Personenbezogene Daten im Fokus der Cyberattacken
Datenschutz und IT-Sicherheit stellen Unternehmen angesichts wachsender Cyberbedrohungen vor große Herausforderungen. Gerade digitale Identitäten und damit personenbezogene Daten sind gefährdet. Security-Konferenzen wie die ISD 22 unterstreichen den Handlungsbedarf bei Datenschutzkonzepten.
Cybersicherheit und der moderne Datenschutz
„Crime as a service“, „Cybersecure by law“, „Security Awareness muss rocken“, diese Themen bewegen die Branche und Community der Cybersicherheit. Das zeigen Security-Konferenzen wie die Internet Security Days (ISD) sehr deutlich, die Ende September 2022 wieder in Brühl stattfanden. Zu den Panels, Vorträgen und Workshops waren rund 250 Personen vor Ort.
Wenn man die Hauptthemen des ersten Konferenztages „Cybercrime – The show goes on“ und „Secure World – Sicherheit für eine vernetzte Welt“ und des zweiten Tages „Vertrauen im Internet – Trust me if you can“ und „Am Anfang war die Sicherheit – ein Wunschtraum?“ ansieht, taucht das Wort Datenschutz scheinbar nicht auf.
In Wirklichkeit aber sind alle Themen der Cybersicherheit eng mit dem Datenschutz verbunden und sollten sich deshalb in den Konzepten eines modernen Datenschutzes wiederfinden.
IT-Sicherheitsvorfälle sind meist mit Datenpannen verknüpft
Wenn man sich beispielhaft Vorträge auf den ISD ansieht, stellt man schnell die Bezüge zum Datenschutz fest:
Ransomware kann ganze kommunale Einrichtungen oder Unternehmen lahmlegen. Das unterstrich die Analyse eines Cyberangriffs: „Landkreis im Ausnahmezustand und die Folgen“, so auch der Titel des Vortrags von Sabine Griebsch, CDO im Landkreis Anhalt-Bitterfeld. Für den Datenschutz besonders wichtig: Ransomware verschlüsselt sehr häufig auch Daten, deren Verfügbarkeit nach DSGVO gewährleistet sein muss. Ransomware legt deshalb nicht „nur“ kritische Einrichtungen lahm, sondern führt gleichzeitig zu Datenschutzverletzungen.
Verschiedene Vorträge gaben einen Einblick in die grundlegenden Mechanismen der IT-Notfallreaktion und Krisenkommunikation, die es für den Fall der Fälle vorzubereiten gilt, um Vertrauen bei Kunden, Partnern und der allgemeinen Öffentlichkeit zu erhalten. Für den Datenschutz gilt: Im Cybersicherheitsnotfall bestehen meist auch Meldepflichten nach DSGVO, auch Datenschutzbeauftragte müssen deshalb in den Notfallplan einbezogen sein.
Angespannte IT-Sicherheitslage
Während des Krieges in der Ukraine hat sich die Cyber-Bedrohungslage verschärft. Insbesondere leiden Unternehmen und Behörden unter den genannten Ransomware-Angriffen.
„Die organisierte Ransomware-Kriminalität verdient mit Attacken Milliarden“, sagte Prof. Norbert Pohlmann, Vorstand IT-Sicherheit im eco – Verband der Internetwirtschaft e. V. „Cyberkriminelle nutzen aktuell die generelle Verunsicherung der Menschen aus, um über Phishing-Attacken in die IT-Systeme einzudringen.“
Viele der professionell organisierten Hackergruppen agieren dabei von China oder Russland aus. „Das gilt grundsätzlich auch für Kritische Infrastrukturen. Durch die aktuelle Krise auf den Energiemärkten kommt den Branchen Strom, Gas und Mineralöl eine außergewöhnliche Relevanz zu, diese müssen besonders von Cyber-Attacken geschützt werden“, so Prof. Pohlmann.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt, die geforderten Lösegelder nicht zu zahlen. Doch 42 Prozent (global 46 Prozent) der deutschen Unternehmen, deren Daten verschlüsselt wurden, zahlten das Lösegeld dennoch, um ihre Daten zurückzubekommen, so eine Sophos Studie.
„Gehen Sie auf Lösegeldzahlungen nicht ein, sagte BSI-Experte Dr. Dirk Häger. „Wer einmal gezahlt hat, zahlt wiederholt und feuert Nachahmungstäter an.“
Am besten ist es jedoch, alles zu tun, um das Risiko einer erfolgreichen Ransomware-Attacke von vorneherein zu minimieren. Die Unternehmen Sophos, Microsoft und Rhode & Schwarz haben sich mit dem Ziel, dafür praktische Hilfestellung zu leisten, zur Initiative Ransomware unter dem Dach des eco – Verbands der Internetwirtschaft e. V. zusammengeschlossen.
Von solchen Initiativen kann auch der Datenschutz profitieren. Aus gutem Grund führen bereits Aufsichtsbehörden für den Datenschutz Prüfungen durch, wie es um den Ransomware-Schutz bei Unternehmen steht.
Synergien aus Datenschutz und IT-Sicherheit nutzen
Viele Maßnahmen, die der Datenschutz für die Erkennung und Abwehr von Cyberattacken verlangt, um Datenpannen zu verhindern, entsprechen den Security-Aufgaben, die sich aus einem modernen Cybersicherheitskonzept ergeben. Es ist deshalb sehr sinnvoll, die Unterschiede bei den Zielen des Datenschutzes und der Cybersicherheit zu beachten, aber die Gemeinsamkeiten zu nutzen.
Dazu gehört zum Beispiel, dass sich sowohl die IT-Sicherheit als auch der Datenschutz darum sorgen, wie sich Online-Konferenzen besser absichern lassen. Wie ein Vortrag auf den ISD 22 darstellte, hilft KI (Künstliche Intelligenz) immer erfolgreicher dabei, Identitäten zu fälschen und selbst bei Videoübertragungen andere Personen vorzutäuschen, ein Risiko für den Datenschutz und die IT-Sicherheit gleichermaßen.
Synergien sollten auch bei der Sensibilisierung der Anwenderinnen und Anwender genutzt werden. Schulungen zu Datenschutz und IT-Sicherheit können sich nicht gegenseitig ersetzen, aber sie haben gemeinsame Teile.
Ebenso sollte in beiden Bereichen eine wichtige Erkenntnis einfließen, wie auf den ISD 22 diskutiert wurde: Man kann und sollte nicht alles auf die Nutzerinnen und Nutzer abwälzen, die Technik muss und kann noch weitaus mehr tun, um Datenpannen und IT-Sicherheitsvorfälle zu verwenden.
Ganz ohne Awareness-Maßnahmen geht es aber weder im Datenschutz noch in der Cybersicherheit. Dabei ist es aber wichtig, den Menschen nicht mehr als Schwachstelle zu sehen und zu bezeichnen, sondern als neuen Sicherheitsfaktor, als Human Firewall, die durch die Schulungen trainiert und gestärkt wird. Zudem sollen die Beschäftigten Fehler machen dürfen, ja, Unternehmen sollten sich sogar über Fehler freuen, wie auf den ISD 22 diskutiert wurde, nach dem Motto: Wir haben den Fehler gefunden und nicht zuerst die Hacker.
Keine Frage, Datenschutz und Cybersicherheit müssen in Zukunft noch stärker Gemeinsamkeiten nutzen, aber auch gleichzeitig die Unterschiede deutlich machen, damit die Cybersicherheit dabei hilft, personenbezogene Daten zu schützen und nicht etwa die personenbezogenen Daten im Überfluss sammelt und zu Nutzerprofilen einsetzt, wie man es aus der Werbewirtschaft mit anderen Motiven kennt.