3. Dezember 2009 - Datenverlust vermeiden

Datenpanne – und jetzt?

Datenpannen finden nicht nur in den Medien statt. Auch Ihr Unternehmen könnte eine Datenpanne verursachen. Selbst wenn scheinbar alles getan wird, um eine Datenpanne zu verhindern, sollten Sie einen Notfallplan empfehlen, der die Maßnahmen nach einer Datenpanne genau beschreibt. Dazu gehören nicht nur die möglichen Informationspflichten nach § 42a BDSG.

datenpanne-und-jetzt.jpeg
Jedes Unternehmen sollte für den Ernstfall einer Datenpanne einen Notfallplan haben (Bild: Thinkstock)

Ob Sie die Abendnachrichten im Fernsehen anschalten, Ihre Tageszeitung aufschlagen, Ihre E-Mail-Newsletter lesen oder Ihre bevorzugten Online-Portale aufsuchen, überall begegnen Ihnen in den letzten Monaten Datenpannen.

Datenpannen und kein Ende?

Notebooks und USB-Sticks gehen verloren und waren nicht verschlüsselt, vertrauliche Patientendaten landen im Müllcontainer, und Kreditkartendaten werden von heimtückischen Datendieben missbraucht.

Ist Ihr Unternehmen für den Ernstfall vorbereitet?

Als Datenschutzbeauftragter berichten Sie vielleicht bereits über diese aktuellen Fälle in Ihren Datenschutz-Schulungen. Aber ist Ihr Unternehmen wirklich darauf vorbereitet, wenn die Datenpanne plötzlich bei Ihnen passiert? Was macht Ihr Unternehmen zum Beispiel, wenn Ihre Website gehackt wird und Kundendaten über eine Phishing-Attacke gestohlen werden?

Was tun nach einer Datenpanne?

Mit der BDSG-Novelle II und dem § 42a BDSG sind nach einer Datenpanne unter Umständen bestimmte Informationspflichten zu erfüllen. Sind von der Datenpanne spezielle Datenkategorien betroffen (siehe den Beitrag „Die neue Informationspflicht bei Datenschutzverstößen„) und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, sind die zuständige Aufsichtsbehörde und die Betroffenen zu unterrichten.

Mögliche Informationspflichten beachten

Die Mitteilung an die Betroffenen hat unverzüglich nach der Datensicherung zu erfolgen, wenn die Strafverfolgung nicht mehr gefährdet ist.

Weiterhin sieht § 42a BDSG vor, dass die Betroffenen eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlung für Maßnahmen zur Minderung möglicher nachteiliger Folgen erhalten. Die Aufsichtsbehörde muss zudem eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen erhalten.

Wie Sie Datenpannen entdecken

Aber mit den Planungen zu den möglichen Informationspflichten ist es nicht getan. Zum einen sollte Ihr Unternehmen sicherstellen, mögliche Datenpannen so schnell wie möglich zu entdecken, um nicht erst durch die Presse oder durch besorgte Kundenanrufe von dem Datenverlust zu erfahren. Zum anderen sollten Sie die Maßnahmen nach einer Datenpanne vorsorglich planen.

Wie also entdecken Sie eine Datenpanne? Dafür bieten sich zahlreiche technische und organisatorische Verfahren an, darunter

  • ein Monitoring des Datenverkehrs mit Warnung bei Anomalien,
  • ein Warnsystem für unerlaubte Zugriffe auf das Dateisystem,
  • eine regelmäßige (automatische) Kontrolle der Konfiguration des Webservers und anderer zentraler Server,
  • aber auch ein definierter Meldeweg für die Annahme und Prüfung von Hinweisen Dritter über eine mögliche Datenpanne.

Auf Meldungen zu Datenpannen richtig reagieren

Wenn nun ein Dritter an Ihr Unternehmen herantritt und eine Datenpanne bei Ihnen meldet, sollte keine Panik ausbrechen, sondern zuerst die meldende Person um genaue Angaben gebeten werden, wie Name, Kontaktdaten und genaue Beschreibung des vermuteten Datenlecks (welche Art von Daten wurde wo gefunden).

Dann erfolgt sofort eine Prüfung dieser Meldung durch die definierten Verantwortlichen, wobei Sie als Datenschutzbeauftragter die Prüfung begleiten sollten. Stellt sich die Datenpanne als echt heraus, greifen die Maßnahmen der Information aller relevanten Stellen (Aufsichtsbehörde, Betroffene, bei Wirtschaftsspionage Polizei/Verfassungsschutz, je nach Sicherheitsleck auch Sicherheitsanbieter, Anti-Malware-Lieferant, Anti-Phishing-Netzwerke).

Spuren nicht verwischen

Zudem sollten die betroffenen IT-Systeme durch das Unternehmen nicht einfach verändert werden, sofern keine akute Gefahr mehr von ihnen ausgeht. Vielmehr müssen die Spuren der Datendiebe für die Staatsanwaltschaft und die IT-Forensiker bewahrt werden. Besteht der Verdacht, dass Passwörter missbraucht wurden, sind diese umgehend zu deaktivieren und in Absprache mit den ermittelnden Stellen die entsprechenden Zugänge zu löschen.

Die nächste Datenpanne abwehren

Nachdem die akuten Maßnahmen getroffen wurden, gilt es, einen Wiederholungsfall zu verhindern. In den Notfallplan Ihres Unternehmens sollten deshalb auch die Prüfung sämtlicher Sicherheitseinrichtungen, die in Verbindung mit der Datenpanne stehen könnten, und eine Optimierung der Sicherheitsrichtlinien und -konzepte stehen.

Dabei kann Ihnen die Checkliste „Maßnahmen nach einer Datenpanne“ helfen, so dass es in Ihrem Unternehmen nicht heißt: „Nach der Datenpanne ist vor der Datenpanne!“

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln