Berlin, 4. März 2018. Die Cyber-Attacke auf die Bundesregierung hat uns in den letzten Tagen eindrucksvoll jenes Szenario vorgeführt, was sich bisher viele Selbständige und Unternehmer noch nicht vorstellen können – auch weil man hierzulande als Betroffener nur selten über einen Hacker-Angriff spricht. Der Ablauf der Ereignisse könnte so in jedem durchschnittlichen Unternehmen stattfinden, sei es eine Arztpraxis oder z.B. eine Kanzlei eines Rechtsanwalts oder Steuerberaters
1. Sie bemerken den Hacker-Angriff zunächst nicht
Die Cyber-Attacke auf die Bundesregierung hat mutmaßlich schon Ende 2016 begonnen und wurde erst vor kurzem durch die Behörden entdeckt. Dieser Umstand ist nicht ungewöhnlich. Viele Angriffsmethoden zielen darauf ab, Informationen wie z.B. Kreditkaten- oder Kontodaten, Nutzerkennungen oder Passwörter über die Zeit auszuspionieren. Daher ist einer der wichtigsten Maßnahmen nach einem festgestellten Cyber-Angriff, sofort einen IT-Spezialisten zu beauftragen, der die Situation mit technischem Sachverstand analysieren und geeignete Maßnahmen zum Stoppen des Angriffs einleiten kann. Oftmals ist dazu ein IT-Forensiker erforderlich, da es sich bei modernen Cyber-Angriffen um technisch hoch komplexe Vorgänge handelt. Sie benötigen also sofort einen Spezialisten.
2. Das Ausmaß der entwendeten Daten ist nicht bekannt
Dieser Gedanke löst Unbehagen aus und zu einem gewissen Grad nehmen wir als Bürger momentan daran teil. Welche geheimen Informationen sind in die Hände ausländischer Organisationen gelangt? Doch blicken wir wieder auf die Situation in Ihrer Firma: Wurde die Datenbank mit den Namen Ihrer Klienten kopiert? Wurden sensible Informationen wie z.B. Befunde zu Krankheiten den Angreifern zugänglich gemacht? Die Parallelen liegen auf der Hand und sind vor dem Hintergrund des neuen Datenschutzrechts, welches am 25. Mai 2018 in Kraft tritt, sogar um ein Vielfaches dramatischer. So klassifiziert die neue Gesetzgebung bereits den „unbefugten Zugang zu personenbezogenen Daten“ (Art. 4 DSGVO) als Datenschutzverletzung. Es kommt also der Umstand hinzu, dass Sie nicht wissen, ob Sie bereits jetzt einen Datenschutz-Vorfall bei der Behörde melden müssen. Nach Art. 33 DSGVO haben Sie dafür nur 72 Stunden Zeit.
3. Ihre Reputation wird nachhaltig beschädigt.
„Die Veröffentlichung habe mehr Schaden angerichtet, als der vermeintliche Datenklau“ kommentierte das ZDF heute-journal am 2. März 2018 die Ermittlungen des Innenministeriums zur Hacker-Attacke auf das IT-Bundesnetz. Damit ist natürlich auch der Image- und Vertrauensschaden gemeint, den die Bundesbehörden im Zuge der Geschehnisse erlitten haben. Das Gleiche droht Ihnen, wenn ein Hacker-Angriff auf Ihre Firma öffentlich bekannt wird. Auch wenn eine Arztpraxis oder Rechtsanwaltskanzlei nicht im Fokus der Tagespresse stehen wird, sorgen neue Datenschutzgesetze dafür, dass ein Vorfall Ihren Kunden bekannt gemacht werden muss. Nach Art. 34 DSGVO müssen Sie nach einer Datenschutzverletzung durch einen Hacker-Angriff bei der „ein hohes Risiko für die persönlichen Rechte“ entstanden ist, die betroffenen Patienten und Mandanten unverzüglich informieren. Dies geschieht i.d.R. per Brief, in dringenden Fällen telefonisch oder bei unverhältnismäßigem Aufwand der direkten Kommunikation auch durch ganzseitige Anzeigen in Tageszeitungen.
Es steht mir nicht zu, das Sicherheitsniveau des IT-Bundesnetzes zu kommentieren oder das Krisenmanagement der handelnden Akteure zu bewerten. Der Angriff war vermutlich hoch professionell und das getroffene Ziel eines der am besten gesichertsten Kommunikationssysteme unserer Regierungsinfrastruktur. Cyber-Attacken, welche hingegen durch ungezielte Angriffstechniken (Trojaner, Malware etc.) in ein normales Netzwerk einer Arztpraxis, eines Steuerberaters oder Rechtsanwalts eindringen, sind hiermit nicht vergleichbar. Diese Cyber-Angriffe treffen andererseits aber auch eher auf reguläre Standard-Sicherheitsmaßnahmen und können gleichermaßen verheerenden Schaden auslösen. Fachleute und Politiker auf beiden Seiten sind sich derweil einig, dass wir uns von der Vorstellung einer vollständigen Sicherheit trennen müssen. Es gibt keinen 100% Schutz.
Doch was können Sie an dieser Stelle tun?
Stellen Sie Standard-Sicherheitsmaßnahmen in Ihrem Unternehmen sicher und sorgen Sie dafür, dass Ihre Mitarbeiter im Umgang mit alltäglichen Angriffsszenarien (wie z.B. Phishing) Fehler vermeiden können. Für das Restrisiko können Sie sich seit kurzem auch Versicherungsschutz holen. Die Cyber-Versicherung ist nicht nur eine notwendige Ergänzung Ihrer gewerblichen Haftpflichtdeckung, sondern stellt Ihnen im Notfall auch die Experten zur Seite, welche Ihnen dabei helfen, den Angriff zu stoppen und sich nach den Vorgaben des neuen, verschärften Datenschutzes zu verhalten.