Hilfe, wir wurden gehackt! Wie Sie auf eine Datenpanne richtig reagieren

E-Commerce 31. März 2017
Hilfe, wir wurden gehackt! Was tun?
© pairhandmade / fotolia.com
Mit Hackerangriffen ist nicht zu spaßen. Vor allem nicht, wenn bei der Attacke sensible Daten von Kunden oder Mitarbeitern entwendet wurden. Hier erfahren Sie, wie Unternehmen auf eine Datenpanne reagieren müssen.

Die Ausgangssituation stellt sich häufig wie folgt dar: Die IT-Abteilung stellt eine Datenpanne fest und meldet sich telefonisch beim Datenschutzbeauftragten und / oder dem IT-Sicherheitsbeauftragten. Es wird gemeldet, dass es Dritten gelungen ist, die Firewalls des Unternehmensnetzes zu überwinden und in die Kundendatenbank oder ins Buchhaltungssystem einzudringen. Es bestehe die Gefahr, dass Daten aus den Datenbanken durch den Dritten kopiert und entwendet wurden.

Datenpanne: Was ist jetzt zu tun?

Folgende Schritte sollten unbedingt angegangen werden:

  1. Kurzfristige Information und Beratung des unternehmensinternen Krisenteams (zumeist bestehend aus dem Leiter der IT-Abteilung, dem IT-Sicherheitsbeauftragten, dem Datenschutzbeauftragten)
  2. Beschreibung des Problems und zügige Aufklärung des Sachverhalts (Was ist konkret geschehen? Welche Systeme wurden gehackt? Ob und welche Daten wurden entwendet?)
  3. Klärung, welche Risiken für die Kunden, die Mitarbeiter und das Unternehmen bestehen.
  4. Klärung, ob es rechtliche Vorgaben gibt, die das Unternehmen zu erfüllen hat?
  5. Information der Geschäftsleitung über den Vorfall mit gleichzeitiger Unterbreitung eines Vorschlags zum weiteren Vorgehen.

Um den tatsächlich bestehenden rechtlichen Meldepflichten gemäß § 42a StGB ordnungsgemäß nachzukommen, ist zu klären, ob personenbezogene Daten von der Datenpanne betroffen sind. Liegt das vor, ist es so, dass nicht öffentliche Stellen - sprich Unternehmen - bestimmte Vorfälle den Datenschutzbehörden zu melden haben.

Wann muss die Datenpanne gemeldet werden?

Sie haben in Ihren Systemen Daten gespeichert, die besonders sensibel sind. Dabei handelt es sich um die sogenannten besonders schützenswerten Daten. Dazu gehören:

  • Gesundheitsdaten, Gewerkschaftszugehörigkeit, Religionszugehörigkeit der eigenen Mitarbeiter
  • Daten, die einem Berufsgeheimnis unterliegen, d. h. Mandantendaten der Rechtsanwaltskanzlei, Gesundheitsdaten, die der Betriebsarzt gespeichert hat.
  • Daten, die auf Straftaten oder Ordnungswidrigkeiten hindeuten
  • Daten von Bank- und Kreditkartenkonten

Diese Daten sind an einen Dritten übermittelt worden oder auf anderem Wege an einen Dritten gelangt. Es reicht dabei die grundsätzliche Möglichkeit der Kenntnisnahme durch den Dritten aus.

Beispielsfälle:

  • Gesundheitsdaten wurden per E-Mail an falsche Empfänger gesendet.
  • Hacker haben Zugriff auf die Mitarbeiterdaten erhalten
  • Ein USB-Stick ist auf dem Transport verloren gegangen.
  • Bank- und Kreditkartenangaben wurden vom Rechner entwendet.

Ihre Aufgabe ist es nun genau abzuwägen, ob den Betroffenen (Mitarbeiter, Kunden, Dienstleister), deren Daten entwendet wurden, schwerwiegende Beeinträchtigungen drohen.

Es stellen sich die Fragen: Was kann derjenige, der die Daten gehackt hat, mit diesen Daten anfangen? Welchen Schaden kann er anrichten?

  • Entwendete Kontendaten ermöglichen z. B. einen Kreditkartenbetrug und damit könnte ein finanzieller Schaden Ihrer Kunden hervorgerufen werden.
  • Gesundheitsdaten könnten veröffentlicht werden und Ihren betroffenen Mitarbeitern droht eine erhebliche Verletzung ihrer persönlichen Interessen und Rechte.

Kommen Sie zu dem Schluss, dass ein nicht unerheblicher Schaden für Ihre Kunden oder Mitarbeiter eintritt, haben Sie die zuständige Datenschutzbehörde und auch die betroffenen Personen selbst zu informieren.

Die Aufsichtsbehörde informieren Sie über den Sachverhalt, die gewählten Sicherheitsmaßnahmen und mögliche Auswirkungen. Gleichermaßen können Sie die Datenschutzaufsichtsbehörden auch zurate ziehen bzgl. der Meldung und Information der Betroffenen.

Die Betroffenen sind ebenfalls konkret zu informieren. Das können Sie per Email oder Brief vornehmen. Dem Betroffenen sind konkrete Vorschläge zum Selbstschutz zu geben, z.B. Kontrolle der eigenen Kontodaten und Kontobewegungen, um im Zweifel das Konto sperren zu können und weitere Lastschriften zu stoppen.

Wie kann eine große Gruppe von Betroffenen informiert werden?

Was ist aber, wenn eine Vielzahl von Fällen gegeben ist und die Information der einzelnen Betroffenen per Brief einen erheblichen Aufwand darstellt? Dann dürfen Sie die Information über die Tageszeitung wählen. Das Internet als Informationsplattform, z. B. die Homepage des Unternehmens, bietet sich dann an, wenn davon auszugehen ist, dass der betroffene Kreis diese Informationsquelle zum überwiegenden Teil auch nutzt.

Ist die Nichtmeldung einer Datenpanne strafbar?

Übrigens: Die Nichtmeldung eines solchen Falles an die Datenschutzbehörden oder die unterlassene Unterrichtung der Betroffenen erfüllt den datenschutzrechtlichen Bußgeldtatbestand. § 43 Abs. 2 Nr. BDSG sieht ein Bußgeld von bis zu 300.000 EUR vor.

Neben der Informationspflicht gegenüber der Datenschutzbehörde und Betroffenen können die Strafermittlungsbehörden hinzugezogen werden. Wenn sogar die Gefahr besteht, dass eine Information der Betroffenen bzw. eine Veröffentlichung der Datenpanne in der Zeitung z. B. Nachahmer hervorrufen könnte oder die Ermittlung gegen den Täter erschwert werden, ist von einer Meldung sinnvollerweise zunächst abzusehen. Das sollte mit Rücksprache der Ermittlungsbehörden geschehen.

Schlussendlich ist zu überlegen, ob der Vorfall den Strafverfolgungsbehörden offiziell gemeldet werden soll. Der Straftatbestand des Ausspähens von Daten (§ 202 a StGB) könnte durch einen Hackerangriff von außen erfüllt sein. Es handelt sich beim Ausspähen von Daten um ein sogenanntes Antragsdelikt, sodass grundsätzlich nur auf Antrag der verantwortlichen Stelle der Tatverdacht verfolgt wird. Liegt allerdings ein öffentliches Interesse vor, werden die Ermittlungsbehörden eigeninitiativ tätig.

Für den Ernstfall vorbereitet sein

Was können Sie unternehmen, um derartige Vorfälle zu verhindern bzw. um schnell und effizient handeln zu können, wenn dennoch eine solche Datenpanne bei Ihnen im Unternehmen eintritt?

  • Ausreichende technische Sicherheitsmaßnahmen ergreifen, die dem aktuellen Stand der Technik entsprechen (Bsp.: Firewalls, Festplattenverschlüsselung, Email-Versand mit Verschlüsselungstechnik).
  • Betrieblich-organisatorische Sicherheitsmaßnahmen ergreifen (Gebäudesicherheit, Schulung der Mitarbeiter, Arbeitsanweisungen).
  • Einrichtung eines Krisenteams, dass sich regelmäßig trifft und Sicherheitsmaßnahmen bespricht und umsetzt.
  • Notfall- und Ablaufplan, der beschreibt, wer wie im Falle einer Datenpanne zu informieren ist.
  • Veröffentlichung des Notfall- und Ablaufplans, damit alle Mitarbeiter informiert sind.
  • Schaffung eines regelmäßigen Kontrollsystems, um Sicherheitslecks frühzeitig aufdecken zu können.