Unternehmen müssen über Angriffe auf ihre IT-Systeme informieren

Unternehmen beachten oft nicht, dass ihre Haftung bei Datenpannen wesentlich größer ist als angenommen. Meist wird nur an Fälle gedacht, in denen personenbezogene Daten versehentlich (oder durch einen Mitarbeiter absichtlich) unberechtigten Dritten zugänglich gemacht oder übermittelt werden. Für die Datenverarbeitung verantwortliche Stellen müssen aber nicht nur in diesen Fällen Aufsichtsbehörden und die Betroffenen informieren, sondern – viel wichtiger noch – auch dann, wenn die betriebliche IT von außen angegriffen wird und hierbei besonders schutzwürdige Daten Betroffener (etwa Gesundheitsdaten oder Daten aus Beschäftigungsverhältnissen) verändert oder an die Angreifer übermittelt werden (§ 42 a BDSG).Hierzu gehören drei der wichtigsten Angriffstypen, nämlich - gezieltes Hacken von Webservern, um Schadsoftware zu platzieren oder Datenbanken auszuspionieren, - Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen oder über E-Mail, um den betroffenen Rechner zu übernehmen, - ungezieltes Verteilen von Malware mittels Spam oder Drive-by-Exploits zwecks Identitätsdiebstahl (zu diesen Angriffen ausführlich BSI Register aktueller Cyber-Gefährdungen, www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Analysen/Grundlagen/BSIa001.html Mitgeteilt werden müssen also auch und gerade solche Angriffe auf Systeme und Daten. Es geht also nicht nur um seltenere Einzelfälle, in denen Daten “verloren” gehen, sondern um eine Vielzahl von Angriffsfällen ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK