Gratis
17. Januar 2019 - Folgen für den Datenschutz

Was sich aus dem aktuellen Cyber-Vorfall lernen lässt

Drucken

Anfang Januar 2019 wurde ein neuer Fall unbefugter Veröffentlichung von persönlichen Daten und Dokumenten im Internet der breiten Öffentlichkeit bekannt. Auch wenn es nur ein Beispiel von vielen ist, lassen sich aus dem Fall Schlüsse für die tägliche Praxis im Datenschutz ziehen.

Aktueller Cyber-Vorfall Nicht den Kopf in den Sand stecken! Bei Datenpannen gilt es, die Behörde schnellstmöglich und umfassend zu informieren (Bild: Nastco / iStock / Getty Images)

IT-Forensik dauert seine Zeit

Am 4. Januar 2019 sorgte die Meldung über die Veröffentlichung hunderter gestohlener Datensätze von Prominenten und Politikern für Schlagzeilen. Die Meldung kam vom BSI (Bundesamt für Sicherheit in der Informationstechnik).

Obwohl das Amt die Analysen zu diesem Cyber-Vorfall umgehend einleitete, sind auch Tage später nicht alle Details bekannt.

Diese Feststellung stellt keine Bewertung der Arbeit der ermittelnden Bundesbehörden dar. Sie soll vielmehr Unternehmen zeigen, dass selbst spezialisierte Behörden viel Zeit benötigen, um einen Vorfall in der Datensicherheit zu untersuchen und aufzuklären.

Die digitale Spurensuche bringt viel Aufwand mit sich und kann sich komplex darstellen.

Deshalb ist es besonders wichtig, entdeckte Datenpannen umgehend an die zuständigen Aufsichtsbehörden zu melden.

Die darauf folgenden Untersuchungen dauern meist lange, weshalb bei der Meldung nicht unnötig Zeit verstreichen darf. Die Datenschutz-Grundverordnung (DSGVO) enthält aus gutem Grund die bekannte 72-Stunden-Frist.

Richtige Kommunikation nach Datenpannen ist entscheidend

Nach Bekanntwerden dieses Vorfalls behaupteten Kritiker, dass das BSI nicht umfassend informiert hätte.

Dazu bezog das BSI Stellung: Anfang Dezember 2018 informierte ein Mitglied des Deutschen Bundestags die Behörde. Es habe fragwürdige Bewegungen auf privaten und personalisierten E-Mail- und Social-Media-Accounts festgestellt.

Das BSI nahm laut eigener Mitteilung diesen Fall sehr ernst und brachte ihn in das Nationale Cyber-Abwehrzentrum ein. Zu diesem Zeitpunkt gingen alle Beteiligten von einem Einzelfall aus.

Trotzdem scheint die Kommunikation zwischen den jeweils zuständigen Behörden noch nicht optimal zu sein. So mahnte Prof. Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit:

„Der Fall zeigt zudem, dass der Kommunikationsfluss verbessert werden muss. Das gilt gegenüber Plattformen wie Twitter, aber auch in der Behördenkooperation.

Wenn bei den Bundesbehörden bereits gestern der Vorfall bekannt war, wäre es angebracht gewesen, die Datenschutzbehörden einzubeziehen und hiervon zeitig in Kenntnis zu setzen.“

Offensichtlich berücksichtigten die Verantwortlichen den Datenschutz nicht direkt. Generell muss das Bewusstsein gesteigert werden, wer zu informieren ist, wenn es um eine Datenschutzverletzung geht. Die DSGVO regelt dies klar.

Basisschutz für Datensicherheit fehlt immer noch

Ein weiterer Schluss lässt sich für die Praxis ziehen: Der prominente Cyber-Vorfall scheint nach aktuellem Kenntnisstand möglich gewesen zu sein, weil Vorkehrungen des Basisschutzes fehlten.

So gehören zu den Empfehlungen des BSI, um solche Vorfälle zu vermeiden, folgende Maßnahmen:

Diese Vorgehensweise ergibt sich aus den Forderungen nach Sicherheit der Verarbeitung (Artikel 32 DSGVO) und gehören zum grundlegenden Schutz für Daten.

Wer die Sicherheit der Verarbeitung verbessern will, sollte nicht versäumen, Basismaßnahmen genau zu hinterfragen. Diese sind leider (immer noch) keine Selbstverständlichkeit.

Die Vielfalt der ausgespähten und veröffentlichten Daten kann ein Zeichen dafür sein, dass die grundlegenden Schutzmaßnahmen nicht nur bei einem, sondern bei vielen verschiedenen Systemen fehlten.

Meldung an Aufsichtsbehörden ist mehr als eine Pflicht

Das Statement des Hamburgischen Datenschutzbeauftragten zeigt aber noch mehr als den Optimierungsbedarf bei der Kommunikation nach einer Datenpanne.

So ergänzte Prof. Caspar: „Gerade wenn es darum geht, dafür zu sorgen, dass Accounts auf Plattformen gesperrt werden, um den Zugriff auf die personenbezogenen Daten zu erschweren, haben die Aufsichtsbehörden im Bereich des Datenschutzes die Instrumente, um dies – zumindest bei bekannten Plattformen wie Twitter – durchzusetzen.“

Das bedeutet: Meldungen an die zuständige Aufsichtsbehörde haben nicht nur mit der Erfüllung von Pflichten zu tun. Die Aufsichtsbehörden werden auf Basis der Meldungen aktiv, um die Folgen einer Datenpanne so weit wie möglich zu minimieren.

Unternehmen haben hierzu durch die fristgerechte und aussagekräftige Meldung eine Grundlage zu liefern, um die Folgen einer Datenschutzverletzung einzudämmen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.