Auch im neuen Jahr möchten wir eine Lanze für den Datenschutz und die Informationssicherheit brechen. Auch 2022 bleibt für die Unternehmen viel zu tun.
Um den Stand der IT-Sicherheit und damit einem wichtigen Bestandteil des Datenschutzes und der Informationssicherheit zu beleuchten, schauen wir zuerst in die Vergangenheit!
Das Jahr 2021 hat sich zum Abschluss mit einem lauten Knall verabschiedet. Für einige deutsche Unternehmen endete das Jahr in einem digitalen Chaos.
Die größten IT-Sicherheitsvorfälle des letzten Quartals
- Kommunalservice Mecklenburg AöR (KMS), Oktober 2021, kommunaler IT-Dienstleister
Auswirkung: Mehrere Verwaltungen und Einrichtungen nicht erreichbar und beeinträchtigt. - Eberspächer, Oktober 2021, Automobilzulieferer
Auswirkung: Die komplette IT-Infrastruktur und die Produktion war betroffen. - FTI Group, Oktober 2021, Reiseveranstalter
Auswirkung: Keine Buchung möglich, Datenabfluss und Veröffentlichung im Darknet. - KISTERS AG, Aachen, 11. November 2021, Zulieferer für kritische Infrastrukturen
Auswirkung: Laut Mitteilung vom 12.01.2022 in „fast allen Bereichen“ wieder im Normalbetrieb. Damit mehr als 2 Monate eingeschränkt oder nicht arbeitsfähig. - MediaMarktSaturn, November 2021, Einzelhandelskette für Elektroartikel
Auswirkung: Einschränkungen bei Warenwirtschaft, Kassen und einzelnen Dienstleistungen vom 08.11.2021 bis etwa zum 16.11.2021. - Basler AG, November 2021, Hersteller für Bildverarbeitungssystem, auch Medical-Produkte
Auswirkung: Produktion, Warenannahme und Auslieferung, sowie die Auftragsbearbeitung „erheblich eingeschränkt“ - Stadtwerke Pirna, Dezember 2021, Energieversorger
Auswirkung: Zugriff auf einen Teil der Systeme nicht möglich, Verwaltung eingeschränkt - CompuGroup Medical SE & Co. KGaA, Dezember 2021, Dienstleister und Hersteller von Software für das Gesundheitswesen
Auswirkung: Interne Systeme beeinträchtigt. E-Mail-Störung etwa 1 Monat. - Deutsche See GmbH, Dezember 2021, Fischunternehmen
Auswirkung: Vorübergehend eingeschänkte Lieferung, nach 4 Tagen wieder online - Hellmann Worldwide Logistics, Dezember 2021, Logistikkonzern
Auswirkung: Datenabfluss, zumind. Kurzzeitig erhebliche Auswirkung auf den Geschäftsbetrieb
Zusätzlich gab es Ende 2021 aber auch kuriose Meldungen zur IT-Sicherheit
- Beim Versuch die Webseite von Attila Hildmann offline zu nehmen, haben die Angreifer massive Sicherheitslücken beim Webhoster ProSite aufgedeckt und die internen Systeme lahmgelegt: Veröffentlichung zum Vorfall auf anonleaks.net
- Zudem wurde ein E-Mail-Server des FBI gehackt und darüber wurden über 100.000 Spam-Mails verschickt: Nachricht zum Vorfall auf heise.de
Wer Interesse daran hat: Eine derzeit gut gepflegte Übersicht an weltweiten IT-Sicherheitsvorfällen ist hier zu finden: KonBriefing – Ransomware und Cyberangriffe aktuell
Nur die Spitze des Eisberges…
Wenn solche großen und namenhaften Firmen nicht vor IT-Vorfällen geschützt sind, verwundert es nicht, dass die Zahl aller Vorfälle deutlich höher ist und die Dunkelziffer, der nicht erfassten angegriffenen kleinen Unternehmen, noch einmal deutlich höher liegen dürfte.
Es zeigt sich also einmal mehr, dass eine 100%ige Sicherheit nicht erreichbar ist. Wir weisen immer wieder darauf hin, dass es wahrscheinlich keine Frage ist, ob man das Opfer einer Cyberattacke wird, sondern nur wann.
Denn auch das Jahr 2022 setzt den Trend der allgegenwärtigen Cyberattacken fort:
- Die Unfallkasse Thüringen bestätigt einen Cyberangriff. Demnach wurden am 04.01.2022 alle Server der Unfallkasse verschlüsselt. Man rechnet damit, dass die Wiederherstellung der IT-Systeme einen Monat benötigt. Pressemitteilung der UKT
- Am 13.01.2022 wurde das IT-System des Medizin Campus Bodensee (MCB) angegriffen, weshalb der Klinikverbund derzeit nicht an der Notfallversorgung teilnehmen kann. Pressemitteilung des Medizin Campus Bodensee
Warum sollte man trotzdem in IT-Sicherheit investieren?
Wenn also davon auszugehen ist, dass irgendwann jedes Unternehmen Opfer einer Cyberattacke wird, dann wird die richtige Vorbereitung darüber entscheiden, ob und wie gut man diesen Angriff übersteht.
Den Kopf in den Sand zu stecken ist definitiv die falsche Herangehensweise.
Und der Datenschutz?
Statistiken und Informationen über Cyberattacken findet man mit der Suchmaschine seines Vertrauens relativ zügig. Zahlen zu Datenpannen, gerade auch als Zusammenfassung aus 2021, sind jedoch kaum zu finden.
Wir bemühen deshalb die Zahlen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (https://www.datenschutz.rlp.de/de/themenfelder-themen/statistik-zahlen/), die auf der Webseite zusammengefasst sind. Während die Zahl der „Datenschutz-Stellungnahmen“ im Zeitraum 2019 bis 2021 relativ stabil, am Ende sogar rückläufig ist, hat sich die Zahl der gemeldeten Datenpannen im privaten Bereich im gleichen Zeitraum fast verdoppelt und liegt bei 489 Datenpannen im Jahr 2021.
Bei 16 Bundesländern und damit den entsprechenden Datenschutzbehörden wären insgesamt über 7.500 Datenpannen möglich…
Wie kann man sich auf Datenpannen vorbereiten?
Auch beim Datenschutz gilt: Eine Datenpanne ist schnell passiert, weshalb man sich auch hier auf die Auswirkungen vorbereiten sollte. Im Falle einer Datenpanne gilt es, der Aufsichtsbehörde nachzuweisen, dass dieser Zwischenfall eine bedauerliche Ausnahme ist. Die Aufsichtsbehörde wird in der Regel wohlwollend berücksichtigen, dass die Ursache für die Datenpanne menschliches Versagen war und kein struktureller Fehler der Organisation.
Entsprechende Nachweise bestehen aus einer aktuellen Dokumentation gem. der Dokumentationspflichten der Datenschutzgrundverordnung, einer angemessenen Datenschutzorganisation im Unternehmen, den notwendigen Verträgen mit Geschäftspartnern (Dienstleister und ggf. Auftraggeber) und aus Schulungsnachweisen der Mitarbeiter.
Wir unterstützen Sie bei Ihren Mitarbeiterschulungen!
Gerade auf das Thema Schulungsnachweise möchten wir noch etwas genauer eingehen: Wann haben Sie Ihre Mitarbeiter zuletzt durch uns schulen lassen? Wenn die letzte Schulung bereits 2 Jahre her ist, sollte spätestens jetzt über eine Auffrischung nachgedacht werden.
Bisher haben wir Ihre Mitarbeiter, nach einer entsprechenden Beauftragung, vor Ort in Gruppen geschult. Einerseits ist dies in Zeiten von Corona vielleicht ein vermeidbares Risiko, gleichzeitig stellt eine solche Gruppenschulung auch immer eine organisatorische Herausforderung für das Unternehmen da, denn der Geschäftsbetrieb soll durch die Schulung nicht unnötig eingeschränkt werden.
Um diese Herausforderungen zu meistern, haben wir für Sie unser Schulungsportal eingerichtet. Jeder Mitarbeiter kann die Schulung zu einem für ihn passenden Zeitpunkt absolvieren, wodurch der betriebliche Ablauf kaum beeinträchtigt wird. Im Anschluss erhält der Mitarbeiter ein Zertifikat, welches als Nachweis dafür genutzt werden kann, dass eine entsprechende Schulung durchgeführt wurde.
Wenn Sie einen akuten Schulungsbedarf erkannt haben, sprechen Sie mit uns! Wir klären mit Ihnen die Möglichkeiten ab und sorgen für eine zeitnahe Grundsensibilisierung oder Auffrischung bei Ihren Mitarbeitern!
