Immer häufiger werden Unternehmen in Deutschland Opfer sogenannter Hacker und deren Angriffe. Doch Hacker ist nicht gleich Hacker und dementsprechend sind auch die im Datenschutz zu bedenkenden Faktoren von Angriff zu Angriff verschieden.
Personenbezogene Daten und Hacker
Als Hacker bezeichnet man umgangssprachlich solche Personen, die (meist illegal) in Computersysteme eindringen. Bei einem solchen Hackerangriff legen die Angreifer keinen großen Wert auf Datenschutz. Andererseits ist das gezielte Abgreifen personenbezogener Daten selten ihr Hauptziel. Vielmehr sind Datenschutzverletzungen bei Hackerangriffen meist „Kollateralschäden“. Nichtsdestotrotz liegt dann eine Datenschutzverletzung vor.
Um einem potentiellen Angreifer den Zugriff zu erschweren, sollte ein sicheres Vorgehen durch Umsetzungen des IT-Grundschutz-Vorgehens gemäß der BSI Standards zur Steigerung der Informationssicherheit im Unternehmen durchgeführt werden. Das Ziel muss es sein, Daten unter höchsten Standards zu verarbeiten, um einen erfolgreichen Hacker-Angriff unwahrscheinlicher zu machen.
Als Kunde eines Unternehmens hat man keinen Einfluss auf diese Faktoren und die Verarbeitung der eigenen Daten, man vertraut meist blind Unternehmen seine Daten an, darum erzwingen die Datenschutzgesetze automatisch eine sichere Verarbeitung von Daten in EU-Unternehmen gemäß Artikel 32 DSGVO der Sicherheit der Verarbeitung.
Arten von Hackern
Auch wenn der umgangssprachliche Begriff des Hackers sofort mit einem illegalen Zugriff auf fremde Computersysteme gleichgesetzt wird, stimmt das nicht immer.
Grundsätzlich kann man zwischen dem „White Hat Hacker“, „Grey Hat Hacker“ und „Black Hat Hacker“ unterscheiden. Die Farbabstufung von weiß über grau hin zu schwarz symbolisiert dabei, inwieweit sich der Hacker noch in der Legalität bewegt. Während ein „White Hat Hacker“ im Normalfall von einem Unternehmen beauftragt wird, um Sicherheitslücken zu finden, handelt der „Black Hat Hacker“ in böswilliger und eigennütziger Absicht. Der „White Hat Hacker“ arbeitet mit dem Unternehmen zusammen und führt in Absprache mit diesem Penetrationstests durch, die der Steigerung und Härtung der IT-Sicherheit dienen. Der „Black Hat Hacker“ sucht zwar genauso nach Schwachstellen, will diese aber für eigene finanzielle Motive ausnutzen oder dem Unternehmen damit einfach nur schaden.
Zwischen diesen Extremen gibt es noch den „Grey Hat Hacker“. Dieser bewegt sich in einer rechtlichen Grauzone. Er dringt ohne Erlaubnis in fremde Computersysteme ein, um Sicherheitslücken zu finden. Diese nutzt er aber in der Regel nicht zum eigenen Vorteil aus, sondern veröffentlicht sie. Die Schäden sind hier für ein Unternehmen trotzdem sehr hoch, da nicht nur wirtschaftliche Schäden herbeigeführt werden, sondern auch das Image nachhaltig leidet. Zum Teil teilen die „Grey Hat Hacker“ dem betroffenen Unternehmen auch mit, dass sie eine Sicherheitslücke gefunden haben und lassen sich im Nachhinein finanziell für ihren Aufwand entschädigen (Bug-Bounty-Programm).
Neben diesen Abstufungen gibt es auch noch Gruppierungen wie Hacktivisten, die aus politischen oder sozialen Motiven handeln. Sie wollen mit ihrem Handeln eine Botschaft verkörpern. Auch sie handeln illegal, werden aber oft wegen zu geringer Schäden für die betroffenen Unternehmen nicht verurteilt.
Konsequenzen bei einem Angriff
Sobald eine Datenschutzverletzung (z.B. illegaler Hackerangriff) vorliegt, muss eine datenschutzrechtliche Meldung (72h Frist) des Vorfalls vorgenommen werden. Meist ist dies bei „Black Hat“ oder „Grey Hat Hackern“ der Fall. Um die datenschutzrechtlichen Risiken so gering wie möglich zu halten, ist eine professionelle Beratung unerlässlich.
Auch bezüglich konkreter Schutzmaßnahmen sollten Sie sich im Voraus von uns professionell beraten und in der Durchführung unterstützen lassen.