Wie angekündigt wird Fall 1 aufgelöst, bevor wir uns dem nächsten Fall zuwenden. Entscheidend sind die schon genannten drei Kriterien:
(1) Wurden die Daten unbefugten Dritten zugänglich?
(2) Kam es zu einer unbeabsichtigten und/oder unbefugten Datenänderung?
(3) Gingen Daten verloren?
(Falls Jemand die von Informatik-Studenten seit Jahrzehnten benutzte Merkhilfe noch nicht kennt: Die drei englischen Schlagworte – confidentiality, integrity, availability – ergeben die im Datenschutz sinnfällige Abkürzung CIA.)
FALL 1: LÖSUNG
Confidentiality / Vertraulichkeit ist im Fall 1 nicht betroffen. Der Verantwortliche hatte die durch Ransomware unbefugt verschlüsselten Daten ja bereits zuvor selbst verschlüsselt. Diese Verschlüsselung des Verantwortlichen war auch gemäß dem aktuellen Stand der Technik erfolgt und von der Cyber-Attacke nicht betroffen. Der Angreifer hatte die zur Entschlüsselung notwendigen Kenntnisse also nicht erhalten.
Damit waren dem Angreifer allenfalls Daten zugänglich geworden, die er nicht entschlüsseln und auswerten konnte. Wer genauer überlegt, erhält einen „Zusatzpunkt“ für die Erkenntnis, dass mit dem technischen Fortschritt natürlich in den nächsten Jahren und Jahrzehnten eine Entschlüsselung der „nach heutigem Stand der Technik“ sicher verschlüsselten Daten doch möglich werden könnte. Der EDSA erwähnt dies in seiner Richtlinie beiläufig (Textziff. 20 am Ende), sieht in diesem Umstand aber kein beachtliches Risiko. Bei personenbezogenen Daten, die auch nach 10 oder 15 Jahren noch erhebliche Risiken für Betroffene verursachen können, wäre dies vielleicht anders zu beurteilen – Beispiel: Geschlechtsumwandlungen, schwere chronische Krankheiten, schwere Straftaten.
Integrity / „Echtheit“ stellt wohl ebenfalls kein Problem dar: Zwar hat der Angreifer die Daten seinerseits unbefugt (nochmals) verschlüsselt. Der Verantwortliche verfügt aber dank seines Back-up-Systems über einwandfreie, unveränderte Daten-Duplikate. Die Gefahr unerwünschter und unbemerkter Datenänderung kann also abgewehrt werden.
Availability / Verfügbarkeit: Das Einspielen der korrekten Daten vom Back-up- in das Arbeits-System erfolgte binnen „weniger Stunden nach dem Angriff“, die Attacke hatte „keine Auswirkungen auf den täglichen Betrieb“. Sie bewirkte insbesondere „keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen“. Mit anderen Worten: Die Daten waren zwar kurzzeitig (für einige Stunden) nicht im Arbeits-System des Unternehmens verfügbar. Dieser temporäre Ausfall wirkte sich jedoch auf die Datenverarbeitung beim Verantwortlichen nicht aus.
Im Ergebnis kommt der EDSA – sehr gut nachvollziehbar – zum Antwortmuster „Ja/Nein/Nein“, also:
(1) Interne Dokumentation des Vorfalls nötig.
(2) Keine Meldung an die Aufsichtsbehörde.
(3) Keine Meldung an die Betroffenen.
Hier noch ein Hinweis für die weiteren Fälle, vor allem aber für die Datenschutz-Praxis: Wenn bei Datenschutz-Vorfällen geprüft wird, ob eine Meldepflicht gegenüber der Aufsichtsbehörde (und eventuell gegenüber Betroffenen) besteht, ist dies immer intern zu dokumentieren. Das folgt für den Verantwortlichen schon aus seiner allgemeinen Nachweispflicht und weil er (sollte sich ein Vorfall „weiterentwickeln“, z.B. durch Beschwerden von Betroffenen oder anschließende Attacken) die nach der Datenschutz-Verletzung getroffenen Ermittlungen und Maßnahmen konkret aufzeigen muss.
FALL 2: RANSOMWARE OHNE AUSREICHENDES BACKUP
Einer der von einem landwirtschaftlichen Unternehmen genutzten Computer war einem Ransomware-Angriff ausgesetzt und seine Daten wurden vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens zur Analyse des Vorfalls. Protokolle, die alle Datenströme, die das Unternehmen verlassen, nachverfolgen (einschließlich ausgehender E-Mails) sind verfügbar. Nach der Analyse der Protokolle und anderer Daten ergab die interne Untersuchung, dass der Täter die Daten nur verschlüsselt hat, ohne sie zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitrahmen des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen die Mitarbeiter und Kunden des Unternehmens, insgesamt ein paar Dutzend Personen. Keine Daten besonderer Kategorien waren betroffen. Es war kein Backup in elektronischer Form vorhanden. Die meisten Daten wurden aus Papier-Akten wiederhergestellt. Die Wiederherstellung der Daten dauerte 5 Arbeitstage und führte zu geringen Verzögerungen bei der Auslieferung von Aufträgen an Kunden.
Das nötige „Rüstzeug“ (C? I? A?) befindet sich bei Ihnen. Weiterhin gilt die Devise: Selbst lösen ist besser, als in der Richtlinie spicken! Bis zur Auflösung in einigen Tagen – alles Gute!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
