Der Sächsische Datenschutzbeauftragte hat aufgrund von Cyberattacken in der jüngsten Vergangenheit in einer Pressmitteilung für mehr Anstrengungen von Unternehmen bei der Cybersicherheit plädiert: https://www.saechsdsb.de/images/stories/sdb_inhalt/Pressearbeit/20211104_PM_Cyberattacken.pdf

Bereits ein Drittel der Meldungen zu Datenschutzvorfällen in Unternehmen und Verwaltungsbehörden in Sachsen sei inzwischen auf Cyberattacken zurückzuführen. Im Durchschnitt kostet eine Cyberattacke die betroffene Stelle 21.818,00 €. 2020 beliefen sich die Kosten für Cyberangriffe in der deutschen Wirtschaft auf ca. 24,3 Mrd. Euro. Die Tendenz für diese Kosten ist aufgrund des vermehrten Aufkommens von Angriffen steigend.

Die Vorsorge im Bereich der Cybersicherheit ist deshalb laut Schurig das beste Mittel, um gegen Angriffe vorzugehen. Denn Datenschutzvorfälle betreffen nicht nur die verantwortlichen Stellen wie Unternehmen, sondern auch die Menschen deren Daten sie verarbeiten. So entstehen neben den Schäden für die Unternehmen außerdem persönliche Schäden.

Der Sächsische Datenschutzbeauftragte empfiehlt deshalb vorsorglich ein besonderes Augenmerk auf die folgenden Sicherheitsmaßnahmen zu werfen:

• Datensicherung: Regelmäßige Sicherung der Daten durch Backups an einem externen von den Systemen abgekoppelten Ort. Im Ernstfall können so die Systeme schnell wiederhegestellt werden ohne einen kompletten Datenverlust.
• Konfiguration der Firewall: Die Firewall sollte so konfiguriert sein, dass sie nur erforderliche Datenverbindungen zulässt. Intrusion-Detection-Systeme können zudem frühzeitig bei verdächtigem Datenverkehr warnen.
• Notfallpläne erstellen: Für Fälle von Cyberangriffen wie Erpressung oder Hacking sollten allgemein bekannte Notfallpläne existieren. Darin sollte unter anderem auch geregelt werden, welche Instanzen wie IT, Datenschutzbeauftragter und Führungsebene wann und wie einzubeziehen sind.
• Kommunikation: Betroffene von Cyberangriffen und Mitarbeiter sollten frühzeitig zu etwaigen Vorfällen und möglichen Folgen informiert werden. Der Sächsische Datenschutzbeauftragte plädiert auch dafür rechtzeitig seine Behörde bei Vorfällen einzubinden.
• Reservetechnik: Es wird empfohlen entsprechende Technik in Reserve vorzuhalten, um schnell wieder arbeitsfähig zu sein, wenn IT-Systeme durch Ermittlungsbehörden forensisch untersucht und nicht genutzt werden können.
• Schulung und Weiterbildung: Die Verantwortlichen für die IT und all diejenigen, die Berührungspunkte damit haben, sollten regelmäßig zur IT-Sicherheit geschult werden. Dabei sollte auf neue Entwicklungen ebenso wie auch technische Neuerungen und Schutzmaßnahmen eingegangen werden.

Diese Maßnahmen sollten alle präventiv umgesetzt werden. Ist der Vorfall bereits eingetreten, nützen diese Maßnahmen im Nachhinein auch nichts mehr um ihn einzudämmen.

Im Ernstfall ist bei der Verletzung des Schutzes personenbezogener Daten eine Meldung an den jeweiligen Landesdatenschutzbeauftragten abzusetzen. Auch hier sollte ein Prozess implementiert sein, der eine Meldung innerhalb der geforderten 72 Stunden gewährleistet.

Die Meldung wird im Anschluss von der Aufsichtsbehörde geprüft und die Folgen des Vorfalls eruiert. Dabei kann der Verantwortliche durchaus Unterstützung bei der Beratung zwecks Gegenmaßnahmen erwarten. Das oberste Ziel der Aufsichtsbehörde ist es, Schaden von Bürgern abzuhalten. Im Nachgang kann es natürlich bei Datenschutzverletzungen und Verstößen gegen die DSGVO, die der Verantwortliche selbst zu verantworten hat, auch zur Verhängung von Bußgeldern durch die Behörde kommen.

Appelle an die Datensicherheit kann es nie genug geben, da in der deutschen Wirtschaft zum Teil noch großer Handlungsbedarf beim Schutz vor Cyberangriffen besteht. Die Umsetzung der, vom Sächsischen Datenschutzbeauftragten benannten, Maßnahmen ist für jeden Verantwortlichen essentiell und sollte zum Mindestmaß an Schutzmaßnahmen in der IT-Sicherheit gehören.