Der Mensch - Das vergessene Risiko für die Informations- und Datensicherheit
Recht & Verwaltung17 März, 2021

Das vergessene Risiko für die Informations- und Datensicherheit

Sascha Kuhrau, Simmelsdorf*
Betrachtet man die aktuelle Berichterstattung in den Medien, könnte man meinen, Datenpannen und (IT-)Sicherheitsvorfälle scheinen hauptsächlich das Ergebnis erfolgreichen Hackings und technischer Unzulänglichkeiten zu sein. Der vorliegende Aufsatz zeigt auf, dass – entgegen der Intuition – das größte Risiko in menschlichem Versagen liegt, und formuliert Handlungsempfehlungen, wie Unternehmen dieses Risiko minimieren können.

I. Aktuelle Sicherheitsvorfälle

Alleine in den letzten Monaten wurden zahlreiche Sicherheitsvorfälle in den Medien bekannt: – In Finnland haben Hacker psychotherapeutische Krankenakten in großem Umfang entwendet.1 – Die Software AG wurde von Hackern angegriffen und Daten wurden von Servern, aber auch von Mitarbeiter-Geräten abgezogen. Selbst nach mehreren Tagen war das Problem noch nicht gelöst.2 Die Webseite des Robert-Koch-Instituts (RKI) war Opfer eines Angriffs und für mehrere Stunden offline: gerade in der aktuellen Pandemie-Situation als häufig genutzte Informationsquelle durchaus eine brisante Angelegenheit.3 – Im Zusammenhang mit Corona stellt das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) in seinem aktuellen Lagebericht4 vermehrt Angriffe auf medizinische Einrichtungen zumeist mit Verschlüsselungstrojanern fest. Hier besteht sogar Gefahr für Leib und Leben. – Selbst das heimelige Home-Office steht im Fokus der Angreifer. So haben viele Organisationen im Frühjahr recht kurzfristig technische Lösungen für das Arbeiten von zu Hause geschaffen. In der Kürze der Zeit stand nicht unbedingt immer die Absicherung der technischen Infrastruktur im Vordergrund, so das BSI.5 Es musste – nachvollziehbar - schnell gehen und funktionieren.

Die Auswirkungen erfolgreicher Angriffe sind teuer, und das in vielerlei Hinsicht. Je nach Angriffsszenario und verwendetem Schadcode kann die komplette IT-Landschaft (Server und Endgeräte) befallen und zerstört sein. Ein Austausch – teilweise oder komplett – ist dann unvermeidlich. Sind kritische Geschäftsprozesse betroffen, drohen Umsatzausfälle bis hin zum Totalverlust der Organisation. Aber auch Lösegeldforderungen in Millionenhöhe sind nicht unüblich, um den Zugriff auf wichtige verschlüsselte Informationen der Organisation wiederzuerlangen. Ungemach droht aber auch von Seiten des Datenschutzes. Datenpannen mit personenbezogenen Daten können mit empfindlichen Bußgeldern belegt werden. Die Höhe eines Bußgelds orientiert sich an den Kriterien aus Art. 83 Abs. 1 DSGVO, darunter Art, Schwere und Dauer des Verstoßes, aber bspw. auch, wie mit der Aufsichtsbehörde zusammengearbeitet wurde. Ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, spielt für die Bemessung des Bußgelds ebenso eine Rolle wie die Frage, ob der Verstoß auf einem Organisationsverschulden oder auf einem unvorhersehbaren Fehlverhalten einer einzelnen Person beruht. Neben dem Bußgeld droht je nach öffentlicher Aufmerksamkeit mit ziemlicher Wahrscheinlichkeit noch ein nicht zu unterschätzender Image-Schaden. Im Fokus sollte daher stehen, die Eintrittswahrscheinlichkeit solcher Risiken zu minimieren und das Schadensausmaß so gut wie möglich zu begrenzen. Sowohl in der Informationssicherheit6 als auch im Datenschutz begegnet man diesen Risiken mit geeigneten technischen und organisatorischen Maßnahmen (kurz TOM).7 Technische Schutzmaßnahmen8 sind bspw. Firewall, Virenschutz oder auch Verschlüsselungslösungen. Zu den organisatorischen Schutzmaßnahmen9 gehören das manuelle Sperren des PC, der Umgang mit Datei-Anhängen, aber auch das sichere Entsorgen von Papierdatenträgern. Vor dem hier skizzierten Hintergrund werden Angriffe auf die IT-Sicherheit und damit verbundene Lösungen zuvörderst im Bereich der IT und in technischen Lösungen verortet. Es stellt sich allerdings die Frage, ob technische Fehler tatsächlich die (allein) maßgebliche Ursache darstellen. Daher gilt es, statt vorschnell konkrete Gegenmaßnahmen zu ergreifen, zunächst die Risikoursachen zu ermitteln.

Sie wollen den vollständigen Beitrag lesen?
Das gesamte 1. Heft der ZdiW - Zeitschrift für das Recht der digitalen Wirtschaft, erhalten Sie als kostenlosen PDF-Download. Zum Download.
*Der Autor ist zertifizierter Informationssicherheitsbeauftragter (OHT Regensburg), externe Datenschutzbeauftragter, Dozent an der Bayrischen Verwaltungsschule (BVS) und Gründer der a.s.k. Datenschutz mit Sitz im Nürnberger Land.

1  Ärzteblatt, Vertrauliche Psychotherapiedaten in Finnland gehackt, Artikel v. 27.10.2020, https://www.aerzteblatt.de/nachrichten/117742/ Vertrauliche-Psychotherapiedaten-in-Finnland-gehackt [07.12.2020]. Hacker greifen Daten bei Darmstädter Software AG ab, Handelsblatt v. 08.10.2020, https://www.handelsblatt.com/technik/it-internet/sapkonkurrent-hacker-greifen-daten-bei-darmstaedter-software-ag-ab/ 26258192.html [07.12.2020]. DDoS-Angriff legte Website des Robert-Koch-Instituts lahm, Heise v. 28.10.2020, https://www.heise.de/news/DDoS-Angriff-legte-Website-des-Robert-Koch-Instituts-lahm-4941400.html [07.12.2020]. BSI, Die Lage der IT-Sicherheit in Deutschland, 2020, https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html [07.12.2020]. BSI, Die Lage der IT-Sicherheit in Deutschland, 2020, S. 33. BSI, IT-Grundschutz Glossar, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/vorkapitel/
Glossar_.html [07.12.2020]. Datenschutz Praxis, Technisch-organisatorische Maßnahmen: Das ändert sich, 29.05.2019, https://www.datenschutz-praxis.de/fachartikel/ technisch-organisatorische-massnahmen-das-aendert-sich/ [07.12.2020]. Wikipedia, Technische und organisatorische Maßnahmen, 31.05.2020, https://de.wikipedia.org/wiki/Technische_und_organisatorische_ Maßnahmen [07.12.2020]. Dr. Datenschutz, Technische und organisatorische Maßnahmen, 06.02.2019, https://www.dr-datenschutz.de/technische-undorganisatorische-massnahmen-nach-dem-zawas-prinzip/ [07.12.2020].

 

Back To Top