Das vergessene Risiko für die Informations- und Datensicherheit

I. Aktuelle Sicherheitsvorfälle

Alleine in den letzten Monaten wurden zahlreiche Sicherheitsvorfälle in den Medien bekannt: – In Finnland haben Hacker psychotherapeutische Krankenakten in großem Umfang entwendet.¹ – Die Software AG wurde von Hackern angegriffen und Daten wurden von Servern, aber auch von Mitarbeiter-Geräten abgezogen. Selbst nach mehreren Tagen war das Problem noch nicht gelöst.² Die Webseite des Robert-Koch-Instituts (RKI) war Opfer eines Angriffs und für mehrere Stunden offline: gerade in der aktuellen Pandemie-Situation als häufig genutzte Informationsquelle durchaus eine brisante Angelegenheit.³ – Im Zusammenhang mit Corona stellt das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) in seinem aktuellen Lagebericht⁴ vermehrt Angriffe auf medizinische Einrichtungen zumeist mit Verschlüsselungstrojanern fest. Hier besteht sogar Gefahr für Leib und Leben. – Selbst das heimelige Home-Office steht im Fokus der Angreifer. So haben viele Organisationen im Frühjahr recht kurzfristig technische Lösungen für das Arbeiten von zu Hause geschaffen. In der Kürze der Zeit stand nicht unbedingt immer die Absicherung der technischen Infrastruktur im Vordergrund, so das BSI.⁵ Es musste – nachvollziehbar - schnell gehen und funktionieren.

Die Auswirkungen erfolgreicher Angriffe sind teuer, und das in vielerlei Hinsicht. Je nach Angriffsszenario und verwendetem Schadcode kann die komplette IT-Landschaft (Server und Endgeräte) befallen und zerstört sein. Ein Austausch – teilweise oder komplett – ist dann unvermeidlich. Sind kritische Geschäftsprozesse betroffen, drohen Umsatzausfälle bis hin zum Totalverlust der Organisation. Aber auch Lösegeldforderungen in Millionenhöhe sind nicht unüblich, um den Zugriff auf wichtige verschlüsselte Informationen der Organisation wiederzuerlangen. Ungemach droht aber auch von Seiten des Datenschutzes. Datenpannen mit personenbezogenen Daten können mit empfindlichen Bußgeldern belegt werden. Die Höhe eines Bußgelds orientiert sich an den Kriterien aus Art. 83 Abs. 1 DSGVO, darunter Art, Schwere und Dauer des Verstoßes, aber bspw. auch, wie mit der Aufsichtsbehörde zusammengearbeitet wurde. Ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, spielt für die Bemessung des Bußgelds ebenso eine Rolle wie die Frage, ob der Verstoß auf einem Organisationsverschulden oder auf einem unvorhersehbaren Fehlverhalten einer einzelnen Person beruht. Neben dem Bußgeld droht je nach öffentlicher Aufmerksamkeit mit ziemlicher Wahrscheinlichkeit noch ein nicht zu unterschätzender Image-Schaden. Im Fokus sollte daher stehen, die Eintrittswahrscheinlichkeit solcher Risiken zu minimieren und das Schadensausmaß so gut wie möglich zu begrenzen. Sowohl in der Informationssicherheit⁶ als auch im Datenschutz begegnet man diesen Risiken mit geeigneten technischen und organisatorischen Maßnahmen (kurz TOM).⁷ Technische Schutzmaßnahmen⁸ sind bspw. Firewall, Virenschutz oder auch Verschlüsselungslösungen. Zu den organisatorischen Schutzmaßnahmen⁹ gehören das manuelle Sperren des PC, der Umgang mit Datei-Anhängen, aber auch das sichere Entsorgen von Papierdatenträgern. Vor dem hier skizzierten Hintergrund werden Angriffe auf die IT-Sicherheit und damit verbundene Lösungen zuvörderst im Bereich der IT und in technischen Lösungen verortet. Es stellt sich allerdings die Frage, ob technische Fehler tatsächlich die (allein) maßgebliche Ursache darstellen. Daher gilt es, statt vorschnell konkrete Gegenmaßnahmen zu ergreifen, zunächst die Risikoursachen zu ermitteln.