VOLLTEXTSUCHE
Fachartikel, 03.12.2009
Datenverlust
Wie bei einer Datenpanne reagieren?
Egal welch hohen Stellenwert der Datenschutz in Ihrem Unternehmen auch genießt: Was, wenn es doch zu einer Datenpanne kommt, sei es, weil ein ausgebuffter Hacker ihre Sicherheitssysteme knackt oder ein Mitarbeiter geheime Daten weitergibt? Für solche Fälle braucht es einen Notfallplan. Denn dann ist schnelles Handeln angesagt – auch nach dem Bundesdatenschutzgesetz (BDSG).

Ob in den Abendnachrichten im Fernsehen, in den Tageszeitungen oder im Internet – immer wieder hrt und liest man von Datenpannen: Notebooks und USB-Sticks gehen verloren und waren nicht verschlsselt, vertrauliche Patientendaten landen im Mllcontainer, und Kreditkartendaten werden von heimtckischen Datendieben missbraucht. Das Problem: Auch wenn in einem Unternehmen alles getan wird, um eine Datenpanne zu verhindern, ist doch kein Unternehmen 100%ig davor gefeit. Deshalb sollte jedes Unternehmen fr den Ernstfall einer Datenpanne ber einen Notfallplan verfgen.

Was tun nach einer Datenpanne?

Als Datenschutzbeauftragter berichten Sie vielleicht bereits ber diese aktuellen Flle in Ihren Datenschutz-Schulungen. Aber ist Ihr Unternehmen wirklich darauf vorbereitet, wenn die Datenpanne pltzlich bei Ihnen passiert? Was macht Ihr Unternehmen zum Beispiel, wenn Ihre Website gehackt wird und Kundendaten ber eine Phishing-Attacke gestohlen werden?

Nach der BDSG-Novelle II und dem 42a BDSG sind nach einer Datenpanne unter Umstnden bestimmte Informationspflichten zu erfllen. Sind von der Datenpanne spezielle Datenkategorien betroffen und drohen schwerwiegende Beeintrchtigungen fr die Rechte oder schutzwrdigen Interessen der Betroffenen, sind die zustndige Aufsichtsbehrde und die Betroffenen zu unterrichten.

Die Mitteilung an die Betroffenen hat unverzglich nach der Datensicherung zu erfolgen, wenn die Strafverfolgung nicht mehr gefhrdet ist. Weiterhin sieht 42a BDSG vor, dass die Betroffenen eine Darlegung der Art der unrechtmigen Kenntniserlangung und Empfehlung fr Manahmen zur Minderung mglicher nachteiliger Folgen erhalten. Die Aufsichtsbehrde muss zudem eine Darlegung mglicher nachteiliger Folgen der unrechtmigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Manahmen erhalten.

Wie Sie Datenpannen entdecken

Aber mit den Planungen zu den mglichen Informationspflichten ist es nicht getan. Zum einen sollte Ihr Unternehmen sicherstellen, mgliche Datenpannen so schnell wie mglich zu entdecken, um nicht erst durch die Presse oder durch besorgte Kundenanrufe von dem Datenverlust zu erfahren. Zum anderen sollten Sie die Manahmen nach einer Datenpanne vorsorglich planen.

Wie also entdecken Sie eine Datenpanne? Dafr bieten sich zahlreiche technische und organisatorische Verfahren an, darunter

  • ein Monitoring des Datenverkehrs mit Warnung bei Anomalien, 
  • ein Warnsystem fr unerlaubte Zugriffe auf das Dateisystem, 
  • eine regelmige (automatische) Kontrolle der Konfiguration des Webservers und anderer zentraler Server,
  • aber auch ein definierter Meldeweg fr die Annahme und Prfung von Hinweisen Dritter ber eine mgliche Datenpanne.

Auf Meldungen zu Datenpannen richtig reagieren

Wenn nun ein Dritter an Ihr Unternehmen herantritt und eine Datenpanne bei Ihnen meldet, sollte keine Panik ausbrechen, sondern zuerst die meldende Person um genaue Angaben gebeten werden, wie Name, Kontaktdaten und genaue Beschreibung des vermuteten Datenlecks (welche Art von Daten wurde wo gefunden).

Dann erfolgt sofort eine Prfung dieser Meldung durch die definierten Verantwortlichen, wobei Sie als Datenschutzbeauftragter die Prfung begleiten sollten. Stellt sich die Datenpanne als echt heraus, greifen die Manahmen der Information aller relevanten Stellen (Aufsichtsbehrde, Betroffene, bei Wirtschaftsspionage Polizei/Verfassungsschutz, je nach Sicherheitsleck auch Sicherheitsanbieter, Anti-Malware-Lieferant, Anti-Phishing-Netzwerke).

Spuren nicht verwischen

Zudem sollten die betroffenen IT-Systeme durch das Unternehmen nicht einfach verndert werden, sofern keine akute Gefahr mehr von ihnen ausgeht. Vielmehr mssen die Spuren der Datendiebe fr die Staatsanwaltschaft und die IT-Forensiker bewahrt werden. Besteht der Verdacht, dass Passwrter missbraucht wurden, sind diese umgehend zu deaktivieren und in Absprache mit den ermittelnden Stellen die entsprechenden Zugnge zu lschen.

Die nchste Datenpanne abwehren

Nachdem die akuten Manahmen getroffen wurden, gilt es, einen Wiederholungsfall zu verhindern. In den Notfallplan Ihres Unternehmens sollten deshalb auch die Prfung smtlicher Sicherheitseinrichtungen, die in Verbindung mit der Datenpanne stehen knnten, und eine Optimierung der Sicherheitsrichtlinien und -konzepte stehen.

QUERVERWEIS
Fachmagazin
Datenschutz PRAXIS
Sichern Sie sich fundiertes Know-how zu allen Kernaufgaben, Anforderungen und gesetzlichen Vorgaben im Datenschutz, übersichtlich und strukturiert vermittelt, und holen Sie sich von Experten wertvolle Hilfestellungen für 1A-Sicherheitskonzepte.
Weitere Informationen zu Datenschutz PRAXIS
ZUM AUTOR
ber Oliver Schonschek
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Oliver Schonschek studierte Physik an der Universität Bonn mit Abschluss zum Dipl.-Phys. Anschließend war er in verschiedenen Tätigkeitsfeldern aktiv, darunter in der IT, vor allem in der Qualitätssicherung, im ...
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Römerstraße 4
86438 Kissing

+49-8233-230
WEITERE ARTIKEL DIESES AUTORS
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis fr PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefchern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG