Meldepflicht könnte es geben, wenn es
anhand von Logfiles sehr wahrscheinlich
sei, dass Daten durch einen Erpressungs-
Trojaner lediglich verschlüsselt und nicht
abgesaugt wurden.
Kunden informieren
In besonders schweren Fällen muss nach
Artikel 34 der Datenschutzgrundverord-
nung der Verantwortliche auch die be-
troffenen Personen (Kunden und End-
kunden) benachrichtigen. Dies gilt laut
Schneider gerade dann, wenn der oben
beschriebene Fall eintritt und ein hohes
Risiko für die persönlichen Rechte und
Freiheiten besteht. Ob ein solches Risiko
bestehe, lasse sich mit der Aufsichtsbe-
hörde erörtern, so Schneider.
Unabdingbar erscheine eine solche Be-
nachrichtigung aber, wenn etwa Kredit-
kartendaten abhandengekommen seien
und damit die Gefahr unberechtigter
Abbuchungen bestehe. Die vom Daten-
klau betroffenen Endkunden müssten in
diesem Fall den Abbuchungen widerspre-
chen, so Schneider, und es sei nötig, sie
zur sorgfältigen Kontrolle ihrer entspre-
chenden Abrechnungen aufzufordern.
Workflow
Der Workflow für Meldungen an die
Aufsichtsbehörden variiert. „Wenn ei-
nem Auftragsverarbeiter eine Verletzung
des Schutzes personenbezogener Daten
bekannt wird, meldet er diese dem Ver-
antwortlichen, der dies gegebenenfalls
weiter zur Aufsichtsbehörde eskalieren
muss“, sagt Schneider. Auftragsverarbei-
ter sind etwa Hoster, Verantwortliche die
Kunden des Hosters.
Der Verantwortliche müsse überdies Ver-
letzungen des Schutzes personenbezoge-
ner Daten und alle damit im Zusammen-
hang stehende Fakten dokumentieren
(Abbildung 1). Dazu zählt der Experte
auch Auswirkungen des Einbruchs und
die Auflistung der Abhilfemaßnahmen.
Diese Dokumentation sei gegebenenfalls
der Aufsichtsbehörde vorzulegen.
Schadenersatz
All diese Maßnahmen des Datenschutzes
kosten natürlich Geld. Auch ohne die Be-
rührung personenbezogener Daten, kann
es aufwändig sein,
einen Angriff nach-
zuvollziehen, einge-
brachte Malware zu
beseitigen, IT-Systeme
nach einem Angriff
neu aufzusetzen oder
sonstige Tätigkeiten.
Hierfür kann man vom
Angreifer zwar Scha-
denersatz verlangen.
Das Problem besteht
meist aber darin, dass
man den nicht kennt
oder seiner nicht hab-
haft wird.
Grundsätzlich könne man sich aber Po-
lizei und Staatsanwaltschaft zu Verbün-
deten machen, denn ein Angriff auf IT-
Systeme erfüllt regelmäßig auch Straftat-
bestände, so Schneider. So zum Beispiel
das Ausspähen von Daten (§ 202a StGB),
die rechtswidrige Datenveränderung (§
303a StGB) oder der Computerbetrug (§
263a StGB).
Bei den meisten Landeskriminalämtern
gäbe es hierfür inzwischen zentrale An-
sprechstellen für Cybercrime für Unter-
nehmen und Behörden, die mit speziali-
sierten Kriminaltechnikern besetzt sind.
Auch bei Staatsanwaltschaften seien zu-
nehmend Zentralstellen für Cybercrime
mit spezialisierten Juristen eingerichtet.
Durch diese zunehmende Spezialisierung
im Bereich der Strafverfolgung gerate
man kaum noch an Beamte, denen der
Bereich Cybercrime mit seinen techni-
schen und rechtlichen Fragen wenig be-
kannt sei.
Gleichwohl führe die Spur eines Angriffs
meist nur zu einer IP-Adresse, die auch
mit Methoden der Strafverfolgungsbehör-
den nicht zuverlässig einer bestimmten
Person zuzuordnen sei, die man umfas-
send verantwortlich machen könnte. Oft
werden auch Anschlüsse unbeteiligter
Personen für Angriffe missbraucht, er-
läutert Schneider. Und die bloße Haftung
als Anschlussinhaber oder Störer reiche
meist nicht aus, um umfassendere Schä-
den ersetzt zu bekommen.Kostenfragen
Gleichwohl könne sich eine Kontaktauf-
nahme zu den zentralen Ansprechstel-
len für Cybercrime lohnen, da man hierdurchaus wertvolle Tipps zum Umgang
mit einem Angriff bekommen könne.
Umgekehrt profitiere davon auch die
Polizei, die damit einen Überblick über
die Gefährdungslage bekomme, der dann
wiederum für andere (potenziellen) Op-
fern hilfreich sein könne.
Wem die Polizei jedoch nicht dazu rate,
sollte es sich gut überlegen, ob er sich
und den Staatsanwaltschaften die Mühe
und Kosten eines Strafverfahrens durch
Stellung eines Strafantrags auferlegen
wolle, so Schneider. Bei einer guten Spu-
renlage und ausreichenden Verdachtsmo-
menten, auch außerhalb der IT-Forensik,
sollten die Geschädigten dies jedoch in
Erwägung ziehen.
Zu den Verdachtsmomenten außerhalb
der reinen Forensik könne auch zählen,
wenn der größte Konkurrent nach einem
IT-Angriff unvermittelt ein sehr ähnliches
Produkte wie der Angegriffene auf den
Markt bringt. nInfos
[1] Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich:
[https:// de. wikipedia. org/ wiki/ Gesetz_zur_
Kontrolle_und_Transparenz_im_Unterneh-
mensbereich]
[2] GmbH-Gesetz:
[https:// dejure. org/ gesetze/ GmbHG]
[3] Aktien-Gesetz:
[https:// dejure. org/ gesetze/ AktG]
[4] IT-Sicherheitsgesetz: [https:// http://www. bsi.
bund. de/ DE/ Themen/ Industrie_KRITIS/
KRITIS/ IT-SiG/ it_sig_node. html]
[5] DSGVO:
[https:// dejure. org/ gesetze/ DSGVO]
[6] OSBA: [https:// osb-alliance. de]81http://www.linux-magazin.deForumRechtAbbildung 1: Die Dokumentation des Einbruchs ist notwendig.© Katarzyna Białasiewicz, 123RF