Hackerangriff
Nach Meldungen unter anderem der Neuen Osnabrücker Zeitung musste das Nordhorner Textilunternehmen Erfo Bekleidungswerk GmbH & Co. KG. Anfang Dezember Insolvenz anmelden. Nachdem Erfo bereits zuvor durch die allgemeine wirtschaftliche Lage unter Druck geraten war, wurden letztlich die Folgen eines Hackerangriffs zum Schlussakkord einer mehr als achtzigjährigen Unternehmensgeschichte. Grund genug, einen genaueren Blick zu werfen auf Strategien, mit denen Unternehmen ihr operatives Geschäft schützen können vor Cyberattacken, Hacking-Angriffen und sonstigen Datenschutzvorfällen aller Art.
Umgang mit Hackerangriffen
Im Zentrum dieser Strategien steht der weit gefasste Begriff des Incident Management. Ein Incident, oder zu Deutsch Datenschutzvorfall, umfasst alle Vorfälle, durch die Systeme eines Unternehmens kompromittiert sein könnten. Dies bedeutet noch nicht, dass tatsächlich eine Datenschutzverletzung im Sinne einschlägiger Gesetzgebung, etwa nach der Definition von Art. 4 Nr. 12 DSGVO, vorliegt. Die Erkenntnis, dass es zu einem Datenschutzvorfall gekommen ist oder sein könnte, bedeutet lediglich, dass verantwortliche Stellen im Unternehmen reagieren müssen.
Verantwortlichkeit
Wer diese verantwortlichen Stellen sind, ist die erste Frage, die eine Strategie zum Incident Management beantworten muss. Konkret gehört dies zum Stadium der Vorbereitung, das öffentliche und private Stellen wie das US-amerikanische National Institute of Standards and Technology (NIST) und die International Association of Privacy Professionals (IAPP) einhellig als erstes Stadium des Incident Management beschreiben. Datenschutzvorfälle sind einerseits natürlich unerwünscht und sollten, wo möglich, vermieden werden. Andererseits müssen sich Unternehmen der Realität stellen, dass trotz aller Bemühungen nicht alle Vorfälle dieser Art erfolgreich verhindert werden können. Es gilt daher, sich auf etwas vorzubereiten, das trotz aller Befürchtungen vermutlich in irgendeiner Weise eintreten wird.
Task Force
Die Zusammenstellung einer Task Force zur Bearbeitung des Datenschutzvorfalls sollte rechtzeitig erfolgen, also keinesfalls erst dann, wenn bereits eine gefährliche Situation eingetreten ist. Eine solche Task Force sollte idealerweise stets Mitglieder aus den Bereichen IT, Recht und Compliance, HR und PR haben und zudem mit umfassenden Befugnissen ausgestattet sein. Sollte ein Datenschutzbeauftragter bestellt sein, ist er*sie einzubeziehen. Die Task Force muss kurzfristig verfügbar sein, insbesondere da sich aufgrund eines kosmischen Zufalls Datenschutzvorfälle stets an Freitagnachmittagen vor langen Wochenenden ereignen. Auch innerhalb der Task Force sollten die Rollen klar verteilt sein, da bei konkreter Gefährdung keine Zeit bleibt für Diskussionen über Zuständigkeiten. Häufig ist es eine gute Idee, in regelmäßigen Abständen den Ernstfall zu simulieren, um Abläufe zu überprüfen.
Dieser Task Force obliegt es, im zweiten Schritt festzustellen, was genau geschehen ist, und zu bestimmen, ob eine Datenschutzverletzung in Betracht kommt. Diese Aufgabe erfordert eine enge Kommunikation mit den betroffenen Abteilungen des Unternehmens sowie rechtliche Expertise. Zwar erscheint die DSGVO-Definition einer Datenschutzverletzung auf den ersten Blick leicht verständlich, ihre Anwendung bereitet in der Praxis jedoch häufig Probleme. Dies gilt entsprechend für andere nationale oder lokale Rechtsordnungen, die je nach Unternehmensstandort möglicherweise zusätzlich oder außerhalb des EWR anstatt der DSGVO zum Einsatz kommen. Das Stadium der Feststellung und Bestimmung dient der Informationssammlung und -einordnung, stets im Lichte der drohenden Gefahren einerseits und des anzuwendenden Rechts andererseits.
Sobald die Gefahr umrissen ist, wird im nächsten Stadium ihre Eindämmung zur Hauptaufgabe der Task Force. Dies kann beispielsweise heißen, den Zugriff über bestimmte Kanäle einzuschränken, Passwörter zu ändern oder schlichtweg Geräte abzuschalten, wenn es keine andere kurzfristige Lösung gibt. Das Stadium der Eindämmung dient dazu, den angerichteten Schaden für den Moment so gut wie möglich zu begrenzen. In diesem Bereich wird in der Regel IT-Expertise gefragt sein, um einen für das Unternehmen möglichst wenig störenden und gleichwohl effektiven Weg wählen zu können. Praktisch gesprochen, dient das Stadium der Eindämmung dazu, die Tür, die durch die Attacke geöffnet wurde, wieder zu schließen. Kreative Lösungen sind erwünscht – will eine Tür partout nicht geschlossen bleiben, so mag es zwar nicht dauerhaft befriedigend sein, einen Schrank vor sie zu schieben. Das akute Problem löst dieser Ansatz gleichwohl.
Benachrichtigung (?)
Eine Atempause bedeutet die erfolgreiche Eindämmung nicht. Nun geht es daran, im nächsten Stadium relevante Parteien zu benachrichtigen. Die Bandbreite ist hierbei groß. Je nach Natur der Datenschutzverletzung kann es etwa notwendig werden, Kund*innen, Mitarbeiter*innen und auch Behörden zu informieren. Sollte die Task Force nicht bereits im Stadium der Eindämmung die Hilfe von Datenschutzbehörden angefordert haben, muss das Unternehmen in Fällen, in denen ein Risiko für Betroffene besteht, spätestens jetzt den Kontakt suchen. Im Geltungsbereich der DSGVO beträgt die Frist zur Meldung von meldepflichtigen Datenschutzverletzungen gem. Art. 33 Abs. 1 Satz 1 DSGVO höchstens 72 Stunden nach Bekanntwerden des Vorfalls. In anderen Rechtsordnungen gelten ähnlich kurze Fristen. Die Bestimmung und Einhaltung dieser Fristen erfordert erneut juristisches Fachwissen, während in der Kommunikation mit Mitarbeiter*innen und Kund*innen Kenntnisse aus den Bereichen PR und HR gefragt sein können. Selbst wenn sich herausstellen sollte, dass ein Vorfall nicht meldepflichtig war, kann zudem aus einer PR-Perspektive heraus überlegt werden, ob, und wenn ja, in welcher Weise, die Öffentlichkeit informiert werden sollte. Gerade wenn ein Unternehmen angegriffen wird, kann es häufig helfen, klar und transparent das Wort zu ergreifen und zu zeigen, dass die Lage unter Kontrolle ist.
Schadensbegrenzung
Nach der Kommunikation gilt der nächste Gedanke der Abmilderung des Vorfalls. Hier kommen erneut externe wie auch interne Elemente zum Tragen. Das Unternehmen sollte Betroffenen Hilfe anbieten. Gerade in dieser Phase ist es wichtig, erreichbar zu sein. Daneben muss der Blick aber auch erstmals wieder in die Zukunft gehen. Der Schrank vor der Tür hat seine Schuldigkeit getan und sollte nun durch eine nachhaltigere Lösung ersetzt werden. IT, HR und Compliance müssen gemeinsam prüfen, welche Systeme wann, wie und auf welche Weise wieder in den Normalbetrieb versetzt werden können, um die Auswirkungen auf das operative Geschäft so gering wie möglich zu halten.
Auch wenn an diesem Punkt idealerweise alles wieder so ist, wie es vor dem Vorfall war, empfiehlt sich nun ein letzter Blick zurück und als abschließendes Stadium einer Strategie zur Incident Response die Frage, welche Lektionen das Unternehmen aus dem Vorfall gelernt hat. Wo konnte Schaden erfolgreich verhindert werden, wo gab es Probleme? Bei aller Hoffnung auf das Gegenteil – der Zeitpunkt nach einem Datenschutzvorfall ist in aller Regel der Beginn der Vorbereitung auf den nächsten Vorfall.
Was wir für Sie tun können
Gerne unterstützen wir Sie und Ihr Unternehmen bei der praktischen Umsetzung dieser Grundsätze. Wir helfen bei langfristiger Planung und sind darüber hinaus auch kurzfristig erreichbar, wenn es brennt. Vorbereitung, Feststellung, Eindämmung, Benachrichtigung und Abmilderung von Datenschutzverstößen sind anspruchsvolle Projekte, die individueller Beratung bedürfen – ebenso wie die Frage, wie ein Unternehmen von der schmerzhaften Erfahrung eines Datenschutzvorfalls im Nachgang vielleicht doch profitieren kann. Unser Ziel ist, dass Sie Ihr Geschäft so ungestört wie möglich fortführen können. Dafür arbeiten wir gerne mit Ihnen zusammen.
