Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

Cyber-Attacken: „Unter den Teppich“ oder zur Aufsicht?

19.06.2015  — Frank Bongers.  Quelle: Verlag Dashöfer GmbH.

Es vergeht kaum ein Tag, an dem nicht über einen neuen Hackerangriff berichtet wird. Erst kürzlich wurde ein Angriff auf die Europäische Zentralbank gemeldet. Dabei gelangten die Täter an 20.000 E-Mail-Adressen und weitere Kontaktdaten und forderten anschließend Geld im Gegenzug für die Herausgabe der Daten.

Jedes Unternehmen ist potentiell betroffen, denn ein erfolgreicher Hackerangriff kann selbst durch die beste IT-Infrastruktur nicht 100%ig verhindert werden. Das drohende Schadenspotential eines Datenverlustes ist enorm und reicht von Vermögensschäden, dem Verlust von Geschäfts- und Betriebsgeheimnissen an die Konkurrenz, dem Ausfall oder der Beeinträchtigung von IT-Infrastrukturen und der Erpressung mit der Veröffentlichung von Daten bis zu einem Reputationsschaden des Unternehmens.

Meldepflichten gegenüber Aufsicht und Betroffenen

Gelangen z. B. Kontodaten oder Gesundheitsdaten infolge eines Cyber-Angriffs in falsche Hände, mag ein erster Impuls des Unternehmens sein, alles dafür zu tun, dass niemand außerhalb des Unternehmens von dem Sachverhalt erfährt. Schließlich möchte man nicht von einer Aufsichtsbehörde geprüft werden und die betroffenen Personen, z. B. die Kunden, sollen weiterhin darauf vertrauen, dass ihre Daten sicher sind. Wer durch Schweigen so das Vertrauen in die Datensicherheit seines Unternehmens wahren will, riskiert jedoch ein Bußgeld bis zu € 300.000, denn die unberechtigte Kenntnisnahme sensibler Daten durch Dritter ist der Aufsicht und den Betroffenen unverzüglich zu melden. Außerdem wird gegenüber Kunden in der Regel eine vertragliche Nebenpflicht zur Mitteilung bestehen, deren Verletzung Schadensersatzansprüche auslösen kann.

Risiko- und Schadensbegrenzung durch richtige Vorbereitung

Besser ist es, das Thema Cyberkriminalität offensiv anzugehen und Maßnahmen zu ergreifen, die die Risiken und Schäden begrenzen. Dazu zählen u. a. die:

  • Durchführung der erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit gem. § 9 BDSG
  • Schulung und Anweisung der Mitarbeiter zum richtigen Umgang mit der IT und personenbezogenen Daten
  • Sorgfältige Gestaltung risikoerhöhender Sachverhalte im Personalbereich: z. B. die Nutzung privater Geräte (Bring your own device) und die private Nutzung dienstlicher E-Mail- und Internetfunktionen
  • Überwachung der Einhaltung der Sicherheitsmaßnahmen
  • Aufstellung eines Notfallplans für effektives Krisenmanagement im Falle eines Cyberangriffs, einschließlich einer Planung für die Erfüllung der Meldepflichten

Fazit

Datenschutz ist Vertrauenssache. Wer das Vertrauen seiner Kunden und Geschäftspartner erhalten will, sollte alle erforderlichen Maßnahmen zur Verhinderung einer erfolgreichen Cyber-Attacke ergreifen. Im Ernstfall sollte ein etablierter Notfallplan greifen, der insbesondere die Erfüllung der gesetzlichen Informationspflichten umfasst.


nach oben
FAQ