Fall 4 aus dem Beispiels-Set des Europäischen Datenschutz-Ausschusses (EDSA) dürfte als Lehrbuch- und Übungsfall keine Probleme bereitet haben. Im wahren Leben würde er natürlich enorme Arbeit verursachen.
FALL 4: LÖSUNG
Sowohl die Vertraulichkeit der Daten wurde durch die Datenschutzverletzung aufgehoben (Datenexport durch einen unbekannten, unbefugten Dritten), als auch Integrität und Verfügbarkeit gestört (Änderung der Daten durch unbefugte Verschlüsselung, infolge ebenfalls betroffener Backup-Dateien endgültiger Datenverlust beim Verantwortlichen). Angesichts der betroffenen Datenkategorien (Ausweisnummern, Finanzdaten / Kreditkartendaten) müssen die Betroffenen Kenntnis vom Datenabfluss erhalten, dies schon wegen der für den Angreifer eröffneten Missbrauchsmöglichkeiten. Im Ergebnis also tatsächlich „das volle Programm“: Interne Dokumentation, Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen.
Bevor die EDSA-Richtlinie an dieser Stelle die „Fallgruppe Ransomware“ verlässt, gibt sie (in Textziffer 49 der Richtlinie) Empfehlungen für einen bestmöglichen Schutz gegen Ransomware-Attacken. Auch wenn Verantwortliche nicht alle Maßnahmen vollständig umsetzen, gilt – wie im Datenschutz so häufig: Verantwortliche sollten sich „bewegen“, also Schritt für Schritt Sicherheit erhöhen und bei ihrer Kosten/Nutzen-Betrachtung das Risiko von Cyber-Attacken nicht geringschätzen. Empfehlungen des EDSA sind unter anderem:
– Firmware, Betriebssystem und Anwendungssoftware auf Servern, Clients und sämtlichen Netzwerkkomponenten aktuell halten.
– Geeignete Teile des Netzwerks segmentieren oder isolieren, um die Verbreitung von Malware zu behindern.
– Back-up-Verfahren einführen und regelmäßig testen, einschließlich mittel- und langfristiger Backups auf separaten (vom Netzwerk getrennten) Speichermedien.
– Verwendung aktueller Software zur Malware-Erkennung.
– Einrichtung einer aktuellen, effektiven Firewall und Sicherstellung, dass die gesamte Netzwerk-Kommunikation mit dem Internet über diese Firewall verläuft (einschließlich des Zugriffs z.B. im Home-Office beschäftigter Mitarbeiter).
– Schulung der Mitarbeiter zur Erkennung und Vermeidung von Malware.
– Sorgfältige Analyse des Schadcodes im Falle einer tatsächlichen Attacke. Der EDSA verweist hier auch auf die Software des Projekts „no more ransom“: nomoreransom.org.
– Vollständige Protokollierung auf einem zentralen Logserver mit Zeitstempeln der Einträge.
– Zuverlässige Verschlüsselung oder Authentifizierung insbesondere für administrative Zugriffe.
– Regelmäßige Pen-Tests.
– Bildung eines Notfall-Teams beim Verantwortlichen oder Anschluss an organisationsübergreifende entsprechende Strukturen für IT-Sicherheits-Vorfälle.
– „Lernen aus Fehlern“: Anpassung der Schutzmaßnahmen nach Sicherheitsvorfällen.
Damit verlassen wir in Begleitung des EDSA den Bereich der Ransomware-Attacken und befassen uns für die nächsten drei Fälle mit Hacking aus Datenschutz-Sicht: unbefugtem Datenzugriff/Datenexport durch Dritte.
FALL 5: ZUGRIFF AUF BEWERBUNGSDATEN VON EINER INTERNETSEITE
Auf der Internetseite einer Personalvermittlung wurde Schadcode installiert, der unbefugten Dritten ermöglichte, auf dem Webserver gespeicherte Online-Bewerbungsdaten abzurufen. Der Vorfall wurde einen Monat später bemerkt. 213 Bewerbungen waren möglicherweise betroffen; besondere Kategorien personenbezogener Daten nicht involviert.
Ihre Meinung?
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
