Datenschutz-Verletzungen (2)

In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.

Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.

Was passiert ist

Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.

E-Mail Postfach kompromittiert

Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.

Die Folgen

Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.

Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.

Weitere Maßnahmen

Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.

Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.

Was der Vorfall lehrt

Geschäftsführungen und Vorstände müssen sich auf einen technisch sicheren Weg für den internen Austausch und die Speicherung vertraulicher Informationen verständigen. E-Mail ist dafür ungeeignet.

So lästig es ist: Passwörter müssen sorgfältig verwahrt und regelmäßig geändert werden, was im Fall des H offenbar nicht geschehen ist. „They didn’t brute force his password“, wie der in England ansässige IT-Leiter so schön sagte – das-Mail-Account wurde ohne technisch gestützten Angriff auf das Passwort übernommen.

Trennung von geschäftlichen und privaten Inhalten: es ist immer noch weitverbreitet, geschäftliche und private Angelegenheiten in einem (geschäftlichen) E-Mail-Postfach abzuwickeln. Wird dies dann übernommen, hat der Angreifer quasi das ganze Leben des Betroffenen in der Hand und nicht nur das halbe - was ja schon schlimm genug ist, wenn es passiert.

Niemals dasselbe Passwort für verschiedene Accounts verwenden. Begründung, siehe oben: Wenn ein Zugang kompromittiert ist, kann der Angreifer wenigstens nicht auch noch das Online Banking oder den Account fürs Online Dating missbrauchen. Aus denselben Gründen niemals Passwörter per E-Mail-verschicken!

Sicherstellen, dass die Anzahl derer, die über Administratorpasswörter verfügen, begrenzt bleibt. Einführung des Vier-Augen-Prinzips für den Zugang auf unternehmenskritische Systeme.
Sicherstellen, dass Passwörter sofort entzogen werden, wenn jemand das Unternehmen verlässt.

Im nächsten Artikel:

Kommunikation bei Sicherheitsvorfällen

Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.

Wir beraten Ihr Unternehmen zu Datenschutz und IT-Sicherheit.

Wir beraten Sie umfassend zu allen Themen des Datenschutzes und Informationssicherheit. Was genau Sie für Ihr Unternehmen brauchen, entwickeln wir am besten zusammen. In der Regel geben Sie uns zu Beginn ein Stichwort, welches Ihre drängendste Herausforderung ist: Brauchen Sie ein Datenschutzkonzept, ein weitreichendes Informationssicherheitsmanagementsystem (ISMS), die Vorbereitung einer ISO-Zertifizierung oder Rat in einzelnen (Rechts-) Fragen? Möchten Sie Datenschutz- und/oder Sicherheitsleitlinien für Ihr Unternehmen formuliert oder Dokumentation zu Datenschutz und ISMS erstellt haben? Auch die neue EU-Datenschutz-Grundverordnung sowie das IT-Sicherheitsgesetz bringen die Notwendigkeit mit sich, unternehmensinterne Prozesse anzupassen und zu überprüfen.

Sie erhalten von uns dabei auch immer Organisationsberatung. Die besten Konzepte zum Datenschutz und zur Informationssicherheit nützen nichts, wenn sie nur auf dem Papier existieren und nicht klar ist, wie sie im Unternehmen etabliert werden können. Auch dabei unterstützen wir Sie.

Bei komplexen Projekten hat es sich bewährt, am Anfang einer Zusammenarbeit einen Workshop stattfinden zu lassen, in dem wir mit Ihnen zusammen herausfinden, was genau Sie für Ihr Unternehmen brauchen und bei welchen Aufgaben wir Ihnen am besten zu Seite stehen können. Auf diese Weise haben Sie ohne große Investitionen einen guten Überblick über notwendige Veränderungen und wir eine Basis für konkrete Empfehlungen und Maßnahmen. Die gewonnenen Erkenntnisse können wir - sofern gewünscht - mit Ihnen anschließend Stück für Stück aufbauen und umsetzen, oder Sie beginnen selber und ziehen uns nur in Einzelfällen hinzu.

Umfassende Erfahrung in vielen Bereichen

Wir arbeiten im Team mit Juristen und Technikern; wir verfügen über Erfahrung in vielen Gebieten. Umfassendes Wissen zu allen Fragen des Datenschutzes erhalten Sie von uns ebenso selbstverständlich wie Kenntnisse der ISO-Zertifizierungsverfahren und des Aufbaus von Sicherheitskonzepten aller Art. Als sogenannte "Soft Skills" bringen wir ausgeprägte kommunikative Fähigkeiten mit und Erfahrungen als Business-Coach. Für Penetrationstests und sonstige rein technische Sicherheitsprüfungen ziehen wir externe Partner hinzu. Zu unseren Partnern zählen außerdem Fachanwälte für Arbeitsrecht und Fachanwälte für IT Recht.

Wir entwickeln mit Ihnen und für Sie praktikable und wirtschaftlich sinnvolle Konzepte und helfen Ihnen bei der Umsetzung. Auch bei der langfristigen Überwachung Ihrer Prozesse stehen wir an Ihrer Seite.

Unseren Empfehlungen liegen stets die besten Verfahren zugrunde, die sich aus der aktuellen Rechtsprechung, den Anforderungen der technischen Regelwerke und den Orientierungshilfen der für Sie zuständige Datenschutz-Aufsichtsbehörde ergeben.