Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Hacker

Die Veröffentlichung vertraulicher Informationen von Politikern und Personen des öffentlichen Lebens hat in den vergangenen Wochen für Aufruhr gesorgt. Der anfangs als Hacking eingestufte Angriff stellte sich später als sogenanntes Doxing heraus. Was können Unternehmen aus dem Vorfall für ihre Datensicherheit lernen?

Jetzt also Doxing und nicht Hacking – Was ist passiert?

Plötzlich waren unzählige Datensätze mit privaten und vertraulichen Informationen wie Telefonnummern oder Familienbildern von tausenden Politikern und Prominenten öffentlich abrufbar. Der zwischenzeitlich gefasste Täter verbreitete die Daten über einen Twitteraccount, der im Dezember als besonderer Adventskalender jeden Tag neue Daten zugänglich machte. Die erste intuitive Reaktion lautete vielerorts „Hacking-Angriff“. Später stellte sich jedoch heraus, dass dem Vorfall wohl kein Hacking zugrunde lag. Dafür wäre z.B. das Verschaffen eines Passwortes notwendig, um an die hinter dem Passwort liegenden Daten gelangen zu können. Vielmehr ist der Angriff als Doxing einzustufen. Der Begriff Doxing kommt von Documents oder eben Docs. Die Täter sammeln beim Doxing erst systematisch Daten über ihr Opfer, um diese dann zum Schaden des Opfers zu benutzen und zu veröffentlichen.

Hacking hin, Doxing her: Für zivilrechtliche Ansprüche der Betroffenen und für das IT-Recht kommt es auf diese Unterscheidung nicht unbedingt an. Zwar knüpfen Strafgesetze eine Geld- oder Freiheitsstrafe teilweise nur an ein rechtswidriges Überwinden eines Passwortschutzes. Das wäre im Regelfall nur beim Hacking und nicht beim Doxing der Fall. Für die zivilrechtlichen Folgen ist diese Unterscheidung jedoch unerheblich: Niemand muss es sich gefallen lassen, dass private oder vertrauliche Daten wie zum Beispiel Fotos der Familie ohne vorherige Zustimmung im Internet frei zugänglich gemacht werden. Dies ist ein Eingriff in die Privatsphäre, der Unterlassungs- oder sogar Schmerzensgeldansprüche nach sich ziehen kann.

Doxing-Vorfall und Datensicherheit in Unternehmen

Für die IT-Branche sowie generell für Unternehmen ist der Vorfall nicht zuletzt deshalb erheblich, weil er eine Debatte über den Status Quo der Datensicherheit anstieß. Die Pflicht, Sicherheitsmaßnahmen einzuhalten, gilt unabhängig von konkreten Angriffen wie Hacking oder Doxing. Denn wirksame Datensicherheitsmaßnahmen können illegale Angriffe auf Daten von Anfang an verhindern oder zumindest erheblich erschweren. Unternehmen sollten die aktuellen Doxing- und Hacking-Vorfälle deshalb zum Anlass nehmen, ihre Maßnahmen zur Datensicherheit verstärkt auf den Prüfstand zu stellen.

Strenger Maßstab der Datenschutz-Grundverordnung zur Datensicherheit

Die Datenschutz-Grundverordnung (DSGVO) bestimmt zur Datensicherheit in Artikel 32, dass das für die Datenverarbeitung verantwortliche Unternehmen technische und organisatorische Maßnahmen zur Datensicherheit umsetzen muss. Diese Maßnahmen müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Es kommt dabei im Einzelfall darauf an, wie „gefahrgeneigt“ die Tätigkeit des datenverarbeitenden Unternehmens ist: Verarbeitet das Unternehmen Gesundheits- oder Finanzdaten, eventuell sogar von Kindern oder von anderen schutzbedürftigen Personen, so sind robustere Sicherheitsmaßnahmen notwendig, als wenn das Unternehmen „lediglich“ Adressdaten verarbeitet.

Für Unternehmen kann es teuer werden, wenn sie den Sicherheitspflichten nicht nachkommen: Die DSGVO sieht für eine Verletzung der Pflicht zur Datensicherheit Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes vor. Hier können schnell Millionenbeträge fällig werden. Auch deshalb sollten Unternehmen bei der Datensicherheit genau hinsehen. Es ist zu erwarten, dass die Datenschutzbehörden Unternehmen bei fehlenden oder unzureichenden Datensicherheitsmaßnahmen vermehrt heftig auf die Finger hauen werden.

Im Vergleich zur bisherigen Rechtslage stellt Artikel 32 DSGVO strengere Vorgaben auf. So müssen Unternehmen erwägen, ob sie die Daten nicht auch genauso gut pseudonymisiert verarbeiten können. Zudem müssen sie die Wirksamkeit der getroffenen Maßnahmen bewerten und regelmäßig überprüfen. Neben den direkt im Unternehmen umsetzbaren Maßnahmen wie beispielsweise die Nutzung von komplexen Passwörtern und die Zwei-Faktor-Authentifizierung müssen Unternehmen auch auf ihre datenempfangenden Dienstleister achten und sicherstellen, dass diese gleichfalls den Datenschutz einhalten. Dies wird durch entsprechende Vereinbarungen mit den Dienstleistern gewährleistet, die ebenfalls den Grundsätzen der Datensicherheit aus Artikel 32 DSGVO genügen müssen.

Im Ergebnis ist es für Unternehmen empfehlenswert, mit einer Risikoanalyse auf Basis der Datenverarbeitungsvorgänge zu beginnen. Diese bestimmt den Umfang der zu treffenden Sicherheitsmaßnahmen. Zudem sollten Unternehmen eine Data Protection Policy verabschieden, die adäquate Sicherheitsmaßnahmen festlegt, den Datenschutz im Unternehmen z.B. durch Schulung der Mitarbeiter absichert und die getroffenen Datenschutzmaßnahmen regelmäßig wieder zur Überprüfung an die Oberfläche holt. Zugleich können Unternehmen ein Löschkonzept für nicht mehr benötigte Daten beschließen. Darüber hinaus sollte allen Unternehmen auch das Stichwort „Privacy by design“ ein Begriff sein – Datenschutz sollte bereits in der Technikgestaltung und durch Voreinstellungen berücksichtigt werden. Auf diesem Wege können Unternehmen den wichtigsten Datenschutzgrundsätzen Genüge tun.

Dr. René SandorDr. René Sandor ist Rechtsanwalt bei CMS und berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.

cms.law/de/DEU/

 

Hacker
Jan 09, 2019

Doxing: Was Nutzer aus dem „Hackerangriff“ lernen sollten

Die Veröffentlichung privater Daten von Politikern, Satirikern und anderen Prominenten…
Ricoh_Whitepaper Unterm_DSGVO_Radar_Sicherheit_im_Druck
Nov 12, 2018

Unterm DSGVO-Radar: Sicherheit im Druck- und Dokumentenmanagement

Dieses Whitepaper zeigt, warum eine Optimierung der IT-Sicherheit notwendig ist und was…
GRID LIST
E-Mail Security

E-Mail-Verschlüsselung mit PGP ist nicht sicher

In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf:…
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…
Passwort

Datenklau 2019: Passwort-Manager schützen vor Hacker-Angriffen

Das Thema Datenklau ist durch den vor Kurzem öffentlich gewordenen Leak von Politiker-…
Schloss vor Tastatur

E-Mail-Verschlüsselung für jeden

Reddcrypt soll E-Mails ganz einfach verschlüsseln, auf jedem Endgerät, mit jeder…
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…