"So vermeiden Sie teure Datenlecks": Darum macht sich Penetration Testing von ProSec bezahlt

Sobald es zu einer Datenschutzverletzung kommt, muss der Datenschutzbeauftragte des Unternehmens prüfen, ob es sich dabei um eine Datenpanne handelt, denn nicht jedes Datenleck verpflichtet zur Meldung einer Datenpanne bei der Aufsichtsbehörde. Eine sogenannte Datenpanne ist nur dann meldepflichtig, wenn zum Beispiel nach Art. 4 Nr. 12 DSGVO eine Verletzung personenbezogener Daten vorliegt. Das wäre zum Beispiel der Fall, wenn personenbezogene Daten unbefugt offengelegt, vernichtet oder verändert wurden.

Wissenswert: Jede Datenschutzverletzung muss vom Datenschutzbeauftragten dokumentiert und bewertet werden.

Ergibt die Prüfung der Datenschutzverletzung, dass eine Datenpanne vorliegt, muss diese innerhalb der nächsten 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden. Ein schuldhaftes Zögern ist nicht zu empfehlen, da es je nach Schwere bzw. Risiko der Datenschutzverletzung empfindliche Strafen für das betroffene Unternehmen nach sich ziehen kann.

Wird die Meldepflicht nicht eingehalten, kann das nach Art. 83 Via DSGVO ein Bußgeld von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahres nach sich ziehen. Diese Strafen gibt es nicht nur auf dem Papier, denn jüngst gab es einige Vorfälle, die belegen, dass die Datenschutzbehörden diese Strafen auch durchsetzen.

Was passiert, wenn eine Datenschutzverletzung nicht gemeldet wird?

Datenschutzbehörden haben bezüglich der Bestrafung einen gewissen Ermessensspielraum. Das bedeutet, die Höhe der Strafe ist abhängig vom Verhalten der betroffenen Firma und der individuellen Situation. In der Regel sind die Datenschutzbehörden sehr kulant. Wenn man es aber genau nimmt, sind eventuelle Strafen seitens der Datenschutzbehörden eigentlich das kleinere Problem, denn werden Datenschutzverletzungen der Öffentlichkeit bekannt, zieht das immer einen Schaden der Reputation nach sich. Der Vertrauensverlust der Kunden kann so weit gehen, dass diese bei der Firma nicht mehr kaufen. Kooperierende Unternehmen distanzieren sich unter Umständen ebenfalls, um nicht die eigene Reputation einzubüßen.

Kam es zu einer Datenpanne durch einen Hack oder wurden die Firmendaten durch eine Erpressungssoftware (Ransomware) verschlüsselt, kann der tägliche Geschäftsbetrieb nicht aufrechterhalten werden, was zu einem Schaden in Millionenhöhe führen kann. Insbesondere dann, wenn die Datensicherungsmaßnahmen in der Firma eher vernachlässigt wurden. In so einem Fall kann das System nämlich nicht mehr oder nur bruchstückhaft wiederhergestellt werden.

So oder so, Unternehmen ist es immer zu empfehlen, sich mit der IT-Security proaktiv auseinanderzusetzen. Wie gut die vorhandenen IT-Sicherheitsmaßnahmen sind, lässt sich dabei ganz einfach herausfinden, indem man eine Firma wie ProSec beauftragt, ein Penetration Testing durchzuführen. Durch den ganzheitlichen Ansatz findet das IT-Sicherheitsunternehmen jede Schwachstelle in der IT-Infrastruktur und kann dabei helfen, diese zu beheben.

ProSec schlüpft in die Rolle eines kriminellen Hackers, um die Sicherheitslücken im Unternehmen zu finden. Dabei hat der IT-Sicherheitsdienstleister nicht nur die vorhandene Technik im Blick, sondern auch das Verhalten der Mitarbeitenden – Stichwort: Social Engineering. Man mag es kaum glauben, aber manchmal reicht schon ein Blick in den Papiermülleimer der Firma, um über einen dort beschäftigten Mitarbeitenden Zugang zum System zu bekommen.

Ein Beispiel: Carola M. hatte letzte Woche Geburtstag und entsorgt ihre Geburtstagskarte im Papierkorb der Firma. Ein "Hacker" findet diese Karte. Jetzt muss er nur noch im Internet stöbern, wie die Firmen-Mail-Adressen des Unternehmens aufgebaut sind und schon kann er dem "Geburtstagskind" einen nachträglichen Glückwunsch schicken. Die Empfängerin wird die Mail öffnen, weil sie in diesem Moment davon ausgeht, dass der Absender jemand ist, der sie kennt. Also jemand, dem sie vertrauen kann. Und Schwupps, schon ist Schadware auf dem Rechner, die sich über das System verbreiten kann.

Manchmal geht es noch einfacher, an die Daten einer Firma zu kommen. Entsprechende Beispiele finden sich auf der Webseite von ProSec.