Datenschutz Verstehen – Hackerangriff auf Unternehmen
Kurze Einleitung
In Deutschland steigen die Zahlen von verzeichneten Hackerangriffen immer mehr an, dabei werden nur ein Bruchteil der unerwünschten Zugriffe überhaupt von Unternehmen bemerkt. Ein Hackerangriff auf Unternehmen verursacht neben Datenverlusten, Datenschutzverstößen und Imageschäden auch einige Fragen. Da ein Umgang mit Hackerangriff nur bei den wenigsten Unternehmen im Rahmen eines Notfallkonzeptes getestet wird, ist die Unsicherheit sehr groß. Wir möchten Ihnen mit diesem Beitrag einen qualitativen Leitfaden für den Umgang mit einem Hackerangriff in Ihrem Unternehmen bieten.
Hackerangriff auf Unternehmen: Das müssen Sie jetzt tun
Hacker werden gegenüber Unternehmen immer aggressiver und rücksichtsloser. Während es früher eher darum ging Chaos zu verbreiten, richten sich Hackerangriffe heute auf Server großer Unternehmen. Dabei werden besonders sensible Daten gestohlen. Viele Unternehmen unterschätzen die Gefahr dieser Angriffe, weil sie sich durch ihre IT-Abteilung besonders geschützt fühlen. Dies ist aber ein fataler Irrtum. Der größte Beweis liefert der Hackerangriff auf das deutsche Außen- und Verteidigungsministerium im Jahre 2015. Dabei wurden wichtige Daten vom Server der Ministerien gestohlen. Werden Unternehmen Opfer von Hackerangriffen, sind sie verpflichtet folgende datenschutzrechtliche Vorschriften im Sinne der Datenschutz-Grundverordnung (DSGVO) umzusetzen.
Das betroffene Unternehmen muss zunächst einmal sicherstellen, dass die Datenpanne identifiziert und bewertet werden muss. Dabei muss festgehalten werden, welche und wie viele Daten gestohlen worden sind. Außerdem muss festgestellt werden, ob sensible Daten betroffen sind. Des Weiteren sollten Sicherheitssysteme implementiert werden. Diese Sorgen im Falle eines Hackerangriffs dafür, dass die Verfügbarkeit der gestohlenen Daten wiederhergestellt werden kann. Eine besonders wichtige Pflicht besteht nach Art. 33 DSGVO. Hiernach können Unternehmen zur Meldung einer Datenpanne (durch Hackerangriffe) gegenüber der Aufsichtsbehörde verpflichtet werden. Dies ist besonders immer dann der Fall, wenn eine Verletzung zum Schutz von personenbezogener Daten, zu einem Risiko des Rechts und der Freiheit natürlicher Personen führt. Die Meldung muss innerhalb von 72 Stunden erfolgen. Wird diese Pflicht missachtet droht ein Bußgeld aus Art. 83 Abs. 4 lit. a) DSGVO. Unternehmen sind ebenfalls verpflichtet ihre Kunden über den Datenverlust zu informieren. Diese Verpflichtung ergibt sich aus Art. 34 DSGVO. Letztlich sollten technisch-organisatorische Maßnahmen getroffen werden, um sich gegen Hackerangriffe wehren zu können. Typische Maßnahmen sind:
- Einsatz einer aktuellen Firewall- und Antivirensoftware
- Laufende Updates der Systeme
- Nutzung eines Adblockers
- Passwörter für nur einen Account nutzen
- Keinen Login Via Facebook nutzen
- Regelmäßige Updates
- Passwörter nicht weitergeben
Wer haftet bei einem Hackerangriff?
Die aktuelle Rechtslage für die Haftung bei Hackerangriffen ist derzeit noch unklar. In der Praxis werden Unternehmen leider selten zur Rechenschaft gezogen. Viele Kritiker fordern daher verschärfte Sicherheitsmaßnahmen. Um ein Unternehmen zur Verantwortung ziehen zu können, muss diesem mindestens eine Fahrlässigkeit nachgewiesen werden. Nach § 276 Abs. 2 BGB liegt eine Fahrlässigkeit insbesondere dann vor, wenn die im Verkehr erforderliche Sorgfalt außer Acht gelassen wird. Als Beispiel dazu zählen die fehlende Aktualisierung der Sicherheitssysteme oder die Inkaufnahme von Sicherheitslücken seitens des Unternehmens. Aus Art. 32 DSGVO lassen sich IT-Sicherheitspflichten für das Unternehmen ableiten. Wird dieser Pflicht nicht nachgekommen kann dies auch Konsequenzen für den Geschäftsführer haben. Ignoriert dieser die Sicherheitspflichten, muss er auch persönlich haften. Fraglich bleibt allerdings, ob auch Arbeitnehmer haftbar gemacht werden können, wenn diese z.B. Phishing-Mails öffnen. Handelt der Arbeitnehmer vorsätzlich oder grob fahrlässig kann er sich gegenüber seinem Arbeitgeber schadensersatzpflichtig machen. Konkret macht der Arbeitnehmer sich nur schadensersatzpflichtig, wenn er diese Phishing-Mails kannte und seinem Arbeitnehmer bewusst einen Schaden zugefügt hat oder mit dem Umstand eines auftretenden Schadens rechnen konnte.
Kosten bei einem Hackerangriff
Fällt ein Unternehmen einem Hackerangriff zum Opfer, entstehen diverse Problemfelder. Neben den Meldepflichten erleidet das Unternehmen Gewinnausfälle, aufgrund von Ausfallzeiten. Das heißt, dass das Unternehmen ihre Geschäfte weitestgehend solange einstellen müssen, bis alle Sicherheitsmaßnahmen und verlorenen Daten wiederhergestellt worden sind. Erst dann kann das Unternehmen wieder tätig werden. Ein weiterer Kostenfaktor ergibt sich aus der Aufrüstung bestehender Sicherheitsvorkehrungen. Demnach muss der Unternehmer verschärfte Sicherheitsmaßnahmen finanzieren, um einem weiteren eventuellen Hackerangriff zu vermeiden oder den dadurch entstehenden Schaden zu minimieren.
Weitere Schäden nach dem Hackerangriff
Wenn ein Unternehmen erstmals einem Hackerangriff ausgesetzt war, hat es neben den bereits beschriebenen Problemen auch einen erheblichen Imageschaden erlitten. Ein nennenswertes Beispiel ist das Chatportal “Knuddels”. Dabei hat ein Hacker dem Unternehmen Millionen von Nutzerdaten gestohlen. Die Aufsichtsbehörde in Baden-Württemberg verhängte daraufhin ein Bußgeld aufgrund eines Datenschutzverstoßes in Höhe von 20.000 Euro gegen das Unternehmen. Das Bußgeld viel nach Einschätzungen vieler Experten nur deswegen so gering aus, weil “Knuddels” mit den Behörden kooperiert hat. Neben dem erteilten Bußgeld hagelte es jedoch negative Schlagzeilen gegen “Knuddels”. Der Geschäftsführer entschuldigte sich mehrere Male bei den Usern.
Hilft die Cyberversicherung bei Hackerangriffen?
Um gegen Angriffe seitens Hacker geschützt zu sein, greifen viele Unternehmen auf sogenannte “Cyberversicherungen” zurück. Dabei hoffen Betriebe darauf in Zukunft vor Angriffen geschützt zu sein. Dies ist allerdings ein Irrtum. Die Cyberversicherung sichert das Unternehmen nicht technisch ab, sondern nur in finanzieller Form. Kommt ein Unternehmen in eine existenzbedrohliche Situation, greift hier die Cyberversicherung, die diese Gefahr mildert. Dabei legt die Versicherung von Anfang an fest, welche Summe abgesichert werden soll. Zu den typischen Absicherungen gehören unter anderem Folgende Angebote:
- Absicherung von Eigenschäden, die durch kriminelle Handlungen Dritter im Internet entstanden sind
- Ausgleich der Haftpflichtansprüche von Dritten
- Unterstützung bei der Datenwiederherstellung
- Telefonisch rechtliche Beratung bei urheberrechtlichen Fragen
- Finanzielle Unterstützung für eine Sicherheitssoftware
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
