Unsere Unternehmens-IT wurde gehackt – was tun?

Written on 13 Nov 2015

Hackerangriffe auf die IT-Infrastruktur und Datenlecks können für Unternehmen existenzbedrohende Schäden nach sich ziehen. Das jüngst in Kraft getretene IT-Sicherheitsgesetz soll die Risiken verringern; aber kriminelle Energie wird auch in Zukunft eine große Bedrohung sein. Unternehmen müssen bei Datenlecks inzwischen zahlreiche rechtliche Anforderungen erfüllen; Verstöße können Bußgelder in Höhe von 300.000 Euro und mehr nach sich ziehen und in bestimmten Fällen sogar strafbar sein.

Die wichtigsten Punkte haben wir in Form einer Checkliste zusammengestellt:

  1. Unternehmensinterne Aufklärung des Sachverhalts, Schadensermittlung
  2. Beginn des Schließens der Sicherheitslücke
  3. Bei Abhandenkommen besonders schutzwürdiger, personenbezogener Daten: bei Auftragsdatenverarbeitung Auftraggeber informieren, andernfalls zuständige Aufsichtsbehörde informieren
  4. Bei Störung kritischer Infrastruktur und eingetretenem Ausfall: Meldung an das BSI. Bei nur drohendem Ausfall genügt anonyme Meldung
  5. Erfüllung vertraglicher Informations- und Meldepflichten, etwa gegenüber Lieferanten, Kunden und Versicherungen
  6. Beweissicherung
  7. Im Fall einer Strafanzeige: Abstimmung mit Strafverfolgungsbehörden, ob Information der Betroffenen die Strafverfolgung gefährden würde
  8. Information der betroffenen Personen

1. Unternehmensinterne Aufklärung des Sachverhalts, Schadensermittlung

Bevor mit Dritten kommuniziert wird, sollte erst einmal intern aufgeklärt werden, was überhaupt passiert ist. Das scheint auf den ersten Blick banal, ist aber in der Praxis oftmals nicht so einfach. Zum einen erfordert die forensische Analyse eines Angriffs in der Regel spezielle Kenntnisse und Fähigkeiten, die oftmals im Unternehmen nicht vorhanden sind. Zum anderen sind geschickte Angreifer in der Lage, ihre Spuren so zu verwischen, dass eine spätere Aufklärung unmöglich werden kann. Nicht selten wird es also erforderlich sein, sich bei der Aufklärung fremde Hilfe ins Haus zu holen.

Letztlich sollten Unternehmen vor einer Benachrichtigung Dritter zumindest in groben Zügen wissen, welche IT-Systeme kompromittiert wurden und in welchem Ausmaß dies geschah. Dies ist schon deshalb notwendig, um den nachfolgend geschilderten Informations- und Meldepflichten nachkommen zu können. Zu klären ist insbesondere, ob und welche Daten abhandengekommen sind. Im Fall kritischer Infrastrukturen ist zudem zu klären, ob diesbezüglich Störungen oder Ausfälle bestanden oder drohten.

2. Beginn des Schließens der Sicherheitslücke

Selbstverständlich so früh wie möglich sollte damit begonnen werden, die Sicherheitslücken der betroffenen IT-Systeme wieder zu schließen, auch wenn dies in der Regel einige Zeit dauern wird. Gleichzeitig sollte die Beweissicherung (siehe Punkt 6) im Blick behalten werden.

3. Bei Abhandenkommen besonders schutzwürdiger, personenbezogener Daten: bei Auftragsdatenverarbeitung Auftraggeber informieren, andernfalls zuständige Aufsichtsbehörde informieren

Geraten personenbezogene Daten in die falschen Hände, so ist das betroffene Unternehmen verpflichtet, diesen Umstand der zuständigen Aufsichtsbehörde und den Betroffenen (oftmals Kunden des Unternehmens) mitzuteilen. Diese Pflicht ergibt sich aus § 42a des Bundesdatenschutzgesetzes (BDSG), bzw. im Fall von Telemedien- und Telekommunikationsanbietern aus § 15a des Telemediengesetzes und den §§ 93, 109a des Telekommunikationsgesetzes.

3.1 Um welche Daten geht es?

Die Informationspflicht gilt jedoch nicht bei jeglichem Datenleck, sondern nur beim Abhandenkommen von den folgenden, besonders schutzwürdigen Daten:

  • Besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG). Hierzu zählen insbesondere Gesundheitsdaten, aber auch Angaben über die rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugung, die Gewerkschaftszugehörigkeit oder das Sexualleben
  • Personenbezogene Daten, die einem Berufsgeheimnis unterliegen, also etwa elektronische Mandatsakten einer Anwaltskanzlei oder Patientenakten einer Arztpraxis
  • Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen
  • Personenbezogene Daten zu Bank- und Kreditkartenkonten

3.2 Was muss passiert sein?

Es muss nicht zu einem konkreten Missbrauch dieser Daten gekommen sein. Es genügt zunächst, dass die Daten unbefugt übermittelt wurden oder Dritten unrechtmäßig zur Kenntnis gelangt sind. Dabei ist es irrelevant, ob Mitarbeiter des Unternehmens ein Verschulden treffen oder nicht. Eine Benachrichtigungspflicht Pflicht besteht sowohl bei Datendiebstählen, als auch bei der unrechtmäßigen Herausgabe oder dem Verlust von Daten.

Weitere Voraussetzung ist es, dass dem Betroffenen eine schwerwiegende Beeinträchtigung seiner Rechte oder seiner schutzwürdigen Interessen droht. Das ist bei Bankdaten dann der Fall, wenn diese ausreichen, um Transaktionen durchzuführen. Aber auch immaterielle Schäden, wie etwa die Verletzung von Persönlichkeitsrechten, können eine schwerwiegende Beeinträchtigung darstellen und damit zur Informationspflicht führen.

Ob die Betroffenen zu informieren sind, ist letztlich eine Frage des Einzelfalls. Bei der Abwägung kommt es neben den möglichen Folgen des Datenverlustes auch auf die Belastung des Betroffenen und die Wahrscheinlichkeit des Schadenseintritts an.

Um das Risiko eines Bußgeldes zu minimieren, hat es sich in der Praxis bewährt, Zweifelsfälle zusammen mit der zuständigen Aufsichtsbehörde zu klären.

3.3 Wer muss informieren?

Informieren muss grundsätzlich das Unternehmen, das die betroffenen Daten verarbeitet hat. Anders sieht es jedoch dann aus, wenn das Unternehmen nicht in eigener Verantwortung tätig ist, sondern als Auftragnehmer in Form einer sogenannten Auftragsdatenverarbeitung nach § 11 BDSG. Dann ist nicht das verarbeitende Unternehmen, der Auftragnehmer selbst zur Information verpflichtet, sondern der Auftraggeber. Der Gesetzgeber verlangt allerdings, dass ein Vertrag über eine Auftragsdatenverarbeitung eine Informationspflicht des Auftraggebers durch den Auftragnehmer bei Datenlecks enthält, siehe § 11 Abs. 2 Nr. 8 BDSG. Der Auftragnehmer wird also in der Regel vertraglich verpflichtet sein, sich mit dem Auftraggeber abzustimmen und diesen (und nicht die Aufsichtsbehörde) unverzüglich über das Datenleck zu informieren. Selbst wenn eine explizite vertragliche Regelung fehlt, kann sich eine Verpflichtung aus allgemeinen Grundsätzen ergeben. Zudem ist der Auftragnehmer im Interesse einer weiteren Zusammenarbeit mit dem Auftraggeber gut beraten, Datenlecks zu melden.

Ist unklar, ob das betroffene Unternehmen Auftragnehmer ist oder ob es in eigener Verantwortung handelt und lässt sich diese Frage auch nicht mit dem Auftraggeber klären, empfiehlt es sich, im Zweifelsfall, den Informationspflichten selbst nachzukommen.

3.4 Wer muss informiert werden?

Zu informieren ist grundsätzlich die zuständige Aufsichtsbehörde. Dies sind im nicht-öffentlichen Bereich, also für alle privatwirtschaftlich tätigen Unternehmen, die jeweiligen Aufsichtsbehörden der Länder. In der Regel sind dies die Landesdatenschutzbeauftragten, in Bayern allerdings ist das Bayerische Landesamt für Datenschutzaufsicht zuständig, im Saarland das Unabhängiges Datenschutzzentrum Saarland, in Schleswig-Holstein das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Zudem sind die Betroffenen zu informieren.

Soweit unklar ist, ob die Informationspflicht greift, kann auch ein zweistufiges Vorgehen ratsam sein – zunächst wird mit der Aufsichtsbehörde abstrakt geklärt, ob eine Informationspflicht besteht. Dies kann etwa über eine Anwaltskanzlei geschehen, um die Anonymität des Unternehmens zu wahren. Wird eine solche Pflicht bejaht, kann dann in einem zweiten Schritt die Identität offengelegt werden.

3.5 Wann muss informiert werden?

Eine rechtzeitige Information ist wichtig, denn nicht nur eine unterbliebene, sondern auch eine verspätete Information kann Bußgelder nach sich ziehen. Eine Benachrichtigung der Aufsichtsbehörde sollte unverzüglich nach Bekanntwerden des Datenlecks erfolgen. Auch die Betroffenen müssen grundsätzlich unverzüglich informiert werden; es darf jedoch abgewartet werden, bis die ergriffenen Maßnahmen zur Sicherung der Daten erfolgreich durchgeführt wurden. Eine Mitteilung an die Betroffenen sollte zudem dann unterbleiben, wenn im Fall von Strafverfolgungsmaßnahmen die Ermittlungsbehörde in der Benachrichtigung der Betroffenen eine Gefährdung der Strafverfolgung sieht.

Das Gesetz nennt keine absolute Frist, innerhalb welcher informiert werden muss. Abhängig von der Schwere des Verstoßes und der Gefährdungslage erwarten die Aufsichtsbehörden in bestimmten Fällen eine Information innerhalb weniger Stunden und nicht erst nach mehreren Tagen.

3.6 Was muss mitgeteilt werden?

Zunächst muss mitgeteilt werden, welche Daten abhandengekommen sind. Gegenüber der Aufsichtsbehörde ist zudem darzulegen, welche nachteiligen Folgen mit dem Datenleck einhergehen könnten und welche Maßnahmen zur Beseitigung des Datenlecks ergriffen werden.

Der Betroffene muss darüber informiert werden, welche Maßnahmen er zudem ergreifen sollte um mögliche negative Folgen zu verringern (z.B. Sperrung von Kreditkarten, Änderung von Passwörtern). Die Mitteilung erfolgt grundsätzlich individuell, etwa per Brief oder E-Mail. Sollte dies jedoch mit einem unverhältnismäßig großen Aufwand verbunden sein, ist auch eine mindestens halbseitige Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen möglich.

3.7 Folgen eines Verstoßes

Unterbleibt eine Mitteilung, kann dies mit einem Bußgeld von bis zur 300.000 Euro geahndet werden. Hat der Verstoß zu einem höheren wirtschaftlichen Vorteil geführt, kann das Bußgeld auch noch höher ausfallen. Liegt zudem eine Sorgfaltspflichtverletzung vor – wurde also fahrlässig oder gar vorsätzlich gehandelt – kommen Schadensersatzansprüche in Betracht. Zu beachten ist, dass § 7 BDSG die Beweislast für die Sorgfaltspflichtverletzung umkehrt – das Unternehmen muss also nachweisen, dass es sorgfältig gehandelt hat.

Wird zudem für das Unterlassen der Information Geld gezahlt oder unterbleibt die Information in Bereicherungs- oder Schädigungsabsicht, erfüllt dies einen gesetzlichen Straftatbestand, der mit einer Freiheitsstrafte von bis zu zwei Jahren geahndet werden kann (§ 44 Abs. 1 BDSG).

In der Praxis weitaus schlimmer wiegt allerdings die schlechte PR, die ein erfolgreicher Hackerangriff nach sich zieht. Allerdings haben sich in der jüngsten Zeit die Schwerpunkte der Kritik verschoben: War noch vor einiger Zeit schon ein erfolgreicher Angriff auf die IT-Infrastruktur an sich Grund genug für Kritik, hat sich inzwischen die Erkenntnis durchgesetzt, dass ein absoluter Schutz nicht möglich ist. Im Kreuzfeuer stehen nunmehr fehlende Sicherheitsmaßnahmen sowie ein unprofessioneller Umgang mit solchen Angriffen.

4. Bei Störung kritischer Infrastruktur und eingetretenem Ausfall: Meldung an das BSI. Bei nur drohendem Ausfall genügt anonyme Meldung

Das Ende Juli 2015 in Kraft getretene IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen, erhebliche Störungen von IT-Systemen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, wenn diese Störungen zu erheblichen Störungen oder Ausfällen der kritischen Infrastrukturen geführt haben oder führen können (siehe § 8b Abs. 4 des BSI-Gesetzes). Auch hier genügt bereits eine mögliche Beeinträchtigung der IT-Systeme, um die Meldepflicht auszulösen. Es muss nicht zu tatsächlichen Ausfällen gekommen sein. Bestand jedoch lediglich eine Gefährdung, ohne dass ein tatsächlicher Ausfall eintrat, so kann die Meldung ohne Nennung des Unternehmens gemacht werden. Verstöße gegen diese Pflicht können mit Bußgeldern bis zu 50.000 Euro geahndet werden.

Derzeit ist allerdings noch unklar, welche Unternehmen Adressat des IT-Sicherheitsgesetzes sein werden. Eine Konkretisierung bleibt einer noch zu erlassenden Verordnung vorbehalten. Sobald diese in Kraft tritt, gilt die Meldepflicht allerdings unmittelbar für die betroffenen Unternehmen. Anders als für die Implementierung von Sicherungsmaßnahmen sieht das IT-Sicherheitsgesetz keine Umsetzungsfrist vor.

Das Gesetz verlangt, dass die Meldung Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, der vermuteten oder tatsächlichen Ursache, der betroffenen IT-Systeme, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthält.

Entsprechende Regelungen gibt es für die Betreiber von Telekommunikationsdiensten, im Energiewirtschaftsgesetz und im Atomgesetz. Die nach diesen Regelungen Verpflichteten unterliegen schon jetzt entsprechenden Meldepflichten; die oben genannte Verordnung ist für sie nicht einschlägig.

5. Erfüllung vertraglicher Informations- und Meldepflichten, etwa gegenüber Lieferanten, Kunden und Versicherungen

Nicht vergessen werden sollten vertragliche Pflichten gegenüber Dritten. Häufig finden sich etwa in Verträgen mit Kunden oder Zulieferern, aber auch in Versicherungsverträgen Informations- und Kooperationspflichten. Ist das Unternehmen etwa verpflichtet, Vertragspartner im Fall von Angriffen zu informieren, sollte dies nicht vergessen werden.

Zu einer echten Pflichtenkollision kann es kommen, wenn das Unternehmen als verarbeitende Stelle einerseits nach dem BDSG zur Informationen der Betroffenen verpflichtet ist, andererseits aber einem Vertragspartner gegenüber vertraglich gebunden ist, sämtliche Schritte und insbesondere die Außenkommunikation mit dem Vertragspartner abzustimmen. Verlangt dann der Vertragspartner, dass eine Information unterbleibt, sollte versucht werden, eine einvernehmliche Lösung zu finden. Vor dem Hintergrund eines drohenden Bußgeldes bei unterlassener oder verspäteter Information wird aber in der Regel einer solchen Information der Vorzug zu geben sein. Zudem stellt sich die Frage, ob entgegenstehende vertragliche Verbote wegen Verstoßes gegen eine gesetzliche Pflicht nicht ohnehin unwirksam sind.

6. Beweissicherung

Zusammen mit der Sachverhaltsaufklärung sollte eine Beweissicherung durchgeführt werden. Auch wenn in der Hektik des Moments die Wiederherstellung der Systeme im Vordergrund steht, darf nicht vergessen werden, dass mit dem Neuaufsetzen eines kompromittierten Systems Spuren verwischt werden. Daher sollte vor solchen Maßnahmen eine Kopie der kompromittierten Systeme erstellt werden.

7. Im Fall einer Strafanzeige: Abstimmung mit Strafverfolgungsbehörden, ob Information der Betroffenen die Strafverfolgung gefährden würde

Zudem sollte überlegt werden, ob Strafanzeige gestellt wird. In diesem Fall empfiehlt sich eine frühzeitige Hinzuziehung der Ermittlungsbehörde sowie die Abstimmung der Information der Betroffenen mit der Ermittlungsbehörde und der Aufsichtsbehörde. In bestimmten Fällen kann es sich empfehlen, mit der Information der Betroffenen zu warten, um den Ermittlungserfolg nicht zu beeinträchtigen.

8. Information der betroffenen Personen

Erst wenn mit den Strafverfolgungsbehörden und der Aufsichtsbehörde geklärt ist, ob eine Information der Betroffenen erfolgen darf (siehe Punkt 7), bzw. ob überhaupt informiert werden muss, sollten die Betroffenen informiert werden. Zum Umfang der Informationspflicht siehe Punkt 3.