Access Management

Identitätsdiebstahl schwer gemacht

Vorgehen bei einem Datenleck

Wer als Unternehmen oder Verein von einem möglichen Angriff und einem Datenleck betroffen ist, muss allein schon nach dem Willen des Bundesdatenschutzgesetzes (BDSG) unverzüglich handeln. Schließlich heißt es unter §3 (7) über die sogenannte "verantwortliche Stelle": "Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt." Sollte ein drittes, externes Unternehmen die Daten beispielsweise im Rahmen einer Website verarbeiten, gilt dieses ebenfalls als verantwortliche Stelle.

Wichtig ist, die vom Identitätsdiebstahl Betroffenen zu informieren - idealerweise persönlich, was bei Massendiebstählen jedoch kaum machbar ist. Deshalb schreibt § 42 a des BDSG bei "unverhältnismäßigem Aufwand" die Benachrichtigung in der Öffentlichkeit vor. Das bedeutet beispielsweise eine Meldung über eine halbe Seite in mindestens zwei bundesweit erscheinenden Tageszeitungen oder einen Fernsehbeitrag oder Meldungen auf anderen Medienkanälen.

Alle sind betroffen: Ein Datenleck - ob im Unternehmen oder im Verein oder in einer Organisation - trifft meist verschiedene Interessengruppen.
Alle sind betroffen: Ein Datenleck - ob im Unternehmen oder im Verein oder in einer Organisation - trifft meist verschiedene Interessengruppen.
Foto: Stanislav Wittmann

"Anstatt sich um den eigenen Imageschaden zu sorgen, spricht das Aufzeigen einer Datenpanne für eine aktiv gelebte Sicherheitskultur", unterstreicht Datenschützer Michael Werner. Es helfe außerdem, drohende Bußgelder (§ 43 BDSG - Bußgelder) und mögliche Haftstrafen (§ 44 BDSG - Strafvorschriften) zu vermeiden. Überhaupt ist es eine sinnvolle Vorsichtsmaßnahme für Unternehmen, für solche Szenarien bereits im Vorfeld Notfallpläne zu erstellen. Nicht nur, um mögliche Schäden der Betroffenen zu reduzieren, sondern auch, um das eigene Image aufrechtzuerhalten. Denn je schneller die Warnmeldungen an die Betroffenen rausgehen, desto eher können alle Parteien reagieren und als Konsequenz versuchen, vorhandene Schäden zu mindern.

Täterprofile

Hacker, Social Engineers oder eingeschleuste Mitarbeiter: Um Daten zu entwenden, bedarf es immer Menschen mit einer gewissen kriminellen Energie und bestimmten technischen Fertigkeiten. Zumeist sind es Insider, die für Sicherheitsvorfälle verantwortlich zeichnen - so zumindest das Ergebnis der 2012er-Studie von Corporate Trust. Demnach führt die Spur in mehr als der Hälfte aller Spionageattacken zu Innentätern. "Mitarbeiter, die sich ausgenutzt fühlen, sind nicht loyal. Der Schaden, der Unternehmen dadurch entsteht, geht in die Milliarden", erklärt Professor Wolfgang Berger, Leiter des Business REFRAMING Instituts Karlsruhe.

Den Tätern auf der Spur: Die Studie "Industriespionage 2012" von Corporate Trust macht deutlich, dass Innentäter die häufigste Ursache sind.
Den Tätern auf der Spur: Die Studie "Industriespionage 2012" von Corporate Trust macht deutlich, dass Innentäter die häufigste Ursache sind.
Foto: Corporate Trust 2012

Nur jede achte Fall von Spionage ist laut Corporate Trust auf Hacker von außen zurückzuführen. Dazu kommen Attacken von Wettbewerbern und auch von Nachrichtendiensten. So berichtet der Whistleblower Edward Snowden in einem Videobeitrag, dass Nachrichtendienste teils sogar wissentlich nicht die "idealen Sicherheitslösungen für Unternehmen empfehlen", um deren potenzielle Schwachstellen bei Bedarf auszunutzen zu können. "Bei der Reduzierung des Sicherheitsniveaus in der Kommunikation setzen Nachrichtendienste nicht nur die Welt, sondern auch Amerikaner Risiken aus", so Snowden.