Ministerium veröffentlicht Pressemitteilung am 02.11.2023
In den Medien hören wir immer wieder von Cyberangriffen auf große Unternehmen, längst ist das Risiko aber in allen Ebenen angekommen. Das zeigt auch die Pressemitteilung des Bundesamt für Sicherheit in der Informationstechnik (BSI) vom 2. November 2023.
Die Cybersicherheit stellt dabei auch ein großes Risiko für den Datenschutz dar. In der Regel sind bei Cyberangriffen Daten und dann auch meist personenbezogene Daten betroffen. Was das bedeutet, möchten wir in diesem Blog noch einmal aufgreifen.
BLOG-TIPP: PERSONENBEZOGENE DATEN – DATENSCHUTZ FÜR UNTERNEHMEN IN KÖLN UND UMGEBUNG
Was sagt das BSI zur Cybersicherheitslage?
„Die Cybersicherheitslage in Deutschland ist weiter angespannt.“ So beginnt die Pressemeldung des BSI. Dabei bezieht sich das Ministerium auf den aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland, dem BSI-Lagebericht.
Besonders die Ransomware stelle demnach derzeit die größte Bedrohung dar, ergänzt durch die „wachsende Professionalisierung auf Täterseite, der steigende Anzahl von Sicherheitslücken gegenübersteht“, so das BSI.
BLOG-TIPP: PHISHING ANGRIFFE – EINE GEFAHR AUCH IM DATENSCHUTZ
Ransomware, Datendiebstahl und Cyberspionage
Durch Einsatz der Ransomware, welche laut Bericht vor allem in kleinen und mittleren Unternehmen, Kommunen und kommunalen Betrieben für Schäden sorgen, sind Datendiebstahl und Cyberspionage eine Gefahr, auch für den Datenschutz, für Verantwortliche und Betroffene.
Datendiebstähle sind vor allem durch Erpressungen geprägt. Das bedeutet, dass ein Verlust von personenbezogenen Daten vorliegt, also ein Zugriff auf diese durch den Verantwortlichen nicht mehr möglich ist. Das bedeutet, es liegt ein Verlust der Daten im Sinne eines (meldepflichtigen) Datenschutzvorfall vor.
Ein weiteres Risiko sieht das BSI in einer Destabilisierung und Desinformation durch KI.
BLOG-TIPP: CYBERANGRIFFE – WENN DATENVERLUSTE EIN PROBLEM FÜR DEN DATENSCHUTZ WERDEN
Was bedeutet die Cybersicherheit für den Datenschutz?
Wie bereits mehrfach erwähnt, bedeuten Schwächen und Angriffe in und auf die Cybersicherheit auch ein großes Risiko für den Datenschutz. Immer dann, wenn bei solchen Angriffen personenbezogene Daten betroffen sind, muss der Verantwortliche auch die Frage nach dem Datenschutz stellen.
Der Datenschutz gibt für Systeme die Vorgaben Vertraulichkeit, Integrität und Verfügbarkeit vor. Dabei bedeutet Vertraulichkeit, dass niemand unbefugt auf die personenbezogenen Daten, die verarbeitet werden, zugreifen kann. Integrität gibt vor, dass personenbezogene Daten vor Veränderungen durch Unbefugte geschützt sind und die Verfügbarkeit besagt, dass personenbezogene Daten zu jeder Zeit zugänglich sein müssen.
BLOG-TIPP: VERTRAULICHKEIT, VERFÜGBARKEIT UND INTEGRITÄT IM DATENSCHUTZ
Erpressung des Verantwortlichen
Anders, als fälschlicherweise oft gedacht, stellt also nicht nur der Abgriff der personenbezogenen Daten und die unbefugte Verwendung im Datenschutz ein Problem dar. Viele verbinden mit Cyberangriffen immer den Schaden durch Identitätsklau für den Betroffenen.
Die Tatsache aber, dass personenbezogene Daten nach einem Cyberangriff nicht mehr verfügbar sind oder verändert werden können, stellt für den Verantwortlichen ein sehr großes Problem dar. Integrität und Verfügbarkeit sind dabei im Sinne des Datenschutzes nicht mehr gegeben. Daher erpressen Angreifer oft damit Geld, dass diese Verfügbarkeit wieder vollumfänglich hergestellt werden soll.
BLOG-TIPP: PRAXISTIPP: MELDEPFLICHTEN BEI DATENPANNEN
Datenschutz setzt sichere und stabile Systeme voraus
Zum Datenschutz gehören auch sichere und stabile Systeme zum Schutz der personenbezogenen Daten. Daher müssen die entsprechenden technischen und organisatorischen Maßnahmen (TOM) im Sinne der Datenschutzgrundverordnung (DS-GVO) implementiert werden.
Auch der Mensch als Risiko für Cyberangriffe muss entsprechend berücksichtigt und sensibilisiert werden. Schulungen und entsprechende Vereinbarungen für Kennwortsicherheit etc. sollten zur Pflicht in jedem Unternehmen gehören.
BLOG-TIPP: DER MENSCH ALS RISIKO FÜR DEN DATENSCHUTZ
IT-Sicherheit und Datenschutz gehören zusammen
Wer den Datenschutz ausreichend sicher umsetzen will, der muss sich auch immer um die IT-Sicherheit und den Schutz vor Cyberangriffen kümmern. Bei den stetig steigenden Ansprüchen und der Weiterentwicklung der Angriffsmethoden, sollten sowohl bei der Cybersicherheit als auch im Datenschutz immer Fachleute zu Rate gezogen werden.
Für den Datenschutz bietet es sich an einen (externen) Datenschutzbeauftragten zur Beratung hinzuzuziehen, wenn dieser nicht sowieso schon durch die gesetzlichen Vorgaben verpflichtend berufen werden muss.
BLOG-TIPP: PRAXISTIPP: MELDEPFLICHTEN BEI DATENPANNEN
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.