Meldepflicht bei Datenverlust ab 1. September

Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, §42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies kann schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen.

Studien zufolge lassen sich bis zu 78 Prozent aller Fälle von Datenverlust den eigenen Mitarbeitern zuschreiben (US-Studie von Arcsight und Ponemon Institute, Juli 2008): Dabei gehen nicht nur oft Notebooks, PDAs, Smartphones oder USB-Sticks versehentlich verloren. Es kommt auch immer wieder vor, dass Mitarbeiter unabsichtlich oder sogar vorsätzlich vertrauliche Daten per E-Mail aus dem Unternehmen "schleusen".

Im August 2008 war beispielsweise der Verbraucherzentrale Schleswig-Holstein eine CD mit 17.000 Datensätzen zugespielt worden, die offenbar von der Süddeutschen Klassenlotterie (SKL) stammten. Auch die Zusammenarbeit mit externen Geschäftspartnern oder Dienstleistern birgt IT- und Datensicherheitsrisiken: So wurde etwa im März 2009 bekannt, dass Kabel Deutschland Hundertausende von Kundendaten an verschiedene Call-Center weitergegeben hatte. Die Daten wurden in unverschlüsselten Excel-Dateien verschickt und von einigen Call-Centern wiederum an Subunternehmen weitergeleitet.

Meldepflicht bei Hardwareverlust

Sophos, einer der führenden Anbieter von IT-Lösungen für Security and Data Protection, begrüßt das neue Gesetz. Dazu Christoph Hardy, Senior Security Consultant bei Sophos: „In Ländern wie den USA haben ähnlich verstärkte Gesetze bereits zu einem Rückgang bei IT- und Datensicherheitsvorfällen geführt. Sophos und Utimaco haben sich daher schon in der Vergangenheit für eine Meldepflicht eingesetzt. Für deutsche Unternehmen sollte die Verschärfung des Datenschutzrechts daher Anlass sein, ihre bestehenden IT- und Datensicherheitskonzepte kritisch zu prüfen und bei Bedarf zu optimieren.“

„Schon der Verlust eines USB-Sticks oder Notebooks mit vertraulichen personenbezogenen Daten kann jetzt ein meldepflichtiger Vorfall sein“, so Christoph Hardy weiter. '“Unternehmen müssen sicherstellen, dass die Angestellten ausreichend über die Gefahren der digitalen Welt informiert werden und sich bewusst sind, welche Folgen der Verlust sensibler Daten für ihren Arbeitgeber und sie selbst haben kann.“

Zur Aufklärung ihrer Mitarbeiter in Sachen IT- und Datensicherheit sollten Unternehmen regelmäßige Schulungen abhalten und praxistaugliche Informationsmaterialien bereitstellen. Darüber hinaus sollten sie klare Regeln zum Umgang mit Daten, E-Mail und Internet definieren und durchsetzen. Die Voraussetzung für ganzheitliche IT- und Datensicherheit und die Durchsetzung von Richtlinien schaffen Unternehmen durch den Einsatz integrierter Lösungen, die IT-Systeme sowohl vor externen Bedrohungen, wie Malware- und Hacker-Attacken, schützen als auch die Verschlüsselung der auf mobilen Endgeräten, Festplatten und Speichermedien abgelegten oder per E-Mail übertragenen Daten erlauben.

Sieben goldene Regel für vertauliche Daten

Sophos nennt sieben goldene Regeln, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten:

1. Jeder Klick kann gefährlich sein: Cyberbedrohungen nehmen kontinuierlich zu, vor allem im Internet. Wer heute zum Beispiel aus Neugierde auf einen Link in einer obskuren E-Mail klickt, dubiose Websites besucht oder sich ausführbare Dateien herunterlädt, setzt das Unternehmensnetzwerk dem Risiko einer Vireninfektion aus.

2. Schwer zu knackende Passwörter einrichten: Bei der Wahl eines Passworts sollte auf Begriffe verzichtet werden, die im Wörterbuch stehen oder sich einfach erraten lassen. Als sichere Variante gilt ein Mix aus mindestens zehn Ziffern, Buchstaben oder Sonderzeichen. Mitarbeiter sollten dabei beachten, für jeden Zugang ein anderes Passwort zu verwenden.

3. Vorsicht bei sozialen Online-Netzwerken: Rund 25 Prozent aller Unternehmen fielen bereits einmal Spam-, Phishing- oder Malware-Attacken zum Opfer, die von Social Networking Websites ausgingen (Quelle: Sophos Security Threat Report für das 1. Halbjahr 2009). Mitarbeiter, die Netzwerke wie Xing oder Facebook im beruflichen Umfeld nutzen, sollten dort nicht zu viele geschäftliche und private Informationen preisgeben - die Daten könnten sonst von Cyberkriminellen für gezielte Angriffe gegen das Unternehmen missbraucht werden.

4. Nur verschlüsselte Daten sind sicher: Vertrauliche Geschäftsinformationen und Kundendaten sollten prinzipiell nur verschlüsselt gespeichert und übertragen werden, um sie vor unberechtigtem Zugriff, Verlust, Diebstahl und Manipulation zu schützen.

5. Auf mobile Geräte besonders achten: Rund sieben Millionen Notebooks gingen im Jahr 2007 weltweit verloren oder wurden gestohlen. Ein unachtsamer Moment am Flughafen, im Bahnhof oder Taxi genügt - schon ist der Laptop, PDA oder USB Stick weg und sensible Daten können in die falschen Hände geraten. Das eigene Gepäck sollte daher stets im Auge behalten werden.

6. Daten sind bares Geld wert: Die durchschnittlichen Kosten pro Datenpanne in deutschen Unternehmen lagen im Jahr 2008 bei 2,4 Millionen Euro. Jeder einzelne verlorene Datensatz schlug dabei mit 122 Euro zu Buche (Ponemon Institute, 2009). Mitarbeiter müssen sich im Klaren darüber sein, dass verlorene Daten massive wirtschaftliche Schäden im Unternehmen verursachen, den Verlust von Kunden nach sich ziehen und im schlimmsten Fall sogar Arbeitsplätze gefährden können.

7. Datendiebstahl kann Folgen haben: Zwar haften Unternehmen grundsätzlich für ihre Mitarbeiter im Falle verlorener Daten. Werden diese jedoch des fahrlässigen oder vorsätzlichen Datendiebstahls überführt, drohen eine Abmahnung durch den Arbeitgeber oder sogar die Kündigung. (ala)