Die Anzahl von Datenschutzverletzungen verbleibt auf hohem Niveau. Für die gründliche Bearbeitung der Vorfälle ist zu wenig Personal in den Aufsichtsbehörden vorhanden.
Die Bearbeitung der Meldungen nach Art. 33 DSGVO bindet fast die kompletten personellen Ressourcen des technischen Bereichs der Behörde. Trotz Optimierung der Abläufe und einer Teilautomatisierung bei der Erstellung von Abschlussmitteilungen oder Nachfragen sowie einer Spezialisierung der Mitarbeiter:innen auf bestimmte Themenfelder, ist der Berg an Meldungen regelrecht erdrückend und nicht mehr angemessen zu bewältigen.
Mengenmäßig führten die postalischen und elektronischen Fehlversendungen die Meldekategorien nach wie vor an, wenn auch eine Verringerung um 38 % stattgefunden hat. Ob nun die organisatorischen Maßnahmen bei den Verantwortlichen die Situation verbessern oder Kuvertiermaschinen mit weniger Fehlern angeschafft wurden, können wir nicht beurteilen, da derartige Meldungen bei uns bislang noch nicht zu zielgerichteten Datenschutzkontrollen geführt haben. Weiterhin kann es aber nicht ausbleiben, jede Meldung im Einzelfall zumindest kurz zu sichten, da bspw. bei betroffenen Gesundheitsdaten oder Daten von Kindern die Risikoeinschätzung der Verantwortlichen validiert werden muss. Hierbei stellen wir nach wie vor fest, dass insbesondere die Art. 34-Meldungen an die Betroffenen ungern durchgeführt werden.
Cybercrime-Vorfälle sind mit einem Plus von 35% im Jahr 2021 im Vergleich zum Vorjahr gestiegen. Dabei ist es zunehmend so, dass die Angriffe auf sehr hohem technischem Niveau erfolgt sind und die Verantwortlichen meist erst nach einer Verschlüsselung von Daten per Ransomware oder dem Missbrauch eines gekaperten Email-Kontos von der Cyberattacke erfahren. Dies führt auch dazu, dass bei den Art. 33-Meldungen, die in der Regel innerhalb von 72 Stunden nach Erkennung bei uns eingereicht wurden, in den Erstmeldungen mitunter nur wenige brauchbare Informationen enthalten sind, um die Folgen für die betroffenen Personen abzuschätzen. Stattdessen führt die Datenschutzaufsicht bei gravierenden Vorfällen meist am Tage des Meldeeingangs einen Erstkontakt durch, gefolgt von Telefongesprächen oder Videokonferenzen mit Geschäftsführer:innen, Datenschutzbeauftragten oder rechtlichen Vertreter:innen des betroffenen verantwortlichen Unternehmens. Durch die damit erlangten Informationen haben die technischen Mitarbeiter:innen des LDA ein bayernweit wohl einmaliges Wissen über Art der Angriffe und ausgenutzte technische und/oder organisatorische Schwachstellen, insbesondere mit Blick auf kleinere und mittlere Unternehmen. Dieses wird in der neu gegründeten Stabsstelle Prüfverfahren mitgenutzt, um Prüfschwerpunkte festzulegen und die Cyberprävention mit dem Ziel des Grundrechtsschutzes der Bürger:innen voranzutreiben.
Folgend ein paar hervorgehobene Vorfälle, die im Berichtszeitraum in der Presse zu lesen waren und von Seiten des LDA aufgearbeitet wurden:
Reiseveranstalter:
Ein großer Reiseveranstalter wurde Opfer eines Ransomware-Angriffs durch die Conti-Gruppe. Durch die Cyberattacke kam es nicht nur zu einer erheblichen Betriebsstörung, sondern auch zu einer Veröffentlichung einer großen Menge an personenbezogenen Daten im Darknet durch die Cyberkriminellen.
Handelskette:
Ähnliches ist einer Elektro-Handelskette widerfahren: Durch einen Ransomware-Angriff waren europaweit starke Einschränkungen bis in die okalen Einkaufsmärkte zu spüren. Die hinter dem Angriff steckende Hive-Gruppe forderte auch hier eine sehr hohe Summe an Lösegeld für die verschlüsselten Daten.
Softwarehersteller Arztsoftware:
Ein Hersteller einer Praxissoftware mit Sitz in Hessen wurde Opfer eines Ransomware-Angriffes, der auch Auswirkungen auf bayerische Arztpraxen hatte. Obwohl der Angriff keine direkten Auswirkungen auf den Betrieb im Hinblick auf die Verfügbarkeit und somit der Arbeitsfähigkeit der bayerischen Praxen hatte, bestand jedoch die Möglichkeit des Datenabflusses, der im Rahmen der Aufarbeitung der eingegangenen Meldungen untersucht wurde, jedoch letztendlich nicht bestätigt werden konnte.
E-Commerce Dienstleister:
Bei einem E-Commerce-Dienstleister mit Sitz in Nordrhein-Westfalen, kam es zu einem massiven Datenleck aufgrund der eingesetzten Software für den Online-Handel. Betroffen waren dabei in Bayern primär kleinere Online-Händler, die ihre Waren auf Verkaufsplattformen angeboten und dafür das Unternehmen als Dienstleister eingesetzt hatten.
IT-Dienstleister:
Ein IT-Dienstleister wurde 2021 Opfer der Ransomware-Gruppierung REvil. Dieser Angriff gehörte zu den sogenannten Supply-Chain-Angriffen, bei denen ein zentraler IT-Dienstleister angegriffen wird und sich dadurch die Schadsoftware auf alle Unternehmen ausbreiten kann, die eben diesen Dienstleister bzw. dessen Software nutzen. Aus diesem Grund hatte der Angriff auch weitreichende Folgen für bayerische Unternehmen, deren Systeme aufgrund der eingesetzten Software ebenfalls verschlüsselt wurden.
Mit Blick auf das hohe technische Niveau und der weiterhin erfolgreichen Angriffe auf bayerische Unternehmen, sei es der Mittelstand oder ein Konzern, wird häufig festgestellt, dass ein Angriff wie aus dem Lehrbuch innerhalb kürzester Zeit erfolgreich durchgeführt wird. Vorhandene Schutzmaßmaßnahmen, die durchaus in den Bereich der Standard-IT-Sicherheit fallen, wurden mitunter in Minuten umgangen. Bei der Analyse der Vorfälle wurde allerdings festgestellt, dass fast alle Angriffe durch wirksamere technische und organisatorische Maßnahmen zur Cybersicherheit nach Art. 32 DSGVO, die nicht einmal zwingend teurer gewesen wären, hätten verhindert werden können. Dies bestärkt in der Entscheidung der Durchführung von anlasslosen Kontrollen durch die Stabsstelle Prüfverfahren, da ein funktionierender Datenschutz vor Cyberangriffen möglich ist und das LDA durch die Vielzahl unterschiedlicher Meldungen auch effektive Maßnahmenkataloge zur Verfügung stellen kann. Um sicherstellen zu können, dass diese überhaupt umgesetzt werden, ist aber eine deutliche personelle Stärkung des technischen Personals im LDA erforderlich. Denn eines ist gewiss: Hat sich ein Angreifer erstmal im Netzwerk eines Unternehmens eingenistet (was mitunter keine 5 Minuten dauert), dann ist es meistens zu spät und die personenbezogenen Daten der Mitarbeiter:innen und Kund:innen sind in größter Gefahr.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks