Im Blog beschäftigen wir uns in dieser Woche mit Datenpannen und der folgende Beitrag beleuchtet das Thema aus der Sicht der Informationssicherheit.
Unternehmen werden täglich viele personenbezogene Informationen anvertraut: Adressen, persönliche Angaben und Finanzdaten werden übermittelt, in dem Vertrauen darauf, dass diese gut geschützt und sicher aufgehoben sind. Nun gibt es auf der anderen, „dunklen“ Seite allerdings auch ein großes Interesse an gerade diesen Daten. Angriffe auf die IT-Infrastruktur von Unternehmen sind unvermeidbar, oftmals sind Datenpannen die Folge.
Aber was ist unter einer Datenpanne zu verstehen? Hier kann man einerseits juristisch korrekt auf die Definition in Art. 4 Nr. 12 DSGVO verweisen, wonach eine Datenpanne als „Verletzung des Schutzes personenbezogener Daten“ definiert wird.
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;“
Ganz ähnlich wird auch ein Sicherheitsvorfall aus Sicht der Informationssicherheit definiert. Jedes negative Ereignis, welches die Vertraulichkeit, Verfügbarkeit und/oder Integrität von personenbezogenen oder anderen Daten, Informationen, Geschäftsprozesse, IT-Services, IT-Systeme, IT-Anwendungen und der IT-Infrastruktur beeinträchtigt, ist ein Sicherheitsvorfall.
Ganz stark vereinfacht bedeutet dies, dass jedes Eindringen und/oder Zugreifen in bzw. auf Firmennetzwerke, in denen personenbezogene Daten (von Kunden oder Mitarbeitenden) gespeichert sind, durch unbefugte Nutzer oder Cyberkriminelle als Datenpanne zu bewerten ist. Hier ist es dann egal, ob Daten abgeflossen sind oder nicht. Ziel-Daten solcher Übergriffe sind z. B.:
- E-Mail-Adressen
- Passwörter
- Anschriften
- Vollständige Namen
- Geburtsdaten
- Kredit- und Debitkarten
- Amtliche Daten (z. B. Sozialversicherungsnummern) u. a.
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, hier Verantwortung in Bezug auf den Umgang mit personenbezogenen Daten zu übernehmen. Vorbeugende Sicherheitsmaßnahmen und Datenschutzvorkehrungen zu ergreifen, um Datenpannen zu verhindern, ist eine selbstverständliche Aufgabe der Unternehmen, genauer gesagt: des Verantwortlichen.
Welche Folgen kann eine Datenpanne haben?
Oft ist den Verantwortlichen, den Unternehmen, der Angriff und das Ausmaß des Vorfalls zunächst gar nicht bewusst. Doch wir wissen: „Unwissenheit schützt vor Strafe nicht“. Bei Vorliegen der Voraussetzungen des Art. 33 DSGVO sind Datenpannen der zuständigen Aufsichtsbehörde zu melden (Welche Datenpannen sind zu melden? Siehe unsere Artikel hier und hier).
Im schlimmsten Fall können Datenpannen extrem hohe Bußgelder im Sinne von Art. 83 DSGVO nach sich ziehen (beispielhafte Fälle finden Sie hier, hier und hier).
Schwachstellen erkennen, bevor es andere tun
In 2021 waren in Deutschland weit mehr als 80 % der Unternehmen von mindestens einem Cyberangriff mit teils verheerenden Folgen betroffen (Cyber Threat Defense Report). Deshalb ist es wichtig, in den Anstrengungen zur Steigerung der IT-Sicherheit nicht nachzulassen. Umfassende Maßnahmen sind strategisch zu planen und umzusetzen, um den „Hackern“ keine Chance zu bieten. Penetrationstests (kurz Pentests) können hier eine wichtige Rolle spielen.
Mit den Methoden krimineller Hacker, jedoch kontrolliert und ohne das Ausnutzen der gefundenen Schwachstellen, sollen dem Unternehmen potenzielle Schwachstellen und Angriffspunkte aufgezeigt werden, bevor sie von Cyberkriminellen ausgenutzt werden können. Die Risiken für das Unternehmen und eine Bewertung des Aufwands zu deren Behebung werden in einem Abschlussbericht der Pentester dargestellt. Die Kosten einer Datenschutzverletzung sowie die Möglichkeiten zur Risikobegrenzung zeigt z. B. IBM in seinem Data Breach Report 2021.
Die in einem Pentest-Bericht enthaltenen Erkenntnisse und Informationen sind enorm hilfreich, um die Security-Strategie entsprechend anzupassen und sich bestmöglich gegen die Gefahren eines Cyberangriffes und der damit gleichzusetzenden Datenpanne zu wappnen. Dem IT-Team wird so die Möglichkeit gegeben, Prozesse und Verhaltensweisen zu überprüfen und ggf. anzupassen. Weiterhin können durch Penetrationstests Hackerangriffe erkannt und „geübt“ werden, um im Fall einer Cyber-Attacke die Abwehr effektiv zu gestalten.
Mit dieser hochwirksamen Maßnahme kommen Sie im Kampf gegen Datenpannen durch Cyberangriffe einen großen Schritt weiter, erfüllen Ihre gesetzlichen Verpflichtungen und können potentiellen Angriffen wesentlich beruhigter begegnen.