Strafanzeige nach Hackerangriff? Wer informiert werden muss
8 von 10 Unternehmen in Deutschland waren bereits von Datendiebstahl, Spionage oder Sabotage betroffen, berichtet der Digitalverband Bitkom. Doch wie reagiert man, wenn ein Cyberangriff auf das eigene Unternehmen festgestellt wird?
 |
| Achtung Hackerangriff - wer muss es wissen? |
Die Cyberattacke kommt
Wenn 80 Prozent der Betriebe in Deutschland bereits einem Angriff durch Hacker und andere Internetkriminelle zum Opfer gefallen sind, hofft man, zu den anderen 20 Prozent zu gehören. Doch IT-Sicherheitsfachkräfte warnen: Es ist nicht mehr die Frage, ob man angegriffen wird, sondern nur noch, wann.
Zudem geht man in der IT-Sicherheit von einer hohen Dunkelziffer aus – so manches Unternehmen, das scheinbar noch nicht attackiert wurde, hat dies bisher nur noch nicht entdeckt. Viele Cyberangriffe bleiben lange unerkannt – für Tage, Wochen oder Monate.
Cyberattacken zu erkennen ist nur der erste Schritt
Deshalb versuchen viele Unternehmen, darin besser zu werden, einen Hackerangriff erkennen zu können, und zwar deutlich schneller als bisher. Doch allein das Erkennen eines Cyberangriffs reicht nicht aus. Um die Folgeschäden so klein wie möglich zu halten, müssen Gegenmaßnahmen eingeleitet werden.
Dazu gehört es auch, alle relevanten Stellen über den entdeckten Cyberangriff zu informieren. Doch wer muss eigentlich alles informiert werden? Ist es bei einem Einbruch in die IT-Systeme ähnlich wie bei einem Einbruch in ein Gebäude? Ruft man also die Polizei an?
Meldepflichten gibt es mehrere
In den vergangenen Jahren ist viel darüber berichtet worden, dass entdeckte Cyberangriffe an den Datenschutzbeauftragten bzw. die Datenschutzbeauftragte gemeldet werden sollen, denn viele Attacken auf die IT-Systeme betreffen auch personenbezogene Daten, etwa von Beschäftigten, Kunden oder Lieferanten.
Tatsächlich sieht das Datenschutzrecht, die Datenschutz-Grundverordnung (DSGVO), auch Meldepflichten vor, sowohl an die zuständige Aufsichtsbehörde für den Datenschutz als auch in bestimmten Fällen an die Betroffenen selbst – also die Personen, deren Daten betroffen sind.
Doch das ist nicht alles: Neben der Meldepflicht nach der EU-DSGVO können weitere Mitteilungspflichten bestehen. So müssen zum Beispiel Sozialleistungsträger eine Verletzung des Schutzes von Sozialdaten auch der zuständigen Rechts- oder Fachaufsichtsbehörde melden. Betreiber kritischer Infrastrukturen, von Energieversorgungsnetzen und von bestimmten Energieanlagen, haben eine Pflicht zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI), wenn bestimmte Störungen auftreten – wie kürzlich eine Datenschutzaufsichtsbehörde klarstellte. Doch was ist eigentlich mit der Meldung an die Polizei?
Rechte und Pflichten
„Es besteht grundsätzlich keine gesetzliche Verpflichtung, nach der EU-DSGVO meldepflichtige Vorfälle auch den Strafverfolgungsbehörden mitzuteilen. Dies führt in der Praxis nicht selten dazu, dass eine Strafanzeige unterbleibt“, berichtet etwa zum Beispiel der Bayerische Landesbeauftragte für den Datenschutz.
Doch eine Strafanzeige kann sehr sinnvoll sein und zur Aufklärung und zur Verhinderung weiterer Schäden beitragen. Die Strafanzeige kann Ermittlungen einleiten, die darauf abzielen, die Hintergründe und Ursachen des Angriffs zu analysieren, so der Landesdatenschutzbeauftragte. Durch die Zusammenarbeit mit den Ermittlungsbehörden können wichtige Informationen über den Angriff erlangt werden – etwa über die Angreifer und mögliche Schwachstellen in den eigenen Systemen. Dieses Wissen kann einem Unternehmen dabei helfen, die direkten Auswirkungen eines Hackervorfalls zu begrenzen und zukünftige Angriffe besser zu verhindern.
Deshalb sollte bei einer Cyberattacke immer auch die Möglichkeit geprüft werden, die Polizei einzuschalten. Das sollte aber nicht dazu führen, eine Datenpanne durch Hackerangriffe nicht mehr an die zuständige Datenschutzaufsichtsbehörde zu melden. Die eine Meldung ersetzt die andere Meldung nicht.
Wenn Sie unsicher sind, an wen Sie den Verdacht melden sollen, dass es einen Hackerangriff auf die IT-Systeme des Unternehmens gegeben haben könnte, wenden Sie sich an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten. Helfen Sie dabei, die Dunkelziffer bei Cyberattacken so klein wie möglich zu machen!
Benötigen Sie Hilfe? Kein Problem!
Das könnte Sie auch interessieren:
