Datenleck: Wenn das Unternehmen gehackt wird – was tun?

Datenleck nach Hackerangriff: Unternehmen gehackt? Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Wer von Angriffen auf Unternehmen hört, denkt schnell an internationale Großkonzerne, die von Wirtschaftsspionage betroffen sind – ein grundlegender Fehler: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr, sondern wirtschaftlicher Alltag.

Der Wert von Kundendaten ist inzwischen längst erkannt und es kann jeden treffen. Webshop-Betreiber, deren Server gehackt werden, etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird, um Daten zu stehlen. Wir haben inzwischen alle Fälle erlebt, in denen Bezahlterminals infiltriert wurden um Daten zu stehlen oder wo aus dem Krankenhaus Daten aus dem PC auf einen USB-Stick kopiert wurden. Eines haben alle Fälle gemeinsam: Einen spürbaren wirtschaftlichen und Image-Schaden für das Unternehmen.

Hinweis: Wir helfen Unternehmen nach einem Hacker-Angriff begleitend neben Polizei und IT!

Vorher: Vorsorge vor einem Hack-Angriff

Es sei nur pro Forma erwähnt: Besser als die Nachsorge ist natürlich die Vorsorge, also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen.

Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

IT-Sicherheit: Der Hacker-Angriff ist gelungen

Wenn ein Unternehmen von einem Angriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment drei rechtlich relevante Aufgaben, die später Probleme bereiten können:

  1. Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die Strafanzeige schnell ins Auge gefasst
  2. Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
  3. Die Informationspflicht der Betroffenen nach §42a BDSG muss eingehalten werden (dazu hier bei uns im Detail)
  4. Bestimmte Unternehmen und Anbieter haben unter Umständen eine Meldepflicht an das BSI.

Neben diese drei Schritte tritt dann das große Problem: Das Unternehmen wird bedacht darauf sein, jegliches schuldhafte Verhalten auszuschließen. Wer etwa früh den Verdacht erweckt, grob fahrlässig gehandelt zu haben, sieht sich einmal Schadensersatzforderungen der Betroffenen ausgesetzt (jedenfalls gegenüber Verbrauchern kann durch AGB keine Haftung bei grob fahrlässigem Handeln ausgeschlossen werden, §309 Nr.7b BGB).

Daneben tritt das Risiko, dass die Versicherung den Schaden nicht decken möchte. Entsprechend überlegt muss man bereits bei der Abfassung der Strafanzeige handeln und sollte von unüberlegtem Handeln absehen. Wer geschickt ist, verzichtet danach auf umfassende zusätzliche Sachverhaltsschilderungen, sondern nutzt eine juristisch abgestimmte Schilderung neben der Strafanzeige dann sowohl für die Meldung an die Versicherung als auch für die Information nach §42a BDSG. Nicht selten sind es die zusätzlichen öffentlichen Erklärungen, die hinterher für Probleme sorgen.

Für den Anfang soll es bei diesem Hinweis bleiben, die meisten Ressourcen werden ohnehin in das Auffinden und „Stopfen“ der Lücke investiert. Um nicht weitere Schadensersatzforderungen zu provozieren sollte aktive Schadensminimierung betrieben werden, etwa indem gestohlene Account-Daten unbrauchbar gemacht werden („Zurücksetzen des Passworts“). Es sei auch nochmals daran gedacht, dass durch eine Verletzung der Pflicht nach §42a BDSG weiterer Schaden bei Betroffenen entstehen kann, was zu weiteren Schadensersatzforderungen führt.

Datenschutzrecht und Datenleck

Datenschutzrechtliche Problematik bei einem Datenleck nach einem Hackerangriff

Ein Datenleck nach einem Hacker-Angriff stellt eine erhebliche datenschutzrechtliche Problematik dar, da es die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten gefährdet. Betroffene Unternehmen müssen sicherstellen, dass sie angemessene technische und organisatorische Maßnahmen zum Schutz dieser Daten gemäß Art. 32 DSGVO implementieren. Ein Versäumnis dieser Pflicht kann zu erheblichen Datenschutzverletzungen führen.

Wichtige Punkte

  1. Vertraulichkeit: Unbefugte Dritte können auf sensible personenbezogene Daten zugreifen, was zu Identitätsdiebstahl, finanziellen Verlusten und Rufschädigung der betroffenen Personen führen kann.
  2. Integrität: Hackerangriffe können die Integrität der Daten beeinträchtigen, indem sie Daten verändern oder löschen. Dies kann die Verlässlichkeit und Genauigkeit der Daten infrage stellen.
  3. Verfügbarkeit: Durch den Angriff können Daten unzugänglich oder zerstört werden, was die Geschäftskontinuität und den Zugriff auf wichtige Informationen behindern kann.

Meldepflichten und Betroffenenrechte

Nach einem Datenleck müssen Unternehmen die Datenschutzaufsichtsbehörde unverzüglich, spätestens jedoch binnen 72 Stunden, informieren (Art. 33 DSGVO). Zudem sind die betroffenen Personen zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht (Art. 34 DSGVO).

Konsequenzen

Unternehmen können mit erheblichen Bußgeldern und Schadensersatzansprüchen konfrontiert werden, wenn sie die Datenschutzanforderungen nicht erfüllen. Weiterhin kann der Vertrauensverlust bei Kunden und Partnern langfristige negative Auswirkungen haben.


Spezialfall: Hack der Telefonanlage

Ein ganz besonderer Fall ist der erfolgreiche Hack der Telefonanlage, was zu massiven Kosten führen kann. Zum Hackerangriff auf die Telefonanlage bieten wir einen eigenen Artikel.

Wichtig ist, dass man sich von dem Bild löst, dass solche Probleme „kleine Unternehmen“ nicht treffen – es kann jeden treffen, der im Internet Dienste nutzt und der sein Büro mit dem Internet verbunden hat. Das Unterschätzen des Risikos ist insofern bereits ein erheblicher Teil des Problems.

Weitere Links zum Thema Unternehmen gehackt:

Fachanwalt für IT-Recht Jens Ferner