Anzeige

Anzeige

VERANSTALTUNGEN

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

ELO Solution Day Hannover
13.03.19 - 13.03.19
In Schloss Herrenhausen, Hannover

Anzeige

Anzeige

Hacker

Die Veröffentlichung vertraulicher Informationen von Politikern und Personen des öffentlichen Lebens hat in den vergangenen Wochen für Aufruhr gesorgt. Der anfangs als Hacking eingestufte Angriff stellte sich später als sogenanntes Doxing heraus. Was können Unternehmen aus dem Vorfall für ihre Datensicherheit lernen?

Jetzt also Doxing und nicht Hacking – Was ist passiert?

Plötzlich waren unzählige Datensätze mit privaten und vertraulichen Informationen wie Telefonnummern oder Familienbildern von tausenden Politikern und Prominenten öffentlich abrufbar. Der zwischenzeitlich gefasste Täter verbreitete die Daten über einen Twitteraccount, der im Dezember als besonderer Adventskalender jeden Tag neue Daten zugänglich machte. Die erste intuitive Reaktion lautete vielerorts „Hacking-Angriff“. Später stellte sich jedoch heraus, dass dem Vorfall wohl kein Hacking zugrunde lag. Dafür wäre z.B. das Verschaffen eines Passwortes notwendig, um an die hinter dem Passwort liegenden Daten gelangen zu können. Vielmehr ist der Angriff als Doxing einzustufen. Der Begriff Doxing kommt von Documents oder eben Docs. Die Täter sammeln beim Doxing erst systematisch Daten über ihr Opfer, um diese dann zum Schaden des Opfers zu benutzen und zu veröffentlichen.

Hacking hin, Doxing her: Für zivilrechtliche Ansprüche der Betroffenen und für das IT-Recht kommt es auf diese Unterscheidung nicht unbedingt an. Zwar knüpfen Strafgesetze eine Geld- oder Freiheitsstrafe teilweise nur an ein rechtswidriges Überwinden eines Passwortschutzes. Das wäre im Regelfall nur beim Hacking und nicht beim Doxing der Fall. Für die zivilrechtlichen Folgen ist diese Unterscheidung jedoch unerheblich: Niemand muss es sich gefallen lassen, dass private oder vertrauliche Daten wie zum Beispiel Fotos der Familie ohne vorherige Zustimmung im Internet frei zugänglich gemacht werden. Dies ist ein Eingriff in die Privatsphäre, der Unterlassungs- oder sogar Schmerzensgeldansprüche nach sich ziehen kann.

Doxing-Vorfall und Datensicherheit in Unternehmen

Für die IT-Branche sowie generell für Unternehmen ist der Vorfall nicht zuletzt deshalb erheblich, weil er eine Debatte über den Status Quo der Datensicherheit anstieß. Die Pflicht, Sicherheitsmaßnahmen einzuhalten, gilt unabhängig von konkreten Angriffen wie Hacking oder Doxing. Denn wirksame Datensicherheitsmaßnahmen können illegale Angriffe auf Daten von Anfang an verhindern oder zumindest erheblich erschweren. Unternehmen sollten die aktuellen Doxing- und Hacking-Vorfälle deshalb zum Anlass nehmen, ihre Maßnahmen zur Datensicherheit verstärkt auf den Prüfstand zu stellen.

Strenger Maßstab der Datenschutz-Grundverordnung zur Datensicherheit

Die Datenschutz-Grundverordnung (DSGVO) bestimmt zur Datensicherheit in Artikel 32, dass das für die Datenverarbeitung verantwortliche Unternehmen technische und organisatorische Maßnahmen zur Datensicherheit umsetzen muss. Diese Maßnahmen müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Es kommt dabei im Einzelfall darauf an, wie „gefahrgeneigt“ die Tätigkeit des datenverarbeitenden Unternehmens ist: Verarbeitet das Unternehmen Gesundheits- oder Finanzdaten, eventuell sogar von Kindern oder von anderen schutzbedürftigen Personen, so sind robustere Sicherheitsmaßnahmen notwendig, als wenn das Unternehmen „lediglich“ Adressdaten verarbeitet.

Für Unternehmen kann es teuer werden, wenn sie den Sicherheitspflichten nicht nachkommen: Die DSGVO sieht für eine Verletzung der Pflicht zur Datensicherheit Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes vor. Hier können schnell Millionenbeträge fällig werden. Auch deshalb sollten Unternehmen bei der Datensicherheit genau hinsehen. Es ist zu erwarten, dass die Datenschutzbehörden Unternehmen bei fehlenden oder unzureichenden Datensicherheitsmaßnahmen vermehrt heftig auf die Finger hauen werden.

Im Vergleich zur bisherigen Rechtslage stellt Artikel 32 DSGVO strengere Vorgaben auf. So müssen Unternehmen erwägen, ob sie die Daten nicht auch genauso gut pseudonymisiert verarbeiten können. Zudem müssen sie die Wirksamkeit der getroffenen Maßnahmen bewerten und regelmäßig überprüfen. Neben den direkt im Unternehmen umsetzbaren Maßnahmen wie beispielsweise die Nutzung von komplexen Passwörtern und die Zwei-Faktor-Authentifizierung müssen Unternehmen auch auf ihre datenempfangenden Dienstleister achten und sicherstellen, dass diese gleichfalls den Datenschutz einhalten. Dies wird durch entsprechende Vereinbarungen mit den Dienstleistern gewährleistet, die ebenfalls den Grundsätzen der Datensicherheit aus Artikel 32 DSGVO genügen müssen.

Im Ergebnis ist es für Unternehmen empfehlenswert, mit einer Risikoanalyse auf Basis der Datenverarbeitungsvorgänge zu beginnen. Diese bestimmt den Umfang der zu treffenden Sicherheitsmaßnahmen. Zudem sollten Unternehmen eine Data Protection Policy verabschieden, die adäquate Sicherheitsmaßnahmen festlegt, den Datenschutz im Unternehmen z.B. durch Schulung der Mitarbeiter absichert und die getroffenen Datenschutzmaßnahmen regelmäßig wieder zur Überprüfung an die Oberfläche holt. Zugleich können Unternehmen ein Löschkonzept für nicht mehr benötigte Daten beschließen. Darüber hinaus sollte allen Unternehmen auch das Stichwort „Privacy by design“ ein Begriff sein – Datenschutz sollte bereits in der Technikgestaltung und durch Voreinstellungen berücksichtigt werden. Auf diesem Wege können Unternehmen den wichtigsten Datenschutzgrundsätzen Genüge tun.

Dr. René SandorDr. René Sandor ist Rechtsanwalt bei CMS und berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.

cms.law/de/DEU/

 

Hacker
Jan 09, 2019

Doxing: Was Nutzer aus dem „Hackerangriff“ lernen sollten

Die Veröffentlichung privater Daten von Politikern, Satirikern und anderen Prominenten…
Ricoh_Whitepaper Unterm_DSGVO_Radar_Sicherheit_im_Druck
Nov 12, 2018

Unterm DSGVO-Radar: Sicherheit im Druck- und Dokumentenmanagement

Dieses Whitepaper zeigt, warum eine Optimierung der IT-Sicherheit notwendig ist und was…
GRID LIST
DSGVO-Beauftragte

Für welche Unternehmen ist ein Datenschutzbeauftragter Pflicht?

Seit Mai letzten Jahres gilt für Unternehmen innerhalb der EU die…
Angst Horrorfilm

Google weiß, was du letzten Sommer getan hast

Googles Android ist weltweit das am weitesten verbreitete Betriebssystem für Smartphones…
SSL

Auch hinter SSL-Verschlüsselung lauern Gefahren im Internet

Der Safer Internet Day soll dazu beitragen, die Internetnutzer auf die Gefahren beim…
Datenschutz Concept

Wie sicher sind Unternehmensdaten?

Der Europäische Datenschutztag rückte einmal mehr ins Blickfeld, wie Unternehmen ihre…
Data-Privacy-Day

Acht Security-Tipps anlässlich des Data-Privacy-Days

Fast täglich gelangen neue Datenschutzverletzungen in die Schlagzeilen. Verbraucher…
DSGVO Justizia

Was Unternehmen von Googles Verstoß gegen die DSGVO lernen müssen

Die Geldbuße von 50 Millionen Euro, die gegen Google wegen Nichteinhaltung der…
Smarte News aus der IT-Welt