Datenpannen und Datenschutzverletzungen im Unternehmen

von Ralf J. Schlaefer (Kommentare: 0)

Am falschen Ende gespart kann teuer werden. In der heutigen digitalen Welt sind alle in unterschiedlichem Ausmaß von Datenpannen und Datenschutzverletzungen betroffen. Wer in der heutigen Zeit vorbeugende Maßnahmen ignoriert, verdient kein Mitleid.

Unternehmen sammeln und verarbeiten eine große Menge an personenbezogenen Daten. Wenn diese Daten in die falschen Hände geraten oder zerstört werden, kann dies gravierende Auswirkungen auf die Betroffenen und das Unternehmen haben.

Einen 100% Schutz gibt es nicht. Unser Ziel ist es, Ihnen ein Verständnis dafür zu vermitteln, wie Datenpannen und Datenschutzverletzungen vermindert werden können und welche Maßnahmen Sie ergreifen können, um sich selbst und Ihr Unternehmen besser zu schützen.

Was ist eigentlich eine Datenpanne?

Eine Datenpanne ist ein Vorfall, bei dem Unberechtigte Zugriff auf personenbezogene Daten erhalten oder personenbezogene Daten gegenüber unberechtigten Dritten offengelegt werden. Ein Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Die Verletzung des Schutzes personenbezogener Daten ist gemäß Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung, beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Welche Gefahren lauern bei einem Vorfall?

Stand 26. April 2023 gab es in diesem Jahr bereits über 90 öffentlich bekanntgewordene Vorfälle. Mit Sicherheit ist die Anzahl wesentlich höher, da viele Datenpannen nicht bekannt werden.

Hier eine kleine Auswahl:

Unternehmen: Vorfall:
Bitmarck IT-Dienstleister für Krankenkassen erleidet massives Datenleck. Nach erneutem Cyber-Angriff auf IT-Dienstleister von 80 gesetzlichen Krankenkassen gab es Ausfälle der eAU und Zuzahlungsprüfungen.
Evotec Deutscher Pharmakonzern fährt nach Cyberattacke Server herunter.
E-Werk Wanfried von Scharfenberg LockBit 3.0 erbeutet Daten von Stromversorger und erbeuteten Abrechnungen und auch Mahnungen.
FRIEDRICH VORWERK Group File- und Datenbankserver sowie Arbeitsplatzrechner mit Ransomware befallen.  
Fritzmeier Group Cyberattacke auf deutschen Fahrradhersteller legt Produktion lahm.
Häfele Betrieb von Möbelhersteller Häfele fällt nach Cyberattacke für fast einen Monat aus.
Hochschule Harz Hochschule Harz muss Server nach Cyberangriff abschalten.
Kapellmann und Partner Rechtsanwälte mbB Lösegeldforderung nach Ransomware-Angriff auf deutsche Anwaltskanzlei.
Letzte Generation Sensible Daten von mehr als 2.200 Aktivisten ungeschützt auf Google Drive zugänglich.
Lürssen Ransomware-Angriff legt Werftbetrieb lahm.
MLF Mercator-Leasing Hacker stehlen bei Angriff auf Dienstleister Einhaus-Gruppe Daten von Leasingpartner JobRad.
Ortho Form Sauerland Hacker dringen in Sanitätshaus ein und erbeuten Daten des internen Servers.
Plüsch-Tierheim Schließung droht, nachdem Versandlabel im Wert von 26.622 Euro von Cyber-Kriminellen gedruckt wurden.
Prophete Fahrradhersteller muss nach Cyberangriff Insolvenz anmelden.
QUA-LiS NRW Ungeschütztes PHP LDAP erlaubt Zugriff auf mehr als 16 Tsd. Benutzerkonten einer Active-Directory-Instanz.
Schulen in Karlsruhe Cyberkriminelle infizieren Systeme von sieben Schulen in Karlsruhe mit Ransomware.
Sky Deutschland Cyberkriminelle erhalten Zugriff auf Sky Konten in Deutschland.
Smart InsurTech IT-Dienstleister muss Systeme nach Cyberattacke abstellen.
SSI Schäfer Shop SSI Schäfer Shop wird Opfer von Cyberattacke; Cyberkriminelle erlangen Kundeninformationen.
Stürtz Maschinenbau LockBit 3.0 erbeutet Daten und verlangt 150.000 US-Dollar Lösegeld für die Vernichtung.
Universität Düsseldorf Universität Düsseldorf benachrichtigt Universitätsangehörige über Datendiebstahl.
Üstra Ransomware-Angriff auf Verkehrsgesellschaft sorgt für Ausfall von Anzeigetafeln und Störungen beim Verkauf des Deutschland-Tickets.

Quelle: https://www.dsgvo-portal.de/sicherheitsvorfall-datenbank/

Ursache Nummer 1 - Der Mensch, das unachtsame Wesen

Es ist schwierig, eine vollständige Liste aller Datenpannen zu erstellen, die durch menschliches Versagen verursacht wurden, da viele Vorfälle möglicherweise nicht gemeldet wurden. Hier jedoch einige Beispiele für Datenpannen, die auf menschliches Versagen zurückzuführen sind:

- Versehentliches Veröffentlichen von Informationen:

Eine Person kann versehentlich personenbezogene Daten und/oder vertrauliche Informationen gegenüber Dritten offenlegen.

Beispiele aus der Praxis:

  • E-Mail an einen falschen Empfänger durch die Nutzung einer falschen E-Mail-Adresse. Gleiches gilt für jegliche Kommunikationswege wie auch Fax, Post, SMS, Chat usw.
  • Veröffentlichung durch einen offenen Verteiler (bei E-Mails CC statt BCC)
  • Offenlegung von personenbezogenen Daten und vertraulichen Informationen durch die Nutzung von Online-Übersetzungsprogrammen wie z. B. der Google Translator
  • Liegenlassen von Dokumenten an Kopiergeräten wie z. B. fehlerhafte Kopien. Dies betrifft auch die Papierkörbe, die meist neben den Kopiergeräten stehen.
  • Keine gelebte Clear Desk Policy, wodurch Besucher oder Dienstleister (z. B. Reinigungspersonal) Einsicht in Dokumente erhalten oder Datenträger (CDs, USB-Sticks u.s.w.) entwenden können.
  • Einsichtnahme von personenbezogenen Daten an Bildschirmen.

- Verlorene oder gestohlene Geräte oder Unterlagen:

Es kann passieren, dass ein Gerät wie ein Laptop, ein Smartphone oder ein externer Datenspeicher, wie ein USB-Stick usw., verloren geht oder gar gestohlen wurde. Ebenfalls werden gerne mal Dokumente im Zug vergessen. Auch hier können vertrauliche Informationen in die falschen Hände geraten.

- Phishing-Angriffe:

Die aktuell größte Gefahr besteht darin, dass Mitarbeitende auf Phishing-E-Mails hereinfallen, die dazu führen, dass Anmeldeinformationen oder andere vertrauliche Informationen preisgeben werden oder ein Ransomware-Angriff ausgelöst wird.

Auch steigt die Anzahl von E-Mail-Attacken, die Google-Translate-Dienste nutzen, um bösartige URLs zu verbergen. Diese neuen Angriffe werden von den meisten E-Mail-Filtertechnologien nicht erkannt und landen in den Postfächern der Nutzer.

- Ransomware-Angriffe:

Ransomware-Angreifer tarnen Phishing-E-Mails gerne als Benachrichtigungen von bekannten Versandunternehmen oder Banken, die über Lieferverzögerungen, betrügerische Käufe oder seltsame Kontobewegungen informieren. Diese E-Mails enthalten jedoch immer schädliche Dateien (PDFs, Bilder oder Office-Dokumente mit Marcos) oder Download-Links, die die Malware auf dem Endgerät des Nutzers installiert und den Angriff auslöst.

 

Ein Blick in die obere Tabelle genügt, um sich der Tragweite von Phishing- oder Ransomware-Angriffe bewusst zu werden. Betroffene Unternehmen müssen Reputationsschäden, hohe finanzielle Einbußen und den Verlust von Daten hinnehmen.

Auch können die Datenschutzbehörden Bußgelder verhängen, wenn Unternehmen die Schutzmaßnahmen stiefmütterlich behandeln und sich den Angriffen fahrlässig ausgesetzt haben.

Präventive Maßnahmen zum Schutz Ihres Unternehmens

Technische Maßnahmen und organisatorische Maßnahmen sind zwei Arten von Schutzmaßnahmen im Datenschutz. Sie sind Teil des Konzepts der Datensicherheit und sollen sicherstellen, dass personenbezogene Daten angemessen geschützt sind.

Technische Maßnahmen beziehen sich auf die technischen Aspekte des Datenschutzes. Sie umfassen alle Maßnahmen, die in Hard- und Software integriert sind, um die Sicherheit personenbezogener Daten zu gewährleisten. Beispiele für technische Maßnahmen sind:

  • Einsatz von geeigneten Firewalls und Anti Virus-Scannern.
  • Halten Sie Ihre Systeme durch ein Patch-Management-System immer auf dem aktuellen Stand.
  • Überlegen Sie, welche Zugriffe/Rechte Ihre Mitarbeiter wirklich benötigen und erstellen Sie ein Berechtigungskonzept.
  • Schnelle Wiederherstellung Ihrer Daten durch ein intelligentes Backupkonzept.
  • Überwachen der Systemaktivitäten durch aktives Monitoring und Logging, um Angriffe frühzeitig zu erkennen und Schwachstellen aufzudecken.
  • Durchführen von Sicherheitsanalysen und Pentests, um Verwundbarkeiten aufzudecken und zu schließen, bevor andere sie finden.

Organisatorische Maßnahmen beziehen sich auf die organisatorischen Aspekte des Datenschutzes. Sie umfassen alle Maßnahmen, die darauf abzielen, die Sicherheit durch organisatorische Maßnahmen zu gewährleisten. Beispiele für organisatorische Maßnahmen sind:

  • Unternehmen sollten sicherstellen, dass alle Mitarbeiter über die Risiken und Konsequenzen von Datenpannen informiert sind und regelmäßig Schulungen erhalten.
  • Mit Awareness Maßnahmen das Problembewusstsein und das sichere Verhalten im alltäglichen Umgang mit IT-Systemen schulen.
  • Erstellung von Datenschutzrichtlinien und Verfahrensanweisungen. Unternehmen sollten klare Richtlinien und Verfahren für die Datensicherheit entwickeln und implementieren, damit Mitarbeiter wissen, was von ihnen erwartet wird.
  • Festlegung von Zugangsberechtigungen und Verantwortlichkeiten. Unternehmen sollten sicherstellen, dass Mitarbeiter nur auf die Informationen zugreifen können, die sie benötigen, um ihre Arbeit zu erledigen, und dass Zugriffsrechte regelmäßig überprüft werden.
  • Durchführung von Datenschutz-Folgenabschätzungen.
  • Kontrollen zur Einhaltung der Datenschutzrichtlinien.

Sowohl technische als auch organisatorische Maßnahmen sind notwendig, um ein angemessenes Maß an Sicherheit zu gewährleisten. Unternehmen sollten diese Maßnahmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie den aktuellen Bedrohungen und Anforderungen entsprechen.

Fazit

Neben der Herausforderung, sich im Unternehmen an die Datenschutzvorgaben zu halten und diese umzusetzen, kommt es unbeabsichtigt zu Verstößen oder Pannen, die vermeidbar sind. Teilweise kann mit einfachen Maßnahmen einem Vorfall entgegengewirkt werden, sodass dieser gar nicht erst eintritt bzw. eintreten kann. Aus diesem Grund sollten nicht nur technische Maßnahmen auf einem aktuellen Stand sein, auch die Mitarbeiter und Mitarbeiterinnen sollten regelmäßig an Sensibilisierungsmaßnahmen zu den Themen Datenschutz und IT-Sicherheit teilnehmen.

Die dacuro GmbH bietet neben Schulungen für Mitarbeiter auch spezielle Schulungen für Mitarbeiter der IT an, hat eine eigene e-learning Plattform und aktuell wieder neue Termine für ein intensives Zwei-Tages-Seminar im Portfolio. Für das Seminar im Mai gibt es noch zwei Restplätze. Sprechen Sie uns an!

Hier erfahren Sie alles über unsere verschiedenen Schulungsmöglichkeiten.

ein Foto von allen Mitarbeitern der dacuro

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf.

Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.

TAGS

Zurück

Einen Kommentar schreiben

Bitte rechnen Sie 7 plus 2.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.