Angriffe

Datenleck

Was ist ein Datenleck?

Ein Datenleck ist ein Vorfall, bei dem Daten in die Hände Unbefugter gelangen, sei es durch einen Angriff, eine Fehlkonfiguration oder ein Versehen. Sind personenbezogene Daten betroffen, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO.

Die Auslöser im Alltag sind unspektakulär. Eine Cloud-Ablage wird versehentlich für alle freigegeben, eine E-Mail mit Kundendaten geht an den falschen Empfänger, ein Notebook ohne Festplattenverschlüsselung verschwindet, Zugangsdaten zu einem Postfach werden gestohlen, ein Server steht ohne Passwortschutz im Internet, oder bei einem Dienstleister fließen Daten ab. Rechtlich zählt auch der Verlust von Daten dazu, etwa wenn Ransomware die einzigen Kopien unwiederbringlich verschlüsselt, weil die DSGVO neben der unbefugten Offenlegung auch die Vernichtung und den Verlust personenbezogener Daten erfasst.

Aus einem Datenleck folgen konkrete Pflichten. Nach Artikel 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden, in Österreich der Datenschutzbehörde, und zwar unverzüglich und möglichst binnen 72 Stunden, nachdem sie Ihnen bekannt geworden ist. Eine Meldung entfällt, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Besteht voraussichtlich ein hohes Risiko, sind nach Artikel 34 DSGVO zusätzlich die betroffenen Personen zu benachrichtigen. Unabhängig davon verlangt Artikel 33 Absatz 5 DSGVO, jede Verletzung intern zu dokumentieren.

Die Frist von 72 Stunden beginnt mit dem Zeitpunkt, an dem Ihnen die Verletzung bekannt wird. In dieser Zeit müssen Sie beurteilen, welche Daten betroffen sind, wie viele Personen es ungefähr sind und welche Folgen drohen. Diese Fragen lassen sich unter Druck schwer klären, weshalb sie in ruhigen Zeiten vorbereitet gehören: Wer stellt fest, ob personenbezogene Daten betroffen sind, wer entscheidet über die Meldung, wer verfasst sie, und wer wird rechtlich beraten? Diese Meldekette gehört in den Notfallplan.

Erkennen lässt sich ein Datenleck an Spuren, die man sehen muss, um sie zu bemerken. Anmeldeprotokolle zeigen Zugriffe zu ungewöhnlichen Zeiten, im Postfach tauchen unbekannte Weiterleitungsregeln auf, Kunden melden auffällige Nachrichten nach dem Kontakt mit Ihrem Haus, oder Zugangsdaten Ihrer Domain erscheinen in veröffentlichten Sammlungen. Ohne Protokollierung lässt sich später weder der Umfang noch der Zeitraum bestimmen, was die Meldung erschwert und die Beurteilung des Risikos unmöglich macht.

Vorbeugen heißt hier, die Wege zu schließen, über die Daten abfließen können. Notebooks und Datenträger werden verschlüsselt, Berechtigungen werden auf das Notwendige begrenzt, Cloud-Freigaben werden regelmäßig kontrolliert, Zugänge erhalten einen zweiten Faktor, und die Protokollierung wird eingeschaltet. Das sind technische und organisatorische Maßnahmen im Sinne von Artikel 32 DSGVO. Der IT-Check prüft diese Punkte und hält im Befund fest, wo Daten Ihren Betrieb unbemerkt verlassen könnten.

Alle Begriffe der Wissensdatenbank

Vom Begriff zur Praxis

Wie steht Ihr Betrieb wirklich da?

Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.

Erstgespräch vereinbaren