DATENPANNE WÄRE VERMEIDBAR GEWESEN
Ob sehr bekannte Handelsunternehmen, große politische Parteien oder gar internationale Währungsfonds - es kann jeden treffen. Auch diejenigen, die es eigentlich (besser) wissen sollten: Webhoster.
Unbekannte haben sich auf die Administrationsebene eines Webhosters „gehackt“, was schon schlimm genug ist. Dabei konnten Sie aber nach eigenen Angaben auf die Zugangsdaten der Kunden zugreifen, die wiederum in Klartext abgespeichert waren.
Es wurden weder die elementarsten Regeln der IT-Sicherheit eingehalten noch der Datenschutz. Neben der extrem peinlichen Information der Kunden kommt jetzt noch eine Anzeige der Aufsichtsbehörde hinterher. Was teurer ist, kann man sich ausrechnen.
WAS WAR PASSIERT?
Nachdem die „Hacker“ die Sicherheitseinrichtungen durchbrochen haben, konnten diese auf den administrativen Systemen auf die Zugangsdaten der Kunden zu ihren Webdomänen zugreifen. Das wäre nicht weiters schlimm gewesen, wären in dem Unternehmen Datenschutzmaßnahmen etabliert worden.
Doch die Sicherheitsvorkehrungen waren offensichtlich weder geplant noch pragmatisch und mit Fachkunde eingerichtet wurden, denn die Zugangsdaten der Kunden waren unverschlüsselt in Klartext abgespeichert.
So könnten sich die Angreifer jederzeit unbefugt Zugriff auf die Webdomänen der Kunden verschaffen und munter die Webseiten manipulieren, sperren oder zerstören.
Nun müssen alle Kunden informiert und die weitere Vorgehensweise mit der Aufsichtsbehörde abgesprochen werden. Je nach Anzahl der Kunden kann dies auch über zwei halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen geschehen (§ 42a BDSG). Was dies für Umsatz und Reputation des Webhosters bedeutet, ist kein Hexenwerk.
Da zunächst Beweise gesichert und die Sicherheitslücken geschlossen werden müssen, liegen weitere Informationen noch nicht vor. Klar ist nur eines: hier hat ein Unternehmen seine Hausaufgaben nicht gemacht und leichtfertig Image und Arbeitsplätze aufs Spiel gesetzt.
Dabei muss Sicherheit und Datenschutz gar nicht teuer sein, wenn gezielt und planvoll vorgegangen wird. Bei einer rechtswirksamen Bestellung eines Datenschutzbeauftragten wendet dieser u.a. die „Technischen und Organisatorischen Maßnahmen“ des § 9 BDSG an.
Hier werden alle Schritte zu einer sicheren (IT-)Umgebung vorgeschrieben. Zwar „nur“ für personenbezogene Daten, aber es ist sehr leicht, diese Vorgaben auch auf alle anderen Daten in den Systemen anzuwenden, da diese oftmals in den gleichen Prozessen verarbeitet werden (entsprechende Expertise vorausgesetzt).
VORBEUGENDE MASSNAHMEN
Mit einer rechtswirksamen Bestellung eines versierten Datenschutzbeauftragten wäre es zu dieser peinlichen, teuren und für die Zukunft des Unternehmens unabsehbaren Situation definitiv nicht gekommen.
Datenpannen und Sicherheitsverstöße sollten nicht auf die leichte Schulter genommen werden; schnell steht die Existenz, mindestens aber das Ansehen des Unternehmens und des Managements auf dem Spiel.
Lesen Sie hier weiter, was im Falle einer Datenpanne exakt zu tun ist.
Sparen Sie nicht am falschen Ende - Datenschutz und IT-Sicherheit können Hand in Hand schnell und kosteneffizient in Ihrem Unternehmen etabliert werden. Machen Sie doch die Probe auf‘s Exempel und konsultieren Sie 3rd Mind zu einem Unternehmergespräch.