Der Mittelstand gilt als Rückgrat der deutschen Wirtschaft – flexibel, leistungsfähig und innovationsgetrieben. Gleichzeitig zeigt die aktuelle Bedrohungslage immer deutlicher: Cyberangriffe sind längst kein Randphänomen mehr, sondern betreffen Unternehmen aller Größen und Branchen. Gerade mittelständische Organisationen geraten zunehmend in den Fokus professioneller Angreifer – nicht zuletzt, weil sie hochgradig vernetzt arbeiten, gleichzeitig jedoch oft mit begrenzten Ressourcen im Bereich Informationssicherheit operieren.

Aktueller Praxisfall

Ein aktueller Praxisfall verdeutlicht diese Entwicklung eindrücklich. Innerhalb weniger Stunden eskalierte ein zunächst punktuell erscheinender IT-Sicherheitsvorfall zu einem umfassenden Ransomware-Angriff. Erste technische Auffälligkeiten wurden am frühen Abend erkannt. Im weiteren Verlauf kam es zu einer aktiven Verschlüsselung zentraler Systeme, die sich innerhalb kurzer Zeit über wesentliche Teile der IT-Infrastruktur ausbreitete.

Die eingeleiteten Reaktionsmaßnahmen folgten bewährten Mustern des Notfallmanagements: Systeme wurden isoliert, Netzwerke getrennt und kontrolliert heruntergefahren, um eine weitere Ausbreitung zu verhindern. Parallel wurde ein interdisziplinärer Krisenstab eingerichtet und externe Expertise aus IT-Forensik, Incident Response, Datenrettung sowie rechtlicher Beratung hinzugezogen. Zeitgleich mussten organisatorische Notlösungen etabliert werden, um grundlegende Geschäftsprozesse – soweit möglich – aufrechtzuerhalten.

Und Plötzlich Zeit(-Druck)

Wie in vergleichbaren Szenarien zeigte sich auch hier, dass die operative Wiederherstellung komplexer IT-Landschaften Zeit erfordert. Insbesondere die Wiederherstellung geschäftskritischer Systeme, die Validierung von Datenbeständen sowie die parallele forensische Analyse führen zwangsläufig zu einem gestaffelten Wiederanlauf. Insgesamt ergab sich in dem betrachteten Fall eine erhebliche Beeinträchtigung über einen Zeitraum von rund 19 Tagen – verbunden mit einem weiterhin eingeschränkten Betrieb über diesen Zeitraum hinaus.

Dieser Verlauf ist kein Einzelfall, sondern entspricht in weiten Teilen dem typischen Muster moderner Cyberangriffe. Die zunehmende Professionalisierung von Angreifern, automatisierte Angriffswerkzeuge sowie die gezielte Ausnutzung komplexer IT-Strukturen führen dazu, dass selbst gut aufgestellte Organisationen vor erheblichen Herausforderungen stehen.

Informationssicherheit ist eine Querschnittsaufgabe

Vor diesem Hintergrund wird deutlich: Informationssicherheit ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil der unternehmerischen Resilienz. Im Kern geht es um die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen – und damit unmittelbar um die Aufrechterhaltung des Geschäftsbetriebs.

Gleichzeitig zeigt die Praxis, dass Informationssicherheit im Mittelstand häufig historisch gewachsen ist. Sicherheitsmaßnahmen werden sukzessive implementiert und an konkrete Anforderungen angepasst. Dieses Vorgehen ist nachvollziehbar, führt jedoch in komplexen IT-Umgebungen zunehmend an seine Grenzen. Die Dynamik aktueller Bedrohungslagen erfordert daher verstärkt strukturierte und ganzheitliche Ansätze.

Hier setzen etablierte Standards und Frameworks an, wie etwa die ISO/IEC 27001. Sie bieten einen systematischen Rahmen, um Informationssicherheit nicht nur technisch, sondern auch organisatorisch und prozessual zu verankern. Für mittelständische Unternehmen bedeutet dies vor allem: Transparenz über Risiken, klare Verantwortlichkeiten sowie definierte Abläufe für den Ernstfall. Dabei steht nicht die Zertifizierung im Vordergrund, sondern die nachhaltige Stärkung der eigenen Widerstandsfähigkeit.

Der geschilderte Vorfall unterstreicht insbesondere die Komplexität von Cyberereignissen. Aspekte wie Angriffserkennung, Eindämmung, Wiederherstellung und Kommunikation greifen ineinander und müssen unter hohem Zeitdruck koordiniert werden. Gleichzeitig zeigen solche Situationen, wie entscheidend vorbereitete Strukturen, abgestimmte Prozesse und sensibilisierte Mitarbeitende sind.

Für die Unternehmensleitung ergibt sich daraus ein klarer strategischer Auftrag. Informationssicherheit sollte als integraler Bestandteil der Unternehmensführung verstanden und entsprechend priorisiert werden. Ausgangspunkt bildet eine fundierte Betrachtung der eigenen Risiken und Abhängigkeiten. Darauf aufbauend gilt es, geeignete organisatorische und technische Maßnahmen zu etablieren sowie Notfall- und Wiederanlaufprozesse vorzubereiten und regelmäßig zu überprüfen.

Ebenso wichtig ist die Einbindung der Mitarbeitenden. Informationssicherheit ist eine Querschnittsaufgabe, die nur dann wirksam ist, wenn sie in der gesamten Organisation gelebt wird. Sensibilisierung und klare Leitlinien tragen dazu bei, Risiken frühzeitig zu erkennen und angemessen zu reagieren.

Fazit

Der Praxisfall zeigt letztlich vor allem eines: Cyberangriffe sind heute Teil der unternehmerischen Realität. Die Frage ist nicht mehr, ob ein Unternehmen betroffen sein könnte, sondern wie gut es darauf vorbereitet ist. Die rund 19 Tage eingeschränkter Geschäftsbetrieb verdeutlichen die betriebswirtschaftliche Dimension solcher Vorfälle. Informationssicherheit ist daher keine optionale Zusatzaufgabe, sondern ein wesentlicher Baustein für Stabilität, Vertrauen und Zukunftsfähigkeit im Mittelstand.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel sowie Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

Aktuell mehren sich Berichte (ein Beispiel) über Sicherheitsvorfälle bzw. Datenlecks, bei denen Nutzerdaten und insbesondere E-Mail-Adressen durch Angreifer entwendet werden. Verschaffen sich Unbefugte Zugang zu den Accounts drohen in der Regel noch größere Schäden. Es können nicht nur in den Accounts hinterlegte Informationen wie E-Mail-Kommunikation, Bank- und Zahlungsinformationen, Anmeldedaten usw. ausgelesen werden. Es ist bei dem Eindringen auf einen E-Mail-Account zudem möglich, diesen für das Versenden von Spam-Nachrichten zu verwenden. In eine ähnliche Kerbe schlägt der Cybersicherheitsmonitor.

Passend zu diesem Thema vermeldet die Sächsische Datenschutz- und Transparenzbeauftragte in einer aktuellen Pressemitteilung den Anstieg der gemeldet Datenschutzverletzungen.  Hierin führt die Aufsichtsbehörde aus, dass zu den häufigsten Meldungen von Datenschutzverletzungen Fehlversendungen, offene E-Mail-Verteiler und das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl gehören, jedoch in etwa jedem zehnten Fall personenbezogene Daten durch Cyberkriminalität abgegriffen wurden: „Hinter den Zahlen stehen zumeist menschliches Versagen, organisatorische Mängel oder technische Schwachstellen.“ Mit einem Blick in den aktuellen Tätigkeitsbericht wird zudem klar, dass Meldungen im Zusammenhang mit Cyberkriminalität eine zentrale Kategorie von Datenschutzverletzungen bleiben. Typische Beispiele für Cyberkriminalität sind Spam- und Phishing-Mails, die Verschlüsselung von Systemen durch Ransomware, der Einsatz von Schadsoftware (Malware) sowie das Ausnutzen von Sicherheitslücken.

Sonderfall kompromittiertes E-Mail-Konto

Eine weitere Gruppe von Datenschutzverletzungen, welche in den weiten Bereich der Cyberkriminalität zuzuordnen ist, stellen die sogenannten kompromittierten E-Mail-Konten dar. Die Sächsische Aufsichtsbehörde stellt hierzu fest, dass derartige Verletzungen signifikant zugenommen haben: „Bei derartigen Vorfällen gelangen unbefugte Dritte durch Hacking, Phishing oder unsichere Passwörter in den Besitz vonZugangsdaten und nutzen das Konto, um personenbezogene Daten auszuspähen, betrügerische Nachrichten zu versenden oder weiteren Schaden anzurichten […] Kompromittierte E-Mail-Konten stellen eine ernst zu nehmende Bedrohung dar, da sie den Zugang zu sensiblen Informationen ermöglichen.“

Jüngst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite zu dieser Thematik eine Checkliste für den Ernstfall des gehackten Accounts veröffentlicht. Das BSI gibt in dieser Checkliste Hinweise wie kompromittierte Konten erkannt werden können und welche Möglichkeiten Betroffenen im Ernstfall zur Verfügung stehen.

Erkennen eines kompromittierten Accounts

Die größte Auffälligkeit besteht selbstredend darin, dass Nutzerinnen und Nutzer nicht mehr auf Ihre Accounts zugreifen können, da in der Regel die Passwörter geändert wurden. Es ist aber auch denkbar, dass die Anbieter, zum Beispiel die E-Mail-Provider wie GMX oder web.de Auffälligkeiten erkennen und deshalb die Accounts vorsorglich sperren. Unabhängig davon können und sollten die Nutzenden auf entsprechende Nachrichten achten, welche Sie nicht versendet haben oder Inhalte mit Käufen und vor allem neuen Gerätanmeldungen enthalten.

Ergänzend fügt die Sächsische Datenschutzbeauftragte in Ihrem Tätigkeitsbericht noch an: Ungewöhnliche Aktivitäten in Form von E-Mails im Gesendet-Ordner, die nicht vom Kontoinhaber verschickt wurden, sowie fehlende oder gelöschte Nachrichten (die Angreifer löschen Nachrichten, um Spuren zu verwischen sowie abgewiesene Login-Versuche, denn der Zugriff auf das Konto ist gesperrt, weil der Angreifer die Zugangsdaten geändert hat).

Was ist im Ernstfall zu tun?

Das BSI und auch die Sächsische Datenschutzbeauftrage geben auch hier Möglichkeiten an die Hand. Sollte der Zugriff auf die Accounts verwehrt werden sollte schnellstmöglich der Anbieter kontaktiert und Kontakte (z. B. vor dem Versenden von Phishing-Nachrichten) gewarnt werden.

Sofern der Zugriff auf den Account noch möglich ist, empfiehlt das BSI folgende Maßnahmen:

• Sperrung des kompromittierten Kontos: Sobald ein Vorfall bekannt wird, sollte der Zugang zum betroffenen Konto unverzüglich gesperrt werden sowie Beenden aller aktiven Sitzungen;
• Passwortzurücksetzung: Das Passwort des Kontos muss umgehend geändert und dabei auf die Verwendung eines einzigartigen, starken Passworts geachtet werden;
• Account-Einstellungen kontrollieren (z. B. Kontrolle unbefugt eingerichteter automatischer Weiterleitungen);
• Kontakte informieren (Achtsamkeit bei Spam- und/oder Phishing-Nachrichten).

Mehr Sicherheit in der Zukunft

Auch an dieser Stelle geben das BSI und die Sächsische Aufsichtsbehörde zum Teil nützliche Tipps für mehr Sicherheit für die Accounts in der Zukunft:

• Sicherheitsrichtlinien: Etablieren Sie klare Richtlinien für den Umgang mit E-Mail-Konten, zum Beispiel den Verzicht auf die Verwendung privater Geräte für berufliche E-Mails.
• Passkeys nutzen: Mit der Alternative zu Passwörtern müssen Sie sich nicht mehr viele verschiedene Passwörter merken;
• Zwei-Faktor-Authentisierung aktivieren: Wenn Sie weiterhin Passwörter nutzen, schützt ein zweiter Faktor Ihren Account zusätzlich, sollte das Passwort in fremde Hände gelangen;
• Phishing-Mails erkennen: Seien Sie wachsam, wenn Sie in einer E-Mail etwa dazu aufgefordert werden, sich per Link in Ihren Account einzuloggen, und Ihnen dringender Handlungsbedarf suggeriert wird;
• Bildschirmsperre einrichten: Sollte beispielsweise Ihr Smartphone geklaut werden, verhindern Sie so, dass Fremde darauf zugreifen können und etwa über eine ungeschützte App Zugriff zu einem Account erlangen;
• Sparsam mit Daten umgehen: Geben Sie online möglichst wenig über sich preis;
• Vorsicht bei Links und Anhängen: Hinter E-Mail-Anhängen oder Links auf Webseiten kann sich Schadsoftware verbergen;
• Updates installieren: Damit schließen Hersteller oft Sicherheitslücken, sodass Kriminelle diese nicht ausnutzen können;
• Virenscanner und Firewall nutzen: Auf vielen Geräten sind diese bereits vorinstalliert. In manchen Fällen müssen sie in den Einstellungen jedoch noch aktiviert werden;
• Öffentliches WLAN meiden: Mitunter werden dort zum Beispiel Daten unverschlüsselt übertragen;
• Schulungen: Sensibilisieren Sie Beschäftigte und andere Nutzende für die Risiken und Erkennungsmerkmale von Cyberangriffen¸
• Incident Response Plan: Dokumentieren Sie Vorfälle und optimieren Sie Ihre Notfallpläne basierend auf den Erkenntnissen, um in Zukunft schneller reagieren zu können.

Alle genannten Maßnahmen sind jedenfalls auch mit Blick auf die rechtlichen Verpflichtungen zur Informationssicherheit ratsam, vgl. z. B. Art. 32 DS-GVO, Art. 21 NIS-2-RL oder § 4 Sächsisches Informationssicherheitsgesetz.

Fazit

Vorfälle von kompromittierten E-Mail-Konten können eine ernstzunehmende Bedrohung darstellen, denn Angreifer erhalten mitunter Zugriff auf sensible Informationen. Darüber hinaus können die betroffenen Accounts für weitere Phishing-Kampagnen missbraucht werden. Verantwortliche sind stets gut beraten, sich mit entsprechenden technischen und organisatorischen Maßnahmen bestmöglich abzusichern. Das BSI gibt über die Checkliste hinaus auch noch Informationen zur Prävention und für den Notfall.

Nicht zu vernachlässigen ist zudem, dass es sich bei Fällen der kompromittierten E-Mail-Konten im Regelfall um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DS-GVO handelt, welche eine Meldepflicht nach Art. 33 Abs. 1 DS-GVO nach sich zieht. Ebenso können weitere Meldepflichten nach dem IT-Sicherheitsrecht einschlägig sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Für Furore sorgten in den letzten Tagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können.  Mittlerweile ist klar, das konkrete Szenario ist nicht real. Laut Golem erwies sich das das dargestellte Szenario inzwischen nach Klarstellung durch das Cybersicherheitsunternehmen Fortinet als hypothetisches Beispielszenario: Die kompromittierten Zahnbürsten hätten durch einen Befehl des Angreifers gleichzeitig die Webseite einer Schweizer Firma aufgerufen. Die Seite sei daraufhin zusammengebrochen und vier Stunden lang nicht erreichbar gewesen. Dabei sei ein Schaden in Millionenhöhe entstanden.

Wir wollen aber dennoch den Fragen auf den Grund gehen, was eigentlich ein solcher DDoS-Angriff ist, wie realistisch ein Angriff vernetzter Geräte wirklich ist und wie man sich möglicherweise vor derartigen Angriffen schützen kann.

Was ist eigentlich ein DDoS-Angriff?

Zunächst richten wir den Blick auf die Frage, was ist eigentlich ein DDoS-Angriff? Vorgelagert müssen wir uns noch die Frage stellen, was ist noch gleich ein DoS-Angriff? Bei dieser Art von Angriffen geht es im Unterschied zu Angriffen mittels Schadsoftware – z.B. im Rahmen eine Ransomware-Angriffs – oder dem sogenannten Social Engineering, bei dem gezielt eine soziale Komponente ausgenutzt wird, darum ein IT-System lahmzulegen oder zu blockieren, jedenfalls so zu zur Überlastung zu bringen, dass das System für die Nutzer nicht mehr zur Verfügung steht. Diese geschilderte Grundform stellt einen sogenannten Denial-of-Service-Angriff (DoS-Angriff) dar.

Darüberhinausgehend versteht man unter einem sogenannten Distributed Denial-of-Service-Angriff (DDoS-Angriff), also einem verteilten DoS-Angriff, von einer Fallkonstellation, in der mehrere Rechner ein Ziel – beispielsweise einen bestimmten Server – gleichzeitig attackieren. Hierbei übernehmen die Angreifer im Vorfeld eines solchen Angriffs meist unbemerkt die Kontrolle über eine Vielzahl von Einzelrechnern, z.B. durch eine nochmals vorgelagerte Infektion mit Schadsoftware. Die Ausführung des DDoS-Angriffs erfolgt zumeist nicht in unmittelbarem Zusammenhang mit der Infektion durch die Schadsoftware. Vielmehr ist den Angreifern daran gelegen, mittels der infizierten Rechner ein sogenanntes Botnetz, also kurz gesprochen ein Netz von „Zombie-Rechnern“ aufzubauen. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Begriffe DoS-Angriff bzw. DDoS-Angriff in seinem aktuellen Lagebericht wie folgt:

„Denial-of-Service-Angriffe (DoS-Angriffe) sind Angriffe auf die Verfügbarkeit von Internetdiensten. Häufig sind Webseiten Ziel solcher Angriffe. Die zugehörigen Webserver werden dabei so mit Anfragen überflutet, dass die Webseiten nicht mehr erreichbar sind. Wird ein solcher Angriff mittels mehrerer Systeme parallel ausgeführt, spricht man von einem Distributed-Denial-of-Service-Angriff (DDoS-Angriff).“

DoS- und DDoS-Angriffe stellen insoweit Angriffe auf das Schutzziel der Verfügbarkeit dar. Typische Szenarien bestehen beispielsweise bei Online-Shops, welche durch den Absturz des entsprechenden Webservers nicht mehr verfügbar sind. Das BSI geht in seinem Lagebericht auch darauf ein, dass DDoS-Angriffe eine Form der Schutzgelderpressung darstellen können, bei der Angreifer Geld vom Opfer fordern, um die Angriffe zu stoppen oder im Rahmen eines Ransomware-Vorfalls den Druck auf das Opfer zu erhöhen und ein Lösegeld für verschlüsselte Daten zu erpressen. Möglich ist zudem, dass DDoS-Angriffe genutzt werden, um von den eigentlichen Angriffs-Szenarien abzulenken.

Folgen einer DDoS-Attacke sind laut BSI zum einen finanzielle Schäden für Anbieter, wenn deren Dienste nicht erreichbar sind und zum anderen Imageschäden und gegebenenfalls Unsicherheit in der Bevölkerung folgen, wenn beispielsweise Webseiten von Banken oder der Polizei in ihrer Verfügbarkeit beeinträchtigt werden. Eines der bekannteren Beispiele von DDoS-Angriffen in unserem unmittelbaren Wirkkreis ereignete sich im Zusammenhang mit den Angriffen auf die Lernplattform LernSax. In einer gesellschaftlich angespannten Zeit nahmen die Angreifer die Lernplattform vermehrt ins Visier.

Der Hintergrund ist schnell erklärt: Zu einer Zeit in der Schulschließungen aufgrund der Corona-Pandemie auf der Tagesordnung standen, waren die Schülerinnen und Schüler auf andere Lernwege angewiesen. Eine dieser zentralen Alternativen stellt die Lernplattform LernSax des Freistaates Sachsen dar. Ziel der Angreifer war es mutmaßlich, die Gesellschaft an einem ohnehin verwundeten Punkt zu treffen. Forderungen nach Lösegeld o.ä. wie dies zuweilen im Rahmen von Angriffen mittels Schadsoftware der Fall sind, wurden nicht bekannt. Ebenso wurden weder Daten vom eigentlichen System entwendet noch Bestandteile der IT-Infrastruktur beschädigt. Mutmaßlich war das Ziel der Angreifer schlicht und ergreifend einen entsprechend notwendigen Dienst für das Funktionieren eines Teils der Gesellschaft „vom Netz zu nehmen“, sodass ein Rückgriff zumindest temporär nicht möglich war.

Wie realistisch ist ein Angriff der Smart-Home-Geräte?

Zurück zu unserem Ausgangsfall lässt sich feststellen, dass sich die Zahnbürsten nicht gegen Ihre Besitzer gewendet haben und auch nicht als Teil eines Botnetzes ein IT-System oder eine Anwendung bzw. einen Dienst zu Fall gebracht haben. Allerdings können wir nun die Frage aufwerfen, wie wahrscheinlich ist eine Invasion der Smart Home Geräte?

„Jedes Gerät, das mit dem Internet verbunden ist, ist ein potenzielles Ziel – oder kann für einen Angriff missbraucht werden“, warnte Fortinet angesichts des geschilderten Szenarios, „das treffe nicht nur auf Babyphones und Webcams zu, sondern ebenso auf elektrische Zahnbürsten“.

Die Liste der Geräte, welche Ziel eines solchen Angriffs sein können und anschließend als Teil des Botnetzes agieren kann beliebig weitergeführt werden: Smart-TVs, Kühlschränke, Waschmaschinen, Kaffeemaschinen, … .

Wie kann man sich vor DDoS-ANgriffen schützen?

Hier bestehen zuweilen Unterschiede im Vergleich zu den DoS-Angriffen. Diese lassen sich möglicherweise von Verantwortlichen der IT-Abteilungen in Unternehmen und Verwaltungen durchaus leicht erkennen, da diese Angriffe von einer bestimmten Internetprotokolladresse ausgehen. Daher lassen sich DoS-Angriffe unterbinden, indem beispielsweise die entsprechende Verbindung gekappt wird. Dies ist bei DDoS-Angriffen nicht ohne Weiteres möglich.

Seitens des BSI gibt es Empfehlungen zur präventiven Behandlung von DDoS-Angriffen. Zu den effektiven technischen Maßnahmen zählen zudem Netzwerksegmentierung und die Härtung von Systemen. Seitens der Anwender bzw. Nutzer kann DDoS-Angriffe insbesondere durch das Patchen, d.h. das Einspielen vorhandener Sicherheitsupdates begegnet werden. Ebenso können die Verwendung einer Antivirensoftware und die Überprüfung von Datenströmen hilfreich sein. Darüber hinaus gibt es seitens des BSI Empfehlungen zur Abwehr von DDoS-Angriffen.

Fazit

Sowohl DoS- als auch DDoS-Angriffe stellen keine Neuheiten im Bereich der Cybersicherheit dar. Vielmehr zeigt der Lagebricht des BSI, dass die Bedeutung dieser Angriffsart nicht unterschätzt werden darf. An den Beispielen der Smart-Home-Geräte geht eindrucksvoll hervor, welche Gefahren die zunehmende Vernetzung mit sich bringt, wenn bei der Verwendung dieser Geräte nicht auf die grundlegenden Sicherheitseigenschaften geachtet wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Heizkosten sind derzeit „in heißer Diskussion“. Und wie bei allen Themen, haben die Datenschützer auch hier einen eigenen Beitrag und ganz spezielle Probleme parat: Die ista Deutschland GmbH informiert ihre Kunden seit Ende Juli über einen Hacker-Angriff. Ende August wurde mitgeteilt, dass „am Abend des 18. August 2022 … IT-Forensiker festgestellt“ hätten, „eine Gruppe krimineller Hacker“ habe sich „Zugang zu … Systemen verschafft und Daten gestohlen“ sowie „im Dark-Net zugänglich gemacht“. Betroffen sind Archivdaten „aus den Jahren 2006 bis 2012“ mit „Adressen, Liegenschaftsnummer, Verbrauchsdaten (Heiz-, Warm- und Kaltwasserverbrauch), Nutzername, Nutzernummer sowie beheizter Fläche von gut 146.000 Kunden“. Die ista Deutschland GmbH meldete sich „als sogenannter Auftragsverarbeiter gemäß Art. 28 DSGVO“. Bei vielen Empfängern der Schreiben, insbesondere kleinen Hausverwaltungen und privaten Vermietern, herrschte (und herrscht?) Ratlosigkeit: „Und was soll ich jetzt damit anfangen?“ Fachleute erzeugen ja häufig aus einer Frage sehr viele Fragen. Also ans Werk:

Gilt für Vermieter die Datenschutz-Grundverordnung?

Das kommt darauf an. Worauf? Darauf, ob die Vermietung als „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten … durch natürliche Personen“ nach Art. 2 Abs. 2 lit. c) DS-GVO angesehen werden kann. Erste Erkenntnis: Körperschaften (GmbH, AG …) sind immer und Handelsgesellschaften (OHG, KG) meist nicht familiär oder privat tätig, unterfallen also mit ihren Handlungen den Regeln der DS-GVO. Bei natürlichen Personen muss weiter geprüft werden (übrigens auch für den Zusammenschluss natürlicher Personen, z. B. eine aus Familienmitgliedern gegründete GbR oder KG). In der Fachliteratur wird vorgeschlagen, die Grenzlinie zwischen „privat“ und „nicht privat“ nach zivil- und steuerrechtlichen Kriterien zu ziehen. So liest man bei Taeger/Gabel/Schmidt Art. 2 DSGVO Rn. 19: „Die Verwaltung eigenen Vermögens ist eine private Tätigkeit, solange sie aufgrund ihres Umfangs nicht als gewerblich zu qualifizieren ist“ und findet (dort in Fußnote 61) eine ganze Reihe ähnlicher Literaturäußerungen.

Wer so abgrenzen möchte, müsste sich genauer anschauen, wo Zivil- und Finanzgerichte die „Grenzlinie“ zwischen privater Vermögensverwaltung und gewerblicher Vermietung ziehen – und würde wahrscheinlich staunen: Steuerrechtlich ist Vermietung zwar dann gewerblich, wenn bewegliche Gegenstände (Baugeräte, Wohnmobile und Ähnliches) vermietet oder Räume kurzfristig überlassen werden (Hotelzimmer, Ferienwohnungen). Gewerblichkeit liegt auch vor, wenn der Vermieter nicht einfach nur Räume oder Grundstücke überlässt (und dafür Miete erhält), sondern in erheblichem Umfang Nebenleistungen erbringt (z.B. technische Anlagen einbaut und wartet). Werden dagegen z.B. „nur“ Wohnungen vermietet, bleibt dies steuerlich auch bei großem Umfang (z.B. 100 Wohnungen) private Vermögensverwaltung. Und dann soll die DS-GVO nicht gelten?

Außer den gerade beschriebenen „Bauchschmerzen“ mit der Abgrenzung privater Vermietung nach deutschen DS-GVO-Kommentaren gibt es noch ein weiteres, juristisches Argument: Der Geltungsbereich der DS-GVO ist EU-rechtlich zu bestimmen, also nicht nach den im deutschen Recht üblichen Grenzen zwischen privater und gewerblicher Tätigkeit. Eine solche EU-rechtliche Abgrenzung ist noch nicht erfolgt.

Eigener Versuch: Private und familiäre Tätigkeit liegt dann vor, wenn bei der Vermietung nicht die Einnahmeerzielung, sondern private, familiäre Aspekte im Vordergrund stehen, z.B. bei der Überlassung von Wohnraum an Familienangehörige. Bei dieser Abgrenzung gilt die DS-GVO für (fast) alle Vermieter, also auch jene, die zwei oder drei Wohnungen an Fremde vermieten. Vorläufiger Trost: Solche Vermieter können sich auf die genannten Kommentare berufen und werden im Streitfall von Aufsichtsbehörden zunächst ganz sicher kein Bußgeld, sondern Hinweise erhalten.

Sind Mess- und Abrechnungsdienstleister Auftragsverarbeiter nach Art. 28 DS-GVO?

Zunächst einmal: Sie können es nur sein, wenn sie von einem „Verantwortlichen“ im Sinne der DS-GVO beauftragt wurden. Stammt der Auftrag also von einem Vermieter, den wir nach den obigen Überlegungen mit „privater oder familiärer Tätigkeit“ eingeordnet haben, ist der Dienstleister immer selbst Verantwortlicher, nicht Auftragsverarbeiter. Kommt der Auftrag demgegenüber von einer Hausverwaltung oder einem nicht privat oder familiär agierenden Vermieter, dürften Mess- und Abrechnungsdienstleister regelmäßig als Auftragsverarbeiter anzusehen sein, weil gerade ihre Hauptaufgabe in der Verarbeitung personenbezogener Daten für den Auftraggeber besteht. Die Datenverarbeitung ist also nicht nur Nebenzweck oder Begleiterscheinung einer selbständig ausgeübten Tätigkeit, sondern ihr maßgeblicher Inhalt.

Allerdings stellt sich dann noch eine Anschlussfrage für den konkreten Vorgang bei der ista Deutschland GmbH: Umfasste der erteilte Auftrag auch die Archivierung von Daten aus den Jahren 2006 bis 2012? Abgesehen vom Jahrgang 2012 (also bis einschließlich 2011) sind bei diesen Daten ja sogar die zehnjährigen Aufbewahrungsfristen nach Handels- und Steuerrecht schon abgelaufen. Wenn der Dienstleister hier eigenmächtig agierte, vorliegend nicht fristgerecht löschte, kommt für ihn auch eine Einordnung und Haftung als eigenständig datenschutzrechtlich Verantwortlicher nach Art. 28 Abs. 10 DS-GVO in Betracht.

Muss ich als Vermieter oder Hausverwalter nach Art. 33 und/oder Art. 34 DS-GVO Meldung erstatten?

Juristen-typische Antwort: Es kommt darauf an. Nämlich zunächst darauf, ob der Vermieter oder Hausverwalter datenschutzrechtlich Verantwortlicher ist. Wir haben zuvor bereits beleuchtet, dass diese Frage nicht pauschal beantwortet werden kann. Wenn Kleinstvermieter privat oder familiär agieren, deshalb der DS-GVO nicht unterfallen und eine Hausverwaltung beauftragen, die ihrerseits wiederum den Messdienstleister heranzieht, agiert die Hausverwaltung als Verantwortlicher im Sinne der DS-GVO und muss sich über Meldepflichten Gedanken machen. Ist demgegenüber der Vermieter datenschutzrechtlich Verantwortlicher, dann kann und muss die Hausverwaltung eine bei ihr eintreffende Meldung des Messdienstleisters an den Vermieter schnellstens „durchreichen“.

Die ista Deutschland GmbH hat nach eigener Darstellung bereits im Juli die zuständige Aufsichtsbehörde informiert. In der Vergangenheit haben die Aufsichtsbehörden Meldungen durch das von der Datenschutzverletzung betroffene Unternehmen akzeptiert und – unabhängig von der Einordnung als Verantwortlicher oder Auftragsverarbeiter im Einzelfall – Einzelmeldungen der davon betroffenen weiteren Stellen nicht verlangt, gelegentlich sogar ausdrücklich zurückgewiesen. Im Fall ista Deutschland GmbH sind Meldungen durch etliche Wohnungsunternehmen bei den verschiedenen Aufsichtsbehörden (z.B. in Bayern und Berlin) erfolgt und auch entgegengenommen worden. Da nach den (derzeit verfügbaren) Informationen Risiken für betroffene Personen nicht auszuschließen sind, wäre die Meldung durch verantwortliche Stellen gemäß Art. 33 DS-GVO vorzunehmen. Ein „hohes Risiko“ für Betroffene ist demgegenüber nicht erkennbar, so dass Meldungen nach Art. 34 DSGVO derzeit nicht geschuldet sind (dennoch gelegentlich stattfinden, siehe z.B. Gewobag Berlin).

Und zum Schluss: Was ist nun zu tun?

Auftraggeber sollten – jenseits formaler Meldepflichten – den Vorfall zum Anlass nehmen, um bei ihren eigenen Messdienstleistern nachzufragen und sicherzustellen, dass dort verarbeitete Daten rechtzeitig gelöscht werden. Und ganz grundsätzlich: Jeder Vermieter, jede Hausverwaltung sollte die eigene Datenschutz-Rolle (Verantwortlicher? Auftragsverwalter? Nur privat und familiär tätig?) sorgfältig klären (bei Hausverwaltungen z. B. können je nach auftraggebendem Vermieter die Datenschutz-Rollen auch verschieden sein.) Darauf aufbauend sind dann die jeweiligen Datenschutzpflichten (Verzeichnis der Verarbeitungstätigkeiten, Vereinbarungen zur Auftragsverarbeitung, …) „in Angriff zu nehmen“. Damit auch dieser Hacker-Angriff den Datenschutz voranbringt…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am vergangenen Donnerstag, den 16. Juni 2022 fand im Deutschen Hygienemuseum in Dresden der IT-Sicherheitstag Sachsen unter dem Thema „Der menschliche Faktor in der Informationssicherheit“ statt. Zugegen waren u.a. Herr Thomas Popp (Mitglied der Staatsregierung und CIO, Sächsische Staatskanzlei), Herr Steinig (Beauftragter für Informationssicherheit des Landes (CISO) Freistaat Sachsen), Herr Hoppenz (Fachbereichsleiter Cyber-Sicherheit in mobilen Infrastrukturen und Chiptechnologie, Bundesamt für Sicherheit in der Informationstechnik Freital) sowie zahlreiche weitere Vertreter und Vertreterinnen aus Verwaltung und Wirtschaft. Über die Veranstaltung und die Key Takeaways soll der nachfolgende Beitrag berichten.

WAS WAR GEGENSTAND DES IT-SICHERHEITSTAGES?

Der thematische Schwerpunkt der Veranstalter lag eindeutig auf der Sensibilisierung und der tragenden Rolle des Nutzers in der Informationssicherheit sowie dem digitalen Verbraucherschutz. Mehrere Akteure betonten richtigerweise immer wieder, dass aufgrund der angespannten und sich stetig zuspitzenden Cyber-Sicherheitslage es nicht mehr länger um die Frage geht, ob man Opfer eines möglichen Cyber-Angriffs wird, sondern wann dies der Fall sein wird. Die Beispiele für (erfolgreiche) Cyber-Angriffe sind zahlreich und haben mittlerweile den Status erreicht, dass man auch in der Tagespresse an diesbezüglichen Berichten nicht mehr vorbeikommt. Die Bedrohungen sind allgegenwärtig und mittlerweile zum Alltag geworden. Hinzu tritt eine sehr starke Professionalisierung des Bereiches der Cyberkriminalität. Längst ist Cybercrime as a Service in Form von illegalen Plattformen und Marktplätzen kein neues Phänomen mehr, sondern harte Realität. Die Täter profitieren hier zunehmend von einer stetig steigenden Vernetzung. Umso wichtiger ist die Stärkung des vermeintlich schwächsten Gliedes in der Verteidigungskette: des Nutzers. Jeder umsichtige Nutzer trägt bereits zu einer Stärkung der Informationssicherheit bei, da die Nutzer unstreitig zentrales Element bzw. zentraler Bestandteil eines jeden Sicherheitssystems sind. Erforderlich ist jedoch, dass die Nutzer für das Thema Informationssicherheit „abgeholt“ werden und nicht nur mit negativen Auswirkungen konfrontiert werden, denn nur der verständige und aufgeschlossene Nutzer wird zum erfolgreichen Baustein. Gleichwohl darf bei den Nutzern keine Übersättigung der Sensibilisierung zur Informationssicherheit eintreten.

Ebenfalls Teil der Veranstaltung waren mehrere Fachforen. Hierbei ging es u.a. um die Fragen „Wie erreichen wir den User – warum brauchen wir den User?“ und „IT-Sicherheit: wie kann die Wirtschaft unterstützen.“ Außerdem wurde unter dem Titel „Live-Hacking: Corona, Home-Office und zurück ins Büro“ von Roland Schreckenberg und Mike Seidel von ML Consulting Schulung, Service & Support GmbH ein Live-Hacking durchgeführt. Hierbei konnten den Zuschauern Schwachstellen, Risiken und Gefahren im Zusammenhang mit offenen WLAN- oder Bluetooth-Schnittstellen, Ransomware- oder Phishing-Attacken, Passwortsicherheit sowie Gefahren im Homeoffice bspw. durch IoT-Geräte näher gebracht werden.

WELCHE MAßNAHMEN SOLLTEN DURCH SÄMTLICHE EINRICHTUNGEN UMGESETZT WERDEN?

Ähnlich zum Bereich des Datenschutzes werden ebenfalls auf dem Gebiet der Informationssicherheit oftmals Argumente hinsichtlich des Zeit- und Kostenfaktors vorangestellt, um eine fehlende Sensibilisierung bzw. mangelhafte Umsetzung auf diesem Gebiet zu rechtfertigen. Dabei können eine Vielzahl kleinerer und einfach umzusetzender Maßnahmen bereits einen erheblichen Sicherheitsgewinn darstellen. Auch der Kommunikation zwischen der Leitungsebene und den Beschäftigten kommt eine wichtige Rolle zu: Werden Bedürfnisse in der alltäglichen Arbeit der Beschäftigten nur unzureichend berücksichtigt, kann es unter Umständen zu einem unbeherrschbaren Umfang an sogenannter Schatten-IT kommen. Unter dem Begriff der Schatten-IT sind sämtliche informationstechnische Systeme, Prozesse, Anwendungen und Endgeräte zu verstehen, welche durch einzelne Fachbereiche oder Beschäftigte einer Einrichtung ohne Freigabe oder gar Kenntnisnahme der IT-Abteilung bzw. der Leitungsebene angeschafft und eingesetzt werden. Eine Betrachtung von Sicherheitsaspekten unterbleibt hierbei oftmals gänzlich.

Sicherlich wird die Problematik von Schatten-IT innerhalb einer Einrichtung nicht von heute auf morgen angegangen werden können, eine rasche Aufarbeitung empfiehlt sich dennoch. Daneben sollten weitere wichtige Maßnahmen getroffen werden, unter anderem:

– Zugriffsschutz: Die dienstlichen Geräte und deren Anwendungen müssen durch Schutzmaßnahmen wie PIN und Passwort abgesichert werden. Bei Abwesenheit sind die Geräte durch die Nutzenden zu sperren. Darüber sollte einrichtungsübergreifend eine automatische Sperrung der Geräte und Abmeldung der Nutzendenkonten erfolgen.

– Passwortsicherheit: Mittels (technischer) Richtlinien ist die Nutzung angemessener Passwörter festzulegen. Ein Passwort sollte mindestens acht bis zwölf Zeichen umfassen, Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Voreingestellte Passwörter sind umgehend zu ändern. Die Anzahl zulässiger Fehlversuche ist gering zu halten. Die Nutzung von sogenannten Passwort-Safes ist zu ermöglichen.

– Untersagung privater Nutzung dienstlicher Hard- und Software: Neben datenschutzrechtlichen Schwierigkeiten birgt die private Nutzung dienstlicher IT ebenfalls Risiken im Bereich der Informationssicherheit. Aufgrund einer privaten Nutzung kann es zu einem erhöhten Risiko für einen Befall mit Schadsoftware kommen. Für private Anliegen kann ein separates Netzwerk zur Verfügung gestellt werden, mit dem private Endgeräte verbunden werden dürfen.

– Untersagung des Einsatzes privater Hard- und Software: Problematisch an der Nutzung privater Hard- und Software ist, dass diese oftmals keine rechtliche und technische Überprüfung durchlaufen hat und nicht durch die IT der Einrichtung administriert werden kann. Die Schutzziele der Informationssicherheit können somit nicht vollumfänglich gewährleistet werden.

– Regelung der Nutzung externer Clouddienste: Die Nutzung von Clouddiensten bedarf einer umfangreichen Prüfung der rechtlichen und technischen Gegebenheiten. Eine Regelung zur Nutzung externer Clouddienste sollte Festlegungen hinsichtlich der Nutzungsszenarien sowie freigegebener Clouddienste enthalten.

– Nutzung von mobilen Datenträgern: Bei mobilen Datenträgern ist das Risiko eines Verlustes besonders hoch. Daher sollten diese technisch durch eine Verschlüsselung nach aktuellem Stand der Technik geschützt werden. Darüber hinaus empfiehlt sich die Etablierung einer Regelung, für welche Verwendungszwecke und Informationen die Nutzung mobiler Datenträger zulässig ist.

– Netzwerksegmentierung: Je nach Verwendungszweck, Schutzbedarf und Risiko sollten unterschiedliche Netzwerke genutzt werden. Die Nutzung eines separaten Netzwerkes empfiehlt sich insbesondere für die Nutzung von privaten Endgeräten und für SmartHome-Geräte. Letzteres sollte besonders im Rahmen von Regelungen zu mobilen Arbeiten und Homeoffice berücksichtigt werden.

– Deaktivierung von Schnittstellen: Verbindungsschnittstellen sind ein beliebtes Angriffsziel, um so unbefugt auf Geräte und Informationen zugreifen zu können. WLAN- und Bluetooth-Schnittstellen sollten aus diesem Grund nur bei einer tatsächlichen Nutzung aktiviert und anschließend unverzüglich wieder deaktiviert werden.

FAZIT

Die Anzahl der Cyber-Angriffe nimmt stetig zu. Einrichtungen und Nutzende sind hierbei jedoch nicht schutzlos ausgeliefert. Die Durchführung von Sensibilisierungsmaßnahmen sowie die Umsetzung zahlreicher kleiner technischer und organisatorischer Maßnahmen können bereits einen erheblichen Sicherheitsgewinn darstellen. Wichtig ist, dass das Bewusstsein für diese Thematik und die allgegenwärtigen Risiken gestärkt wird. Gern unterstützen wir auch Sie bei der Umsetzung.

Über die Autoren:
Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.