VOLLTEXTSUCHE
Fachartikel, 03.12.2009
Datenverlust
Wie bei einer Datenpanne reagieren?
Egal welch hohen Stellenwert der Datenschutz in Ihrem Unternehmen auch genießt: Was, wenn es doch zu einer Datenpanne kommt, sei es, weil ein ausgebuffter Hacker ihre Sicherheitssysteme knackt oder ein Mitarbeiter geheime Daten weitergibt? Für solche Fälle braucht es einen Notfallplan. Denn dann ist schnelles Handeln angesagt – auch nach dem Bundesdatenschutzgesetz (BDSG).

Ob in den Abendnachrichten im Fernsehen, in den Tageszeitungen oder im Internet – immer wieder hört und liest man von Datenpannen: Notebooks und USB-Sticks gehen verloren und waren nicht verschlüsselt, vertrauliche Patientendaten landen im Müllcontainer, und Kreditkartendaten werden von heimtückischen Datendieben missbraucht. Das Problem: Auch wenn in einem Unternehmen alles getan wird, um eine Datenpanne zu verhindern, ist doch kein Unternehmen 100%ig davor gefeit. Deshalb sollte jedes Unternehmen für den Ernstfall einer Datenpanne über einen Notfallplan verfügen.

Was tun nach einer Datenpanne?

Als Datenschutzbeauftragter berichten Sie vielleicht bereits über diese aktuellen Fälle in Ihren Datenschutz-Schulungen. Aber ist Ihr Unternehmen wirklich darauf vorbereitet, wenn die Datenpanne plötzlich bei Ihnen passiert? Was macht Ihr Unternehmen zum Beispiel, wenn Ihre Website gehackt wird und Kundendaten über eine Phishing-Attacke gestohlen werden?

Nach der BDSG-Novelle II und dem § 42a BDSG sind nach einer Datenpanne unter Umständen bestimmte Informationspflichten zu erfüllen. Sind von der Datenpanne spezielle Datenkategorien betroffen und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, sind die zuständige Aufsichtsbehörde und die Betroffenen zu unterrichten.

Die Mitteilung an die Betroffenen hat unverzüglich nach der Datensicherung zu erfolgen, wenn die Strafverfolgung nicht mehr gefährdet ist. Weiterhin sieht § 42a BDSG vor, dass die Betroffenen eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlung für Maßnahmen zur Minderung möglicher nachteiliger Folgen erhalten. Die Aufsichtsbehörde muss zudem eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen erhalten.

Wie Sie Datenpannen entdecken

Aber mit den Planungen zu den möglichen Informationspflichten ist es nicht getan. Zum einen sollte Ihr Unternehmen sicherstellen, mögliche Datenpannen so schnell wie möglich zu entdecken, um nicht erst durch die Presse oder durch besorgte Kundenanrufe von dem Datenverlust zu erfahren. Zum anderen sollten Sie die Maßnahmen nach einer Datenpanne vorsorglich planen.

Wie also entdecken Sie eine Datenpanne? Dafür bieten sich zahlreiche technische und organisatorische Verfahren an, darunter

  • ein Monitoring des Datenverkehrs mit Warnung bei Anomalien, 
  • ein Warnsystem für unerlaubte Zugriffe auf das Dateisystem, 
  • eine regelmäßige (automatische) Kontrolle der Konfiguration des Webservers und anderer zentraler Server,
  • aber auch ein definierter Meldeweg für die Annahme und Prüfung von Hinweisen Dritter über eine mögliche Datenpanne.

Auf Meldungen zu Datenpannen richtig reagieren

Wenn nun ein Dritter an Ihr Unternehmen herantritt und eine Datenpanne bei Ihnen meldet, sollte keine Panik ausbrechen, sondern zuerst die meldende Person um genaue Angaben gebeten werden, wie Name, Kontaktdaten und genaue Beschreibung des vermuteten Datenlecks (welche Art von Daten wurde wo gefunden).

Dann erfolgt sofort eine Prüfung dieser Meldung durch die definierten Verantwortlichen, wobei Sie als Datenschutzbeauftragter die Prüfung begleiten sollten. Stellt sich die Datenpanne als echt heraus, greifen die Maßnahmen der Information aller relevanten Stellen (Aufsichtsbehörde, Betroffene, bei Wirtschaftsspionage Polizei/Verfassungsschutz, je nach Sicherheitsleck auch Sicherheitsanbieter, Anti-Malware-Lieferant, Anti-Phishing-Netzwerke).

Spuren nicht verwischen

Zudem sollten die betroffenen IT-Systeme durch das Unternehmen nicht einfach verändert werden, sofern keine akute Gefahr mehr von ihnen ausgeht. Vielmehr müssen die Spuren der Datendiebe für die Staatsanwaltschaft und die IT-Forensiker bewahrt werden. Besteht der Verdacht, dass Passwörter missbraucht wurden, sind diese umgehend zu deaktivieren und in Absprache mit den ermittelnden Stellen die entsprechenden Zugänge zu löschen.

Die nächste Datenpanne abwehren

Nachdem die akuten Maßnahmen getroffen wurden, gilt es, einen Wiederholungsfall zu verhindern. In den Notfallplan Ihres Unternehmens sollten deshalb auch die Prüfung sämtlicher Sicherheitseinrichtungen, die in Verbindung mit der Datenpanne stehen könnten, und eine Optimierung der Sicherheitsrichtlinien und -konzepte stehen.

QUERVERWEIS
Fachmagazin
Datenschutz PRAXIS
Sichern Sie sich fundiertes Know-how zu allen Kernaufgaben, Anforderungen und gesetzlichen Vorgaben im Datenschutz, übersichtlich und strukturiert vermittelt, und holen Sie sich von Experten wertvolle Hilfestellungen für 1A-Sicherheitskonzepte.
Weitere Informationen zu Datenschutz PRAXIS
ZUM AUTOR
Über Oliver Schonschek
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Oliver Schonschek studierte Physik an der Universität Bonn mit Abschluss zum Dipl.-Phys. Anschließend war er in verschiedenen Tätigkeitsfeldern aktiv, darunter in der IT, vor allem in der Qualitätssicherung, im ...
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Römerstraße 4
86438 Kissing

+49-8233-230
WEITERE ARTIKEL DIESES AUTORS
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRÄGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis für PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefächern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG