betroffen? Welche Daten wurden gestohlen?)
  3. Klären, welche Risiken für Kunden, Mitarbeiter und das Unternehmen dadurch entstanden sind.
  4. Muss das Unternehmen rechtliche Vorgaben erfüllen?
  5. Die Geschäftsleitung muss informiert werden und gleichzeitig einen Vorschlag zum weiteren Vorgehen unterbreitet bekommen.

Ob tatsächlich eine rechtliche Meldepflicht gemäß § 42a StGB besteht und dieser nachzukommen ist, entscheidet, ob personenbezogene Daten betroffen sind. Ist dies der Fall, müssen nicht öffentliche Stellen, also Unternehmen, bestimmte Vorfälle den Datenschutzbehörden melden.

Wann muss ein Hacker-Angriff gemeldet werden?

Sind im System besonders sensible und schützenswerte Daten gespeichert, muss eine Datenpanne den Datenschutzbehörden mitgeteilt werden. Zu den Daten gehören:

  • Gesundheitsdaten, Gewerkschaftszugehörigkeit, Religionszugehörigkeit der eigenen Mitarbeiter
  • Daten, die einem Berufsgeheimnis unterliegen, d. h. Mandantendaten der Rechtsanwaltskanzlei, Gesundheitsdaten, die der Betriebsarzt gespeichert hat.
  • Daten, die auf Straftaten oder Ordnungswidrigkeiten hindeuten
  • Daten von Bank- und Kreditkartenkonten

Diese Daten müssen nicht einmal kopiert und entwendet werden, damit eine Meldung erfolgen muss. Es reicht schon aus, dass die Daten durch einen Dritten gesehen werden konnten.

Folgende Fälle könnten beispielsweise eintreten:

  • Gesundheitsdaten wurden per E-Mail an falsche Empfänger gesendet.
  • Hacker haben Zugriff auf die Mitarbeiterdaten erhalten
  • Ein USB-Stick ist auf dem Transport verloren gegangen.
  • Bank- und Kreditkartenangaben wurden vom Rechner entwendet.

Nun folgt die genaue Abwägung, ob den Betroffenen (Mitarbeiter, Kunden, Dienstleister) schwerwiegende Beeinträchtigungen drohen.
Stellen Sie deswegen die Fragen: Was kann derjenige mit den Daten anfangen? Und welchen Schaden kann er anrichten?

Wird die Aufsichtsbehörde informiert, werden die gewählten Sicherheitsmaßnahmen und mögliche Auswirkungen dargestellt. Außerdem kann die Datenschutzaufsichtsbehörde um Rat gefragt werden bezüglich der Meldung und Information der Betroffenen.

Denn die Betroffenen sind ebenfalls schnell und konkret zu informieren – dies kann per eMail oder Brief geschehen. Dabei reicht nicht die einfache Information, dass Daten entwendet wurden, sondern es müssen auch gleichzeitig Vorschläge zum Selbstschutz gegeben werden.

Sollten so viele Personen vom Datenklau betroffen sein, dass das Informieren per Brief oder eMail ein erheblicher Aufwand wäre, darf auch über eine Tageszeitung informiert werden. Die Unternehmenshomepage ist dagegen kein guter Kanal, da diese nicht unbedingt von allen Betroffenen regelmäßig aufgerufen wird.

Bei Nichtmeldung droht ein Bußgeld

Wer einen Hacker-Angriff nicht bei den Datenschutzbehörden meldet oder die Betroffenen nicht informiert, erfüllt den datenschutzrechtlichen Bußgeldbestand. Demnach sieht § 43 Abs. 2 Nr. BDSG ein Bußgeld von bis zu 300.000 Euro vor.

Der Datenklau kann außerdem zusätzlich den Strafermittlungsbehörden mitgeteilt werden, falls beispielsweise die Gefahr besteht, dass die öffentliche Informierung der Betroffenen zu Nachahmern führen bzw. die Täterermittlung erschweren könnte.

Die Ermittlungsbehörden werden nur dann eigeninitiativ tätig, wenn ein öffentliches Interesse vorliegt. Ansonsten wird nur dann der Tatverdacht verfolgt, wenn ein Antrag gestellt wurde.

Gute Vorbereitung für den Ernstfall

Folgende Sicherheitsmaßnahmen helfen, um einen Hacker-Angriff vorzubeugen bzw. schnell und effizient zu reagieren, falls es dennoch zu einer Datenpanne im Unternehmen kommt:

  • Ausreichende technische Sicherheitsmaßnahmen ergreifen, die dem aktuellen Stand der Technik entsprechen (Bsp.: Firewalls, Festplattenverschlüsselung, Email-Versand mit Verschlüsselungstechnik).
  • Betrieblich-organisatorische Sicherheitsmaßnahmen ergreifen (Gebäudesicherheit, Schulung der Mitarbeiter, Arbeitsanweisungen).
  • Einrichtung eines Krisenteams, dass sich regelmäßig trifft und Sicherheitsmaßnahmen bespricht und umsetzt.
  • Notfall- und Ablaufplan, der beschreibt, wer wie im Falle einer Datenpanne zu informieren ist.
  • Veröffentlichung des Notfall- und Ablaufplans, damit alle Mitarbeiter informiert sind.
  • Schaffung eines regelmäßigen Kontrollsystems, um Sicherheitslecks frühzeitig aufdecken zu können.