Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Hacker

Die Veröffentlichung vertraulicher Informationen von Politikern und Personen des öffentlichen Lebens hat in den vergangenen Wochen für Aufruhr gesorgt. Der anfangs als Hacking eingestufte Angriff stellte sich später als sogenanntes Doxing heraus. Was können Unternehmen aus dem Vorfall für ihre Datensicherheit lernen?

Jetzt also Doxing und nicht Hacking – Was ist passiert?

Plötzlich waren unzählige Datensätze mit privaten und vertraulichen Informationen wie Telefonnummern oder Familienbildern von tausenden Politikern und Prominenten öffentlich abrufbar. Der zwischenzeitlich gefasste Täter verbreitete die Daten über einen Twitteraccount, der im Dezember als besonderer Adventskalender jeden Tag neue Daten zugänglich machte. Die erste intuitive Reaktion lautete vielerorts „Hacking-Angriff“. Später stellte sich jedoch heraus, dass dem Vorfall wohl kein Hacking zugrunde lag. Dafür wäre z.B. das Verschaffen eines Passwortes notwendig, um an die hinter dem Passwort liegenden Daten gelangen zu können. Vielmehr ist der Angriff als Doxing einzustufen. Der Begriff Doxing kommt von Documents oder eben Docs. Die Täter sammeln beim Doxing erst systematisch Daten über ihr Opfer, um diese dann zum Schaden des Opfers zu benutzen und zu veröffentlichen.

Hacking hin, Doxing her: Für zivilrechtliche Ansprüche der Betroffenen und für das IT-Recht kommt es auf diese Unterscheidung nicht unbedingt an. Zwar knüpfen Strafgesetze eine Geld- oder Freiheitsstrafe teilweise nur an ein rechtswidriges Überwinden eines Passwortschutzes. Das wäre im Regelfall nur beim Hacking und nicht beim Doxing der Fall. Für die zivilrechtlichen Folgen ist diese Unterscheidung jedoch unerheblich: Niemand muss es sich gefallen lassen, dass private oder vertrauliche Daten wie zum Beispiel Fotos der Familie ohne vorherige Zustimmung im Internet frei zugänglich gemacht werden. Dies ist ein Eingriff in die Privatsphäre, der Unterlassungs- oder sogar Schmerzensgeldansprüche nach sich ziehen kann.

Doxing-Vorfall und Datensicherheit in Unternehmen

Für die IT-Branche sowie generell für Unternehmen ist der Vorfall nicht zuletzt deshalb erheblich, weil er eine Debatte über den Status Quo der Datensicherheit anstieß. Die Pflicht, Sicherheitsmaßnahmen einzuhalten, gilt unabhängig von konkreten Angriffen wie Hacking oder Doxing. Denn wirksame Datensicherheitsmaßnahmen können illegale Angriffe auf Daten von Anfang an verhindern oder zumindest erheblich erschweren. Unternehmen sollten die aktuellen Doxing- und Hacking-Vorfälle deshalb zum Anlass nehmen, ihre Maßnahmen zur Datensicherheit verstärkt auf den Prüfstand zu stellen.

Strenger Maßstab der Datenschutz-Grundverordnung zur Datensicherheit

Die Datenschutz-Grundverordnung (DSGVO) bestimmt zur Datensicherheit in Artikel 32, dass das für die Datenverarbeitung verantwortliche Unternehmen technische und organisatorische Maßnahmen zur Datensicherheit umsetzen muss. Diese Maßnahmen müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Es kommt dabei im Einzelfall darauf an, wie „gefahrgeneigt“ die Tätigkeit des datenverarbeitenden Unternehmens ist: Verarbeitet das Unternehmen Gesundheits- oder Finanzdaten, eventuell sogar von Kindern oder von anderen schutzbedürftigen Personen, so sind robustere Sicherheitsmaßnahmen notwendig, als wenn das Unternehmen „lediglich“ Adressdaten verarbeitet.

Für Unternehmen kann es teuer werden, wenn sie den Sicherheitspflichten nicht nachkommen: Die DSGVO sieht für eine Verletzung der Pflicht zur Datensicherheit Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes vor. Hier können schnell Millionenbeträge fällig werden. Auch deshalb sollten Unternehmen bei der Datensicherheit genau hinsehen. Es ist zu erwarten, dass die Datenschutzbehörden Unternehmen bei fehlenden oder unzureichenden Datensicherheitsmaßnahmen vermehrt heftig auf die Finger hauen werden.

Im Vergleich zur bisherigen Rechtslage stellt Artikel 32 DSGVO strengere Vorgaben auf. So müssen Unternehmen erwägen, ob sie die Daten nicht auch genauso gut pseudonymisiert verarbeiten können. Zudem müssen sie die Wirksamkeit der getroffenen Maßnahmen bewerten und regelmäßig überprüfen. Neben den direkt im Unternehmen umsetzbaren Maßnahmen wie beispielsweise die Nutzung von komplexen Passwörtern und die Zwei-Faktor-Authentifizierung müssen Unternehmen auch auf ihre datenempfangenden Dienstleister achten und sicherstellen, dass diese gleichfalls den Datenschutz einhalten. Dies wird durch entsprechende Vereinbarungen mit den Dienstleistern gewährleistet, die ebenfalls den Grundsätzen der Datensicherheit aus Artikel 32 DSGVO genügen müssen.

Im Ergebnis ist es für Unternehmen empfehlenswert, mit einer Risikoanalyse auf Basis der Datenverarbeitungsvorgänge zu beginnen. Diese bestimmt den Umfang der zu treffenden Sicherheitsmaßnahmen. Zudem sollten Unternehmen eine Data Protection Policy verabschieden, die adäquate Sicherheitsmaßnahmen festlegt, den Datenschutz im Unternehmen z.B. durch Schulung der Mitarbeiter absichert und die getroffenen Datenschutzmaßnahmen regelmäßig wieder zur Überprüfung an die Oberfläche holt. Zugleich können Unternehmen ein Löschkonzept für nicht mehr benötigte Daten beschließen. Darüber hinaus sollte allen Unternehmen auch das Stichwort „Privacy by design“ ein Begriff sein – Datenschutz sollte bereits in der Technikgestaltung und durch Voreinstellungen berücksichtigt werden. Auf diesem Wege können Unternehmen den wichtigsten Datenschutzgrundsätzen Genüge tun.

Dr. René SandorDr. René Sandor ist Rechtsanwalt bei CMS und berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.

cms.law/de/DEU/

 

Hacker
Jan 09, 2019

Doxing: Was Nutzer aus dem „Hackerangriff“ lernen sollten

Die Veröffentlichung privater Daten von Politikern, Satirikern und anderen Prominenten…
Ricoh_Whitepaper Unterm_DSGVO_Radar_Sicherheit_im_Druck
Nov 12, 2018

Unterm DSGVO-Radar: Sicherheit im Druck- und Dokumentenmanagement

Dieses Whitepaper zeigt, warum eine Optimierung der IT-Sicherheit notwendig ist und was…
GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…