Datenpannen – und nun?
Die Nachrichten über Internet Angriffe reißen in diesem Sommer nicht ab. „Auch 2012 wird wieder das <Jahr der Hacks> blieben“, heißt es im Editorial der Zeitschrift „Datenschutz und Datensicherheit“ (Ausgabe 09/2012) – genauso wie es IT-Experten auch schon 2011 und 2010 festgestellt hätten. Neben der Frage welche technischen Sicherheitsmaßnahmen für welche Systeme nötig sind, stellt sich für Unternehmen auch die Frage was getan werden muss, wenn es denn passiert ist und sie Opfer eines Hacker Angriffs geworden sind.
Ein Beispiel
Die Reaktion auf einen Hacker Angriff ist von zahlreichen Faktoren abhängig, so unter anderem von der Art der betroffenen Daten, von den konkret geschädigten Systemen und von der Bekanntheit des Unternehmens. Das nachfolgende Beispiel fand in einem in der Öffentlichkeit recht bekannten Unternehmen statt, dessen Online-Shop angegriffen wurde.
Frühzeitige Information
Der Angriff wurde in den frühen Morgenstunden durch den externen Dienstleister bemerkt, der den Online-Shop betreut. Er informierte umgehend die IT-Verantwortlichen am Hauptsitz des Unternehmens. Trotzdem dauerte es volle drei Tage, bis man sicher wusste welche Kundendaten des Online-Shops genau betroffen waren.
Meldepflicht nach § 42a BDSG
Die Feststellung, auf welche Daten durch Unbefugte Zugriff genommen wurde, ist unter anderem deshalb entscheidend, weil für bestimmte Daten eine Meldepflicht nicht nur gegenüber den Betroffen sondern auch der zuständigen Aufsichtsbehörde besteht – und zwar „unverzüglich“. Dies gilt für Gesundheitsdaten und andere sog. besonderer Arten personenbezogener Daten sowie für Bank- und Kreditkarteninformationen. Der Verstoß gegen diese Meldepflicht kann mit Bußgeld bis 300.000 EUR geahndet werden.
Vorsorgliche Meldung
In Absprache mit der Datenschutzbeauftragten entschloss sich das Unternehmen daher trotz der andauernden Suche nach den betroffenen Daten, die Aufsichtsbehörde vorsorglich zu informieren. Die bisherigen Erkenntnisse über die technischen Zusammenhänge wurden gegenüber dem Landesdatenschutzbeauftragten ebenso offen gelegt wie die getroffen Maßnahmen zur Schadensbegrenzung. Der Landesdatenschutzbeauftragte bot seine Unterstützung an und übersandte eine Informationsbroschüre mit weiterführenden Hinweisen.
Krisen-PR
Aufgrund der Bekanntheit des Unternehmens war davon auszugehen, dass der Vorfall mit einiger Wahrscheinlichkeit öffentlich werden würde. Daher wurde die Abteilung Öffentlichkeitsarbeit umgehend über alle Maßnahmen informiert. Es wäre peinlich, so die Einschätzung, wenn die Pressesprecherin bei einer entsprechenden Anfrage entweder nicht informiert wäre oder zwei Tage für eine fundierte Reaktion brauchte. In Absprache mit den Datenschützern und der Abteilung Öffentlichkeitsarbeit entschied man sich am Tag nach Bekanntwerdens des Vorfalls auch zu einer vorsorglichen Information der Kunden des Online Shops. Zu diesem Zeitpunkt war wenigstens bekannt, dass keine Zahlungsdaten betroffen sein konnten, weil solche nicht in der Datenbank des Online Shops gespeichert waren. Offen war jedoch, ob andere sensible Kundendaten, z.B. Passwörter, betroffen waren. Sollte dies aber der Fall sein, so die Überlegung, käme es auf jeden Tag an, da viele Menschen dazu neigen, ein und dasselbe Passwort für verschiedene Zugänge einzusetzen. Daher wurden alle Kunden per E-Mail über den Vorfall informiert und aufgefordert, ihr Passwort sicherheitshalber zu ändern.
Ursachenforschung
Neben der Kommunikation nach innen und außen ist im Fall eines Hacker Angriffs die Kenntnis der Ursache entscheidend. Es ist eine Binsenweisheit, dass es keine hundertprozentige Sicherheit technischer Systeme gibt. Aber es gibt vermeidbare Sicherheitslücken – und die zu kennen ist notwendig um Angriffsflächen zu minimieren. In meinem Beispiel dauerte der Prozess der Ursachenforschung mehrere Wochen. Erst dann war klar, dass der Angriff unter anderem durch die schleppende Umsetzung von Sicherheitsmaßnahmen durch den externen Dienstleister begünstigt wurde. Diese wiederum hatte ihre Ursache in mangelnder Absprache zwischen dem Dienstleister und den IT-Verantwortlichen und letztlich auch der Datenschutzbeauftragten.
Ein fast vorbildlicher Prozess
Insgesamt kam das Unternehmen noch halbwegs glimpflich davon. Darüber hinaus gelang es in einem fast vorbildlichen Prozess, durch eine enge Kooperation aller Beteiligten die jeweils nötigen Schritte einzuleiten und umzusetzen, und das obwohl es für einen solchen Fall keine vorher festgelegten Abläufe oder Anweisungen gab.