Der Mittelstand gilt als Rückgrat der deutschen Wirtschaft – flexibel, leistungsfähig und innovationsgetrieben. Gleichzeitig zeigt die aktuelle Bedrohungslage immer deutlicher: Cyberangriffe sind längst kein Randphänomen mehr, sondern betreffen Unternehmen aller Größen und Branchen. Gerade mittelständische Organisationen geraten zunehmend in den Fokus professioneller Angreifer – nicht zuletzt, weil sie hochgradig vernetzt arbeiten, gleichzeitig jedoch oft mit begrenzten Ressourcen im Bereich Informationssicherheit operieren.

Aktueller Praxisfall

Ein aktueller Praxisfall verdeutlicht diese Entwicklung eindrücklich. Innerhalb weniger Stunden eskalierte ein zunächst punktuell erscheinender IT-Sicherheitsvorfall zu einem umfassenden Ransomware-Angriff. Erste technische Auffälligkeiten wurden am frühen Abend erkannt. Im weiteren Verlauf kam es zu einer aktiven Verschlüsselung zentraler Systeme, die sich innerhalb kurzer Zeit über wesentliche Teile der IT-Infrastruktur ausbreitete.

Die eingeleiteten Reaktionsmaßnahmen folgten bewährten Mustern des Notfallmanagements: Systeme wurden isoliert, Netzwerke getrennt und kontrolliert heruntergefahren, um eine weitere Ausbreitung zu verhindern. Parallel wurde ein interdisziplinärer Krisenstab eingerichtet und externe Expertise aus IT-Forensik, Incident Response, Datenrettung sowie rechtlicher Beratung hinzugezogen. Zeitgleich mussten organisatorische Notlösungen etabliert werden, um grundlegende Geschäftsprozesse – soweit möglich – aufrechtzuerhalten.

Und Plötzlich Zeit(-Druck)

Wie in vergleichbaren Szenarien zeigte sich auch hier, dass die operative Wiederherstellung komplexer IT-Landschaften Zeit erfordert. Insbesondere die Wiederherstellung geschäftskritischer Systeme, die Validierung von Datenbeständen sowie die parallele forensische Analyse führen zwangsläufig zu einem gestaffelten Wiederanlauf. Insgesamt ergab sich in dem betrachteten Fall eine erhebliche Beeinträchtigung über einen Zeitraum von rund 19 Tagen – verbunden mit einem weiterhin eingeschränkten Betrieb über diesen Zeitraum hinaus.

Dieser Verlauf ist kein Einzelfall, sondern entspricht in weiten Teilen dem typischen Muster moderner Cyberangriffe. Die zunehmende Professionalisierung von Angreifern, automatisierte Angriffswerkzeuge sowie die gezielte Ausnutzung komplexer IT-Strukturen führen dazu, dass selbst gut aufgestellte Organisationen vor erheblichen Herausforderungen stehen.

Informationssicherheit ist eine Querschnittsaufgabe

Vor diesem Hintergrund wird deutlich: Informationssicherheit ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil der unternehmerischen Resilienz. Im Kern geht es um die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen – und damit unmittelbar um die Aufrechterhaltung des Geschäftsbetriebs.

Gleichzeitig zeigt die Praxis, dass Informationssicherheit im Mittelstand häufig historisch gewachsen ist. Sicherheitsmaßnahmen werden sukzessive implementiert und an konkrete Anforderungen angepasst. Dieses Vorgehen ist nachvollziehbar, führt jedoch in komplexen IT-Umgebungen zunehmend an seine Grenzen. Die Dynamik aktueller Bedrohungslagen erfordert daher verstärkt strukturierte und ganzheitliche Ansätze.

Hier setzen etablierte Standards und Frameworks an, wie etwa die ISO/IEC 27001. Sie bieten einen systematischen Rahmen, um Informationssicherheit nicht nur technisch, sondern auch organisatorisch und prozessual zu verankern. Für mittelständische Unternehmen bedeutet dies vor allem: Transparenz über Risiken, klare Verantwortlichkeiten sowie definierte Abläufe für den Ernstfall. Dabei steht nicht die Zertifizierung im Vordergrund, sondern die nachhaltige Stärkung der eigenen Widerstandsfähigkeit.

Der geschilderte Vorfall unterstreicht insbesondere die Komplexität von Cyberereignissen. Aspekte wie Angriffserkennung, Eindämmung, Wiederherstellung und Kommunikation greifen ineinander und müssen unter hohem Zeitdruck koordiniert werden. Gleichzeitig zeigen solche Situationen, wie entscheidend vorbereitete Strukturen, abgestimmte Prozesse und sensibilisierte Mitarbeitende sind.

Für die Unternehmensleitung ergibt sich daraus ein klarer strategischer Auftrag. Informationssicherheit sollte als integraler Bestandteil der Unternehmensführung verstanden und entsprechend priorisiert werden. Ausgangspunkt bildet eine fundierte Betrachtung der eigenen Risiken und Abhängigkeiten. Darauf aufbauend gilt es, geeignete organisatorische und technische Maßnahmen zu etablieren sowie Notfall- und Wiederanlaufprozesse vorzubereiten und regelmäßig zu überprüfen.

Ebenso wichtig ist die Einbindung der Mitarbeitenden. Informationssicherheit ist eine Querschnittsaufgabe, die nur dann wirksam ist, wenn sie in der gesamten Organisation gelebt wird. Sensibilisierung und klare Leitlinien tragen dazu bei, Risiken frühzeitig zu erkennen und angemessen zu reagieren.

Fazit

Der Praxisfall zeigt letztlich vor allem eines: Cyberangriffe sind heute Teil der unternehmerischen Realität. Die Frage ist nicht mehr, ob ein Unternehmen betroffen sein könnte, sondern wie gut es darauf vorbereitet ist. Die rund 19 Tage eingeschränkter Geschäftsbetrieb verdeutlichen die betriebswirtschaftliche Dimension solcher Vorfälle. Informationssicherheit ist daher keine optionale Zusatzaufgabe, sondern ein wesentlicher Baustein für Stabilität, Vertrauen und Zukunftsfähigkeit im Mittelstand.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel sowie Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) einmal mehr ausdrücklich auf die zunehmend angespannte Sicherheitslage hin. Das BSI beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus stehen Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen. Ein Faktor für steigenden Zahlen mag sicherlich die angespannte Cyber-Sicherheitslage unter dem Einfluss der COVID-19-Pandemie sein. Vielseitige Phishing-Kampagnen unter inhaltlicher Bezugnahme auf die Pandemie gehören in vielen Organisationen mittlerweile sogar zum täglichen Lagebild. Darüber hinaus bestimmen aber auch vermehrt Vorfälle größerer Natur die mediale Aufmerksamkeit. Exemplarisch können hier die kritischen Schwachstellen in Microsoft Exchange (bekanntgeworden unter dem Begriff der sog. Hafnium-Sicherheitslücke), die Log4j-Schwachstelle oder der Solar-Winds-Vorfall angeführt werden. Schließlich wird die Cyber-Sicherheitslage durch immer neue Schadsoftware-Varianten und Bedrohungsszenarien geprägt. So gehören auch die cyber-kriminelle Erpressungsmethoden beinahe zum Alltag in Unternehmen und Verwaltung. Dies alles ist Grund genug, um im nachfolgenden Beitrag den Blick auf die datenschutzrechtlichen Herausforderungen im Zusammenhang mit Melde- und Benachrichtigungspflichten bei IT-Sicherheitsvorfällen zu werfen.

WIE GESTALTET SICH DIE RECHTLICHE AUSGANGSLAGE?

Gesetzliche Meldepflichten für den Fall von IT-Sicherheitsvorfällen existieren in Deutschland für eine Vielzahl unterschiedlicher Situationen. Neben der wohl bekanntesten Norm des Art. 33 DS-GVO kann in diesem Zusammenhang beispielhaft auf § 8b Abs. 4 BSI-Gesetz (BSIG) zur Meldepflicht für Betreiber kritischer Infrastrukturen oder § 168 Telekommunikationsgesetz hingewiesen werden. Bedeutung erlangen zudem § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz. Die Meldepflichten an die jeweils zuständigen Behörden sind je nach Rechtsgebiet unterschiedlich ausgestaltet und unterscheiden sich in Ihrer Art und Weise, d.h. in Bezug auf Inhalt und Frist, nach dem konkreten Anwendungsfall.  Datenschutzrechtliche Relevanz im Zusammenhang mit den eingangs dargestellten steigenden Cyberbedrohungen entfalten vermehrt Fragen im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der im Rahmen von IT-Sicherheitsvorfällen möglicherweise entstehenden Meldepflicht an die zuständige Datenschutzaufsichtsbehörde.

WANN IST VON EINER MELDEPFLICHT NACH ART. 33 DS-GVO AUSZUGEHEN?

Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert. Als Verletzung des Schutzes personenbezogener Daten ist demnach „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ zu verstehen. Durch die vorstehende Definition wird ersichtlich, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften eine Meldepflicht nach Art. 33 DS-GVO auslöst. Vielmehr wird eine Verletzung der Sicherheit adressiert.

Im Falle des Vorliegens einer Verletzung meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies der zuständigen Datenschutzaufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hierbei ergeben sich die Mindestinhalte der Meldung aus Art. 33 Abs. 3 DS-GVO. Nach Art. 33 Abs. 5 DS-GVO ist der Verantwortliche schließlich verpflichtet, Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Die Norm ist mithin Ausfluss der Rechenschaftspflicht. Soweit die Theorie. In der Praxis stellen sich hierbei zunehmend Herausforderungen bei der rechtlichen Bewertung ein.

WO LIEGT NUN DAS (AUSLEGUNGS-)PROBLEM?

Die im Zusammenhang mit der Meldepflicht nach Art. 33 DS-GVO entstehenden Probleme, können am Fall der sog. „Hafnium-Sicherheitslücke“ sehr gut verdeutlicht werden. Unter dem Begriff der „Hafnium-Sicherheitslücke“ werden Schwachstellen in on-premise betriebenen Microsoft-Exchange-Servern bezeichnet, wie sie Anfang März 2021 aufgetreten sind. Das BSI führt im Lagebericht 2021 hierzu aus: „Im März 2021 veröffentlichte Microsoft ein außerplanmäßiges Sicherheitsupdate für den weit verbreiteten Groupware- und E-Mail-Server Exchange. Das Update schloss vier kritische Schwachstellen, die in Kombination bereits für gezielte Angriffe ausgenutzt worden waren. Eine der Schwachstellen ermöglicht Angreifern, sich durch Senden speziell formulierter HTTP-Anfragen auf dem Exchange-Server zu authentisieren. Anschließend kann unter Ausnutzung der weiteren Schwachstellen beliebiger Programmcode mit weitreichenden Zugriffsrechten ausgeführt werden. Angreifer nutzten dies aus, um auf tausenden Servern Hintertüren in Form sogenannter Webshells einzuschleusen. Wurden diese nach der Installation der Sicherheitsupdates nicht entfernt, hatten die Täter weiterhin Zugriff auf betroffene Systeme und konnten darüber zum Beispiel E-Mails ausspähen oder Schadprogramme, wie Ransomware, ausrollen. Zum Zeitpunkt des Bekanntwerdens der Schwachstellen waren 98 Prozent der geprüften Systeme in Deutschland verwundbar […]“. Insbesondere in diesem Fall von erhöhter medialer Aufmerksamkeit äußerten sich die deutschen Datenschutzaufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus. Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Weit überwiegend wurde jedoch im Fall einer Kompromittierung eine Meldepflicht gemäß Art. 33 DS-GVO angenommen. Die vielen unterschiedlichen Ansichten sorgten jedoch für extreme Rechtsunsicherheiten.

WAS NEHMEN WIR FÜR DIE PRAXIS MIT?

Die Hafnium-Sicherheitslücke zum Anlass genommen, hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorfalls. Nach Ansicht des Arbeitskreises führt das reine Vorhandensein von Sicherheitslücken bzw. Schwachstellen noch nicht zur Annahme einer Datenschutzverletzung und mithin zu einer Meldepflicht: „Nur die Kenntnis einer Sicherheitslücke durch den Verantwortlichen reicht nicht aus, sondern es müssen Hinweise vorliegen, dass Risiken für die Rechte und Freiheiten von Betroffenen bestehen. Ein Angriff auf ein System, mit dem personenbezogene Daten verarbeitet werden, kann jedoch genügen […]“. So entfällt die Meldepflicht gemäß Art. 33 Abs. 1 Satz 1 Hs. 2 DS-GVO, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Arbeitskreis führt hierzu aus: „Da Exchange-Server in sehr unterschiedlichen Konfigurationen betrieben werden, kann nicht davon ausgegangen werden, dass nur wegen des Vorliegens einer Schwachstelle auch eine Kompromittierung stattgefunden hat.“ Und weiter: „Lässt sich aber nicht mit hinreichender Sicherheit feststellen, ob nach festgestellter Kompromittierung der Systeme auch eine konkrete Datenschutzverletzung vorliegt, so können nur wenige Hinweise auf eine Verletzung des Schutzes personenbezogener Daten eine hinreichende Konkretisierung als Grundlage für eine spätere Meldung an die zuständige Aufsichtsbehörde sein […] nur die Feststellung einer Kompromittierung kann aus unserer Sicht noch keine Meldepflicht begründen.“ Der Arbeitskreis fordert mit Blick auf die gesetzgeberische Intention auch bei Vorliegen einer Kompromittierung weitergehende Prüfungen bzw. Konkretisierungen, ob es gleichwohl zu Verletzung des Schutzes personenbezogener Daten gekommen ist. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar.

FAZIT

Was zunächst bleibt, ist der Umstand, dass die Bewertung des Vorliegens einer Datenschutzverletzung und damit einhergehend des Bestehens einer Meldepflicht nach Art. 33 DS-GVO auch in den Konstellationen der IT-Sicherheitsvorfälle stets einzelfallbezogen zu bewerten ist. Letztlich verbietet sich aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren eine generische Bewertung von IT-Sicherheitsvorfällen im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“.

Datenschutzrechtlich Verantwortlichen ist zudem anzuraten ein strukturiertes Incident-Response-Management in Betracht zu ziehen. Wesentlicher Bestandteil ist die Etablierung von Melde- und Prozessketten für die Behandlung von IT-Sicherheits- und Datenschutzvorfällen. Zentraler Baustein für die fristgerechte Wahrnehmung der gesetzlichen Meldepflichten ist der organisationsinterne Informationsfluss an die letztlich entscheidungsbefugten Ebenen. Für den Aufbau eines erfolgversprechenden Meldeprozess bedarf es wiederrum der Schaffung eines grundlegenden Verständnisses und den Beschäftigten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.