Vor gut drei Jahren ist die Verordnung (EU) 2016/679 – besser bekannt als EU-Datenschutzverordnung oder DSGVO – in Kraft getreten. Obwohl die DSGVO auf langjährigen europäischen und internationalen Datenschutzprinzipien basiert, schuf sie einen neuen Goldstandard, der nicht nur Datenschutzexperten tangiert, sondern auch Geschäftsführer und Vorstände beschäftigt.
Grund dafür ist, dass viele Unternehmen durch sie Datenschutz-Management-Prozesse reorganisieren oder zusätzliche Maßnahmen ergreifen mussten, um die Vielzahl von Anforderungen zu erfüllen. Auch wenn infolge des EuGH-Urteils in der Rechtssache Schrems II (C-311/18) der Fokus des Datenschutz-Managements zuletzt verstärkt auf dem grenzüberschreitenden Datentransfer und der Sicherstellung eines adäquaten Schutzniveau im Sinne des 5. Kapitels der DSGVO lag, darf nicht unberücksichtigt bleiben, dass mit Einführung der DSGVO auch Anforderungen bzgl. Cybersicherheit erhöht wurden. Organisationen sind dazu verpflichtet, technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten zu ergreifen. Diese Maßnahmen müssen dem bestehenden Risiko angemessen sein und dem Stand der Technik entsprechen. Welches Risiko nach drei Jahren DSGVO dabei anzulegen ist, soll im Folgenden näher betrachtet werden.
Risikofaktor Cyberangriffe
Bedrohungen für personenbezogene Daten gibt es in vielen Formen. Sie resultieren aus einem breiten Spektrum an beabsichtigten und unbeabsichtigten Offenbarungen personenbezogener Daten und damit einhergehender Gefahren für die informationelle Selbstbestimmung sowie die Privatsphäre. Cybersicherheitsvorfälle spielen dabei mittlerweile eine besondere Rolle, nachdem sowohl Qualität als auch Quantität von Angreifern und Angriffen signifikant zugenommen haben. Dementsprechend mussten viele Organisationen ihr Risiko neu definieren und technische und organisatorische Maßnahmen nachjustieren. Anderen Organisation steht es noch bevor.
Die jüngsten Entwicklungen haben durch ihr Ausmaß und ihre Wucht deutlich gemacht, dass punktuelles Eindringen in IT-Systeme u. U. schnell ganze IT-Landschaft infizieren und zum Flächenbrand mutieren kann. Dementsprechend wichtig ist u. a. ein angemessener Authentifizierungsschutz geworden, der bei Einführung der DSGVO eher untergeordnete Bedeutung hatte.
Dabei wurde Ransomware von Cyberkriminellen bereits vor Inkrafttreten der DSGVO eingesetzt. Man denke nur an zerstörerische Ransomware-Kampagnen wie WannaCry oder NotPetya. Anders als früher wird Ransomware heute allerdings auch gegen kritische Infrastrukturen eingesetzt, wie der jüngste Angriff auf die Colonial Pipeline zeigt. Ferner entwickelte sich in der jüngsten Vergangenheit Ransomware-as-a-Service zu einem zunehmende Geschäftsmodell. Dabei handelt es sich um ein Abo-Modell, mit dem man Zugang zu Dokumentation, einer Malware samt Support sowie Phishing-Kits bekommt. Es befähigt Personen ohne technisches Know-how oder Infrastruktur ausgefeilte Ransomware-Tools einzusetzen.
Für den Datenschutz ist der Einsatz von Ransomware zur Erpressung von Geldzahlungen besonders problematisch. Denn ein Angreifer entzieht Daten nicht nur die Verfügbarkeit, sondern legt auch gezielt Daten offen. Die mit einem damit einhergehenden Datenschutzverstoß u. U. zusammenhängenden Bußgelder werden dabei vom Angreifer als zusätzliches Druckmittel verwendet, um zum Erfolg zu kommen.
Diese sich weiterentwickelnde Bedrohung und Fortschritte in der Technik der Angreifer haben zur Konsequenz, dass vor dem Inkrafttreten der DSGVO gestaltete technische und organisatorische Maßnahmen wahrscheinlich heute nicht mehr angemessen sind und angepasst werden müssen.
Stand der Technik
Hierbei ist zu berücksichtigen, dass die DSGVO einen risikobasierten Ansatz bei der Auswahl und Anwendung individueller, angemessener technischen und organisatorischen Maßnahmen verfolgt. D.h. jedes Unternehmen kann für sich, orientiert an den von ihm verarbeiteten personenbezogenen Daten, ihrer Sensitivität und Schutzbedürftigkeit bestimmen, welche technische und organisatorische Maßnahmen angemessen sind. Hierbei sollten Unternehmen stets sorgfältig ihre individuellen Gegebenheiten, d.h. Umgebungen inkl. Cloud-Umgebungen betrachten.
Daran ausgerichtet müssen Unternehmen unter Berücksichtigung des Stands der Technik, der zumutbaren Implementierungskosten sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos entsprechende technische Maßnahmen ergreifen und Mittel anwenden. Orientierung kann hier die Handreichung des TeleTrust e.V. zum Stand der Technik geben, die zwischenzeitlich auch auf Englisch verfügbar und gemeinsam mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) herausgegeben wird.
Darin finden Unternehmen u. a. Empfehlungen zum Einsatz von Lösungen zum Endgeräteschutz und der Erkennung von Anomalien zum Schutz vor Cyberangriffen (Extended Detection and Response – XDR).
XDR versucht, Ordnung in eine chaotische Masse von Sicherheitstools zu bringen, indem es verwertbare Erkenntnisse und Informationen liefert. Sie stammen von dort, wo sie im Unternehmen vorhanden sind, z. B. aus Endpoint Detection and Response (EDR)-Daten, Authentifizierungsprotokollen und Netzwerktelemetrie. Diese Informationen dürfen auf Basis eines berechtigten Interesses unter Berücksichtigung der Erwägungsgründe 47 bis 49 der DSGVO zu Zweck der Cybersicherheit verarbeitet werden.
Im Übrigen ist zu berücksichtigen, dass viele Datenschutzverletzungen mittlerweile ohne den Einsatz von Malware stattfinden und Angriffe durch abgefangene Anmeldeinformationen, falsch konfigurierte Kontodienste, systemimmanente Dateiformate (z. B. Powershell) verübt werden. Aus diesem Grund ist es Best Practice Sicherheitsmaßnahmen anzuwenden, die den Schwerpunkt auf die Authentifizierung (z. B. Zero Trust) legen.
Zero Trust gewährleistet, dass Nutzer sich für jedes Gerät oder jede Ressource, auf die sie zugreifen möchten, neu authentifizieren oder die Berechtigung neu liefern müssen. Dieser ganzheitliche Ansatz zum Identitätsschutz verhindert laterale Bewegungen von Angreifern in IT-Infrastrukturen und hilft Sicherheitsvorfälle zu reduzieren und zuvor beschriebene Flächenbrände zu verhindern.
DSGVO-Compliance als iterativer Prozess
Vor diesem Hintergrund markiert das dreijährige Jubiläum der DSVGO einen geeigneten Zeitpunkt, um sich daran zu erinnern und sich bewusst zu machen, dass DSGVO-Compliance ein fortlaufender, iterativer Prozess ist. Er hält Unternehmen und sonstige Stellen dazu an, die Mittel, mit denen sie personenbezogenen Daten schützen, kontinuierlich zu evaluieren und bedarfsweise anzupassen.
In der EU haben Aufsichtsbehörden erhebliche Bußgelder für die Nichteinhaltung der DSGVO gegen Unternehmen verhängt, die personenbezogene Daten nicht angemessen und rechtskonform geschützt haben oder es versäumt haben, ihre Meldepflicht im Fall einer Datenschutzverletzung zu erfüllen. Trotzdem wissen viele deutsche Unternehmen nicht über Meldepflichten und potentielle Bußgelder hinreichend Bescheid, wie eine durch das britische Marktforschungsinstitut Opinion Matters im Auftrag von CrowdStrike anlässlich des DSGVO-Jahrestages durchgeführte Umfrage ergeben hat. Danach wissen beispielsweise 41 Prozent der deutschen Umfrageteilnehmer nicht, innerhalb welches Zeitrahmens sie Datenschutzverstöße an die zuständigen Behörden melden müssen. 47,5 Prozent schätzen den Zeitrahmen falsch ein. Auch gab jedes zweite befragte deutsche Unternehmen an, gar nicht über die Höhe von Bußgeldern Bescheid zu wissen.
Damit dieses mangelnde Bewusstsein nicht zum Verhängnis im Fall eines Cyberangriffs wird, empfiehlt sich, proaktiv angemessene Sicherheitsvorkehrungen nach dem Stand der Technik zu treffen.
Christoph Bausewein, Director & Counsel, Data Protection & Policy, CrowdStrike
Drew Bagley, VP & Counsel, Privacy & Cyber Policy, CrowdStrike