Gut zu wissen: Meldepflicht & Meldefrist bei Cyberangriffen

​veröffentlicht am 23. September 2020 | von Bastian Schönnenbeck

Die aktuelle Bedrohungslage durch Cyber-Risiken ist nicht mehr wegzudiskutieren. Kommt es tatsächlich zu Angriffen aus dem Cyberraum, so sind die Auswirkungen für Unternehmen und Organisationen bisweilen meist dramatisch. Das ist vor allem der Tatsache geschuldet, dass informationstechnologische Lösungen und digitale Infrastrukturen das Nervensystem der meisten Unternehmungen bilden. Daten aller Kategorien werden empfangen, verarbeitet, aufbereitet. Ob mit Personenbezug oder höchst sensible Transaktions- bzw. Finanzdaten: Eine Kompromittierung der „Kronjuwelen” einer Unternehmung, bedeutet, dass das eigene Informationssicherheits-Management Schwachstellen hatte. Umso wichtiger ist es dann, postwendend richtig zu reagieren. 

Nach dem Angriff gilt es Fristen einzuhalten:

Wird ein Angriff festgestellt, entstehen verschiedene Pflichten für die betroffenen Organisationen. Dazu gehören Meldepflichten aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und der Datenschutz-Grundverordnung (DSGVO). Zunächst gilt es festzustellen, welchen Umfang der Angriff hat und eine entsprechende Beschreibung für die Meldung vorzubereiten. Dabei vor allem von höchstem Erfordernis: Auf die Meldefrist achten! Ein systematisches Vorgehen und das wirksame anwenden von definierten Prozessen ist unerlässlich. 

Welche Unternehmen melden wo ihre Vorfälle?

Nachdem der Umfang des Angriffs festgestellt wurde, sollte der Organisation klar sein, um welche Art von Angriff mit welchem Schadensausmaß es sich handelt. Darüber hinaus sollten die angegriffenen Datenkategorien ausgemacht sein. Gebündelt müssen diese Informationen fristgerecht an das Bundesamt für Sicherheit in der Informationstechnik und / oder an die jeweilige Landesdatenschutzaufsicht gemeldet werden. 

1. Betreiber Kritischer Infrastrukturen – § 8b Abs. 4 BSIG – sind zur Meldung von Störungen verpflichtet. Kritische Infrastrukturen i.S.v. § 8b Abs. 4 sind Einrichtungen, Anlagen oder Teile davon, die in bestimmten Sektoren (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen- und Versicherungen,) betrieben werden, deren Betrieb von hoher Bedeutung für das Funktionieren des Gemeinwesens ist und deren Ausfall oder Beeinträchtigung erhebliche Versorgungengpässe oder Gefährdungen für die öffentliche Sicherhit zur Folge hätte.
   
   Eine Störung liegt vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann und / oder darüber hinaus die Verfügbarkeit, Vertraulichkeit, oder Integrität beeinträchtigt wurde. 
2. Anbieter digitaler Dienste – § 8c BSIG – sind zur Meldung von Sicherheitsvorfällen verpflichtet. Eine abstrakte Beschreibung eines digitalen Dienstes wird in der Gesetzgebung als Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienst bezeichnet. Vor allem letzteres dürfte in der Marktwirtschaft häufig vertreten sein, da Apps, Service und Dienstleistungen vermehrt als „Mini-Rechenzentrum” die Daten ihrer Kunden in Cloud-Strukturen verwalten.
   
   Ein Sicherheitsvorfall von der Definition der Störung abzugrenzen, macht insofern keinen Sinn, weil auch bei einem Sicherheitsvorfall die Vertraulichkeit, Verfügbarkeit und Integrität beeinträchtigt sind. Ein Sicherheitsvorfall wird vom BSI allerdings noch um Faktoren, wie die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen, die Dauer des Sicherheitsvorfalls, das von dem Sicherheitsvorfall betroffene geographische Gebiet, das Ausmaß der Unterbrechung der Bereitstellung des Dienstes und das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten erweitert. 
3. Meldepflichtige Unternehmen nach Datenschutzvorfall gemäß DSGVO sind alle Verantwortlichen, die gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person dazu qualifizieren, dass allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entschieden wird. Einfach ausgedrückt: Jeder Verantwortliche, der personenbezogene Daten verarbeitet, ist im Falle eines Datenschutzvorfalles / Cyberangriffes verpflichtet, die Meldepflicht an die zuständige Datenschutzaufsicht zu beachten. Wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist und ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen (diejenigen, deren Daten angegriffen wurden) erkennbar wird, muss gemeldet werden.
   
   Entfallen kann dies, wenn aus dieser Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen resultieren. Das Datenschutzrecht beschränkt die Meldepflichten nicht auf Unternehmen aus bestimmten Sektoren oder mit einer besonderen Kritikalität. Die Meldepflicht nach Art. 33 DSGVO sowie die Benachrichtigungspflicht nach Art. 34 DSGVO gelten für jeden Verantwortlichen einer Datenverarbeitung, die im örtlichen und sachlichen Anwendungsbereich der DSGVO erfolgt.
   
   Der Umfang der Meldepflicht für die Verletzung des Schutzes personenbezogener Daten ergibt sich aus Art. 33 Abs. 3 DSGVO. Danach hat der Verantwortliche die Art der Verletzung (Vernichtung, Verlust, Veränderung, oder unbefugte Offenlegung) sowie die Zahl der betroffenen Personen und den betroffenen Datenkategorien (Name, Email, Telefon) zu benennen. Je nach Schwere wird durch die Datenschutzaufsicht entschieden, dass die betroffenen Personen persönlich kontaktiert und über den Vorfall informiert werden müssen. 

Welche Fristen gilt es einzuhalten?

Störung bei Betreibern Kritischer Infrastrukturen: Unverzüglich, ohne unnötige Verzögerung an das BSI.

Sicherheitsvorfall bei Anbietern digitaler Dienste: Unverzüglich, ohne unnötige Verzögerung an das BSI.

Datenschutzvorfall: Unverzüglich, möglichst binnen 72 Stunden an die Datenschutzaufsicht und so rasch wie möglich – falls notwendig – an die betroffenen Personen.