Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

DSGVO-Gazette #27: Hackerangriff und Datenschutz - Meine "Goldenen Regeln" - Teil 2

Liebe Leserinnen und liebe Leser,

im ersten Teil dieses zweiteiligen Beitrags habe ich über die Handlungsempfehlungen gesprochen, die vor einem Hackerangriff zu erledigen sind. Nun folgen die Handlungsempfehlungen, die Sie als Unternehmen beherrzigen sollten, nachdem ein Hackerangriff passiert ist. Beachten Sie bitte, dass für Sie der erste Schritt sein wird, Ihre komplette digitale Infrastruktur vom Internet zu trennen. Deswegen drucken Sie diesen kurzen Artikel gerne aus und legen Sie ihn zum Notfalhandbuch.

Goldene Regeln bei/nach einem Hackerangriff

Ein erfolgreicher Hackerangriff kann schlimmer werden, wenn Sie nicht grundsätzliche Dinge beherzigen. Wichtig ist vor allem, dass Sie ihren (externen) Datenschutzbeauftragten unverzüglich einbinden.

  • Vertuschen Sie nichts!

    Transparenz hat noch nie geschadet - erst recht nicht bei einem Hackerangriff. Nutzen Sie die Kommunikation zu Ihrem Vorteil. Letztlich hat jedes Unternehmen, mit dem Sie zusammenarbeiten, ausreichend Respekt vor der Lage, in der Sie sich gerade befinden. Jeder Hackerangriff ist öffentlich - die Seite der Hacker ist öffentlich - Ihre Daten werden öffentlich gemacht - andere Unternehmen und das Landeskriminalamt Schleswig-Holstein, Sachgebiet SG 231 – Zentrale Ansprechstelle Cybercrime scannen das Darknet nach Daten mit ihren Firmenangaben: Also versuchen Sie erst gar nicht, den Hackerangriff nicht bei Polizei, Aufsichtsbehörde und den Betroffenen zu melden. Eine Nicht-Meldung würde Ihre Situation sehr viel schlimmer machen!

  • Nehmen Sie sich Ihr IT-Notfallhandbuch zu Hand

    Sie haben kein IT-Notfallhandbuch? Sie kennen nur die Support eMail-Adresse Ihres IT-Dienstleisters und die ist auf einem PC gespeichert, der gerade verschlüsselt wurde? Das wäre schlecht. Also gehen Sie einen Schritt zurück und erstellen Sie ein entsprechendes Notfallhandbuch. Quelle 1 // Quelle 2

  • Kontaktieren Sie Ihre IT-Dienstleister / Ihre IT-Abteilung

    Kontaktieren Sie Ihren IT-Dienstleister. Gehen Sie nun genau so vor, wie Sie das geplant haben. Z. B. fahren Sie geordnet die Systeme herunter - angefangen mit dem Internetzugangspunkt. Gehen Sie davon aus, dass Sie einen Datenabzug nicht mehr verhindern können. Professionelle Hacker (und mit denen haben Sie es immer zu tun) gehen nach einem klar festgelegten Verhaltensmuster (ähnlich Ihrem IT-Notfallhandbuch, nur umgekehrt) vor. Diese Hacker sichern sich Ihre Daten, lange bevor sie Schaden anrichten. Jetzt geht es darum, Ihre IT-Infrastruktur zu "retten" und weiteren Schaden abzuwenden. Der Fokus liegt in dieser Phase auf weitere Schadensabwendung.

  • Klären Sie den Sachverhalt / Poizei einbinden

    Binden Sie nach der Polizei (Cybercrime-Einheit des für Sie zuständigen Landeskriminalamts) auf jeden Fall direkt einen IT-Forseniker ein. Auch diesen Anbieter sollten Sie vorab auswählen und nicht erst, wenn es dringend ein. Denn ich befürchte, dass in dieser Situation für einen Preis- und Leistungsvergleich keine Zeit mehr ist. Die IT-Forseniker / das Team aus IT-Forensikern werden Ihnen bei der Analyse des Sachverhalts behilflich sein.

  • Bewerten Sie das Risiko für die Betroffenen / Melden Sie den Vorfall an die Datenschutz-Aufsichtsbehörde

    Bei einer solche Risikobewertung unterstützt Sie Ihr (externer) Datenschutzbeauftragter. Geben Sie sich jedenfalls keiner Illusion hin, denn eine entsprechende Risikobewertung attestiert in der Regel ein "hohes Risiko für die Rechte und Freiheiten von Betroffenen", etwa weil die Daten der Lohnbuchhaltung weg sind. Sobald alle Daten vorhanden sind, melden Sie die Verletzung des Datenschutz bei der für Sie zuständigen Datenschutz-Aufsichtsbehörde. Beachten Sie, dass hierfür eine Frist von 72 Stunden ab Kenntnis (des Verantwortlichen/Unternehmens) in Bezug auf die Verletzung gilt.

  • Wenden Sie sich an die Betroffenen

    Nun folgt ein schwerer Schritt für die meisten Unternehmen. Sie müssen - teilweise öffentlich - teilweise durch direkte Ansprache bei langjährigen Gesprächspartnern und Kunden - transparent machen, dass Ihr Unternehmen personenbezogene Daten / Daten in Bezug das Geschäftsgeheimnis verloren hat. Auch hier gilt: Leugnen oder Runterspielen nutzt nichts. Denn die Daten sind bereits im Darknet öffentlich einsehbar - ganz einfach als Web-Explorer mit Verzeichnissen und Dateien. Sie brauchen also ein Verzeichnis aller Daten, die verloren gegangen sind und wem diese Daten gehören. Diese Betroffenen müssen sie warnen nach Art. 34 DSGVO. Das entsprechende Anschreiben wird die für Sie zuständige Aufsichtsbehörde bei Ihnen anfordern.

  • Stellen Sie ihren Betrieb wieder her

    Natürlich ist das leichter gesagt als getan. Denn dieser Punkt wird viel Zeit und Geld in Anspruch nehmen. Aber auch hier gilt: Je besser Sie sich darauf vorbereitet haben, desto günstiger wird es und desto schneller geht das. Sie sparen mit jedem Euro und mit jeder Minute für die Vorbereitung ein Vielfaches der auf Sie zukommenden Kosten/Zeit.

  • Betrachten Sie Ihre Lage retrospektiv und führen Sie ein Lessons Learned durch

    Setzen Sie sich nachträglich mit der Situation auseinander, die Ihrem Unternehmen widerfahren ist. Identifizieren Sie die Schwachstellen, welche Sie in diese Lage gebracht haben. Stellen Sie diese ab und versuchen Sie sich besser zu schützen oder besser in einer entsprechenden Situation reagieren zu können.

Haben Sie Fragen zur Vorbeugung oder zum Umgang mit einem Hackerangriff - dann melden Sie sich gerne bei mir.

Viele Grüße aus der Kaiserstadt Aachen

Ingo Goblirsch

Ingo Goblirsch LL.M.

Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

Foto von sebastiaan stam auf Unsplash. Danke!