„Leider müssen wir Sie über einen Datenschutzvorfall informieren, wobei sich Dritte unrechtmäßig Zugang zu Ihren Daten verschafft haben.” Wer seinen Kunden diesen Satz mitteilen muss, weiß genau, dass eine schwere Zeit bevorsteht. Doch Datenschutzvorfälle aufgrund von Cyberangriffen sind nicht selten und können schwerwiegende Folgen für Unternehmen haben.
Man könnte denken, dass besonders Großkonzerne interessant für Hacker wären. Doch weit gefehlt. Vor allem auch kleine und mittelständische Unternehmen bieten eine besondere Angriffsfläche, die Cyberkriminelle gerne ausnutzen. Oft ist die Beschaffenheit der Infrastruktur nicht so ausgeklügelt und auf dem neusten Stand, die IT-Sicherheit unzureichend und es mangelt an zeitlichen und personellen Ressourcen.
Laut Bitkom wurden bereits drei von vier deutschen Unternehmen Opfer von Diebstahl oder Sabotage. Schon bei der Gründung muss dieses Risiko also bedacht werden. Denn daraus können Kosten entstehen, die existenzbedrohend sein können.
Der Hacker– dein wandelbarer Feind
Datenschutz und Cyber-Attacken werden dann in Verbindung gebracht, wenn personenbezogenen Daten von Nutzern gestohlen werden. Die Gefahren dafür lauern fast an jeder Ecke, denn immer raffiniertere kriminelle Methoden werden entwickelt, um den Unternehmen einen Schritt voraus zu sein. Zu den gängigsten Methoden gehören dabei Phishing, Ransomware und daraus folgende Lösegeldforderungen für verschlüsselte Daten oder DoS-Angriffe, die Services, Anlagen, Webseiten oder komplette Betriebe lahmlegen können.
Wie sieht die rechtliche Grundlage aus?
Im Falle einer Datenschutzverletzung durch einen Cyber-Angriff gilt seit 2018 die Datenschutzgrundverordnung (DSGVO), die festgelegt, dass Unternehmen beziehungsweise die verantwortlichen Personen für Verletzungen von Datenschutzrichtlinien haften.
Oftmals ist es gar nicht der Angriff selbst, der das Unternehmen an den Rande des Ruins oder darüber hinaustreibt, sondern die damit verbunden Imageschäden. Denn ein Datenschutzverstoß, durch den sich Unbefugte unberechtigterweise Zugriff auf Daten verschafft haben, muss der Datenschutzbehörde und den betroffenen Personen gemeldet werden. Die Kosten der Beseitigung der Folgen und der Verbesserung der IT-Systeme kann Unsummen verschlingen. Aber die das Image und das Vertrauen der Kunden wiederherzustellen kann Jahre dauern.
Handlungsempfehlung bei einer Datenschutzverletzung
Um das Risiko für Unternehmen minimieren zu können, sollte dieses zuvor genau analysiert werden. Dabei werden konkrete Szenarien betrachtet, wie beispielsweise: Wie hoch ist die Wahrscheinlichkeit, dass die Sicherheit verletzt wird, auf welche Art und Weise könnte das passieren und welche Konsequenzen hat es für das Unternehmen und die verbundenen Stakeholder? Solche Überlegungen müssen Unternehmen nicht alleine anstellen. Sie können IT-Sicherheits-Experten oder Compliance Manager hinzuziehen, die sich mit möglichen Risikoszenarien auskennen.
Auf der Analyse aufbauend, sollten ein Datensicherungskonzept sowie ein Notfallplan erstellt werden, der in der Praxis auch effizient umgesetzt werden kann. Zudem sollten Verantwortliche überlegen, eine Cyberversicherung für ihr Unternehmen abzuschließen. Denn im Ernstfall kann eine solche Versicherung die finanzielle Schieflage auffangen, in die Unternehmen Cyberangriffen schnell geraten können.
Wie Datenschutz gegen einen Cyber-Angriff schützen kann
Der Datenschutz muss mitbetrachtet werden, wenn sich Unternehmen mit dem Schutz vor Cyberangriffen beschäftigen. Denn wer den Datenschutz ernst nimmt, hat die besten Chancen eine IT-Struktur zu schaffen, die es Hackern schwer macht.
Bereits aus Datenschutzgründen sind bestimmte Systeme und Strukturen in der IT von Unternehmen voneinander getrennt, sodass Hacker nicht ohne weiteres die gesamte Infrastruktur durch einen gezielten Angriff schädigen und sensible Daten in die Hände bekommen können. Wichtig ist es in diesem Zusammenhang auch, nicht nur geeignete IT-Sicherheitskonzepte und Lösungen einzusetzen, sondern auch alle Mitarbeiter zu sensibilisieren und zu schulen. Denn die beste IT-Sicherheits-Lösung ist unbrauchbar, wenn ein Mitarbeiter Cyberkriminellen durch Unwissenheit Tür und Tor öffnet.
Bildquelle: stock.adobe.com-Tierney
