Bundestag Datenskandal - Welche Konsequenzen ergeben sich für Unternehmen?

Datenskandal im Bundestag: Welche Konsequenzen ergeben sich für Unternehmen?

Die Aufregung in den Medien ist groß, seit am 04.01.2019 bekannt wurde, dass die Daten von etwa 1000 ehemaligen und aktuellen Politikern sowie Menschen des öffentlichen Lebens illegal veröffentlicht wurden. Das liegt nur zum Teil am Umfang und der Qualität der veröffentlichten Daten. Die öffentliche Stellung der betroffenen Personen hatte daran bedeutenden Anteil.

Datensicherheitsverletzungen sind oft auf das Verhalten von Nutzern zurückzuführen

Wenngleich von diesem Vorfall keine Firmen direkt betroffen sind, hat er dennoch das Potential sich direkt auf den Alltag vieler Unternehmen auszuwirken. Wie in 95% aller Fälle von Datensicherheitsverletzungen ist auch diese in erster Linie nicht auf technische Schwachstellen von IT-Infrastrukturen zurückzuführen. Vielmehr hat das Verhalten der betroffenen Nutzer großen Anteil daran, dass deren vertrauliche Daten illegal an die Öffentlichkeit gelangen konnten. Mutmaßlich sind viele der veröffentlichten Daten durch die Verwendung zu schwacher Account-Passworte oder über Phishing-Mails gewonnen worden. Ein 20-jähriger Schüler ist für die rechtswidrige Veröffentlichung der Datensätze verantwortlich. Er nutzte verschiedene Datenquellen für die schrittweise Veröffentlichung über einen Twitter-Account im Laufe des Dezembers. Hinweise auf weitere Verdächtige gibt es bisher nicht. Die Ermittlungen des BKA sind jedoch noch nicht abgeschlossen.

Zertifizierungen für verbindliche Sicherheitsstandards?

Als Konsequenz aus diesem Vorfall zeichnen sich bereits eine Reihe von Maßnahmen ab, in die explizit auch die Wirtschaft miteinbezogen werden soll. Unter anderem wird die Einführung eines Gütesiegels diskutiert, welches die Einhaltung von Mindest-Sicherheits-Standards bei IT-Hard- und Software-Produkten ausweisen soll. Für Router gibt es bereits eine, zum Teil kontrovers diskutierte, Zertifizierung für verbindliche Sicherheitsstandards. Denkbar ist, dass Melde-, Informations- und Mitwirkungspflichten für Unternehmen erweitert werden und der Austausch zwischen Staat und Wirtschaft intensiviert wird. Insbesondere Provider von IT-Diensten könnten hiervon betroffen sein. Auch wird eine zentrale Datenbank für IT-Sicherheitsvorfälle und Datenschutzverletzungen diskutiert. Welche konkreten Anforderungen hierdurch auf die IT-Branche zukommen und wie effektiv diese tatsächlich einen Zugewinn an Sicherheit bringen, muss abgewartet werden.

Personelle und finanzielle Verstärkung von Behörden

Beschlossen scheint bereits eine personelle und finanzielle Verstärkung von Behörden, die für die Aufklärung von bedeutenden Datenschutzverletzungen zuständig sind. Neueinstellungen sind im Bundeskriminalamt (BKA) und im Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen. Das Cyberabwehrzentrum des BSI soll zu einer dauerhaften Einrichtung umgewandelt werden. Es bietet ein Forum für diverse Bundesbehörden, die sich heute anlassbezogen zu bedeutenden IT-Sicherheitsvorfällen und Datenschutzverletzungen austauschen. Anzunehmen ist zudem, dass behördliche Befugnisse ausgeweitet und Strafen bei Datenschutzverletzungen erhöht werden, um Fälle, wie das aktuelle Datenleck, in Zukunft noch schneller aufzuklären oder bereits im Vorfeld zu verhindern.

Von Seiten des Gesetzgebers wird sich im Laufe dieses Jahres in Form des sogenannten IT-Sicherheitsgesetzes 2.0 einiges tun. Welche Maßnahmen das Gesetz neben der Ausweitung der Meldepflichten bei Sicherheitsvorfällen noch haben wird und welche Auswirkungen sich hieraus ergeben, lässt sich aktuell nicht abschließend beurteilen.

Welche Konsequenzen könnten sich für Unternehmen ergeben?

Für Unternehmen könnten sich des Weiteren indirekt Konsequenzen aus dem aktuellen Datenschutzvorfall ergeben. Nach dem vollständigen Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai des letzten Jahres räumten die Aufsichtsbehörden vielen Unternehmen eine Schonfrist für die Erfüllung der DSGVO-Anforderungen ein. Jedoch zeichnete sich schon Ende 2018 ab, dass diese Schonfrist abgelaufen ist und Verstöße gegen die DSGVO in Deutschland immer konsequenter geahndet werden. Die Zahl von datenschutzrechtlichen Anfragen und Beschwerden, die an Aufsichtsbehörden gerichtet werden, hat drastisch zugenommen. Problematisch für Unternehmen ist hierbei der Umstand, dass das Bewusstsein für die Wichtigkeit des Datenschutzes zwar gestiegen ist, sich das faktische Nutzerverhalten jedoch kaum geändert hat. So kommen privat genutzte Apps wie WhatsApp auch am Arbeitsplatz zum Einsatz und das obwohl den meisten Nutzern bekannt ist, dass dies Unternehmen in erhebliche datenschutzrechtliche Schwierigkeiten bringen kann.

So ist im aktuellen Fall anzunehmen, dass die Nutzung von privaten Cloud-Diensten sowie die Nutzung privater E-Mail-Accounts mit schwachen Passwörtern für das Versenden von sensiblen Daten großen Anteil daran hatte, dass sensible Daten von so vielen Politikern an die Öffentlichkeit gelangen konnten. Abhilfe würde hier eine angemessene IT-Sicherheitsschulung für Abgeordnete und ihre Mitarbeiter schaffen über Maßnahmen, wie sich derartige Daten-Leaks künftig vermeiden lassen. Bis heute ist eine solche Schulung für Mitglieder des Bundestages und deren Mitarbeiter nicht verpflichtend. Nur die Mitarbeiter der Bundestagsverwaltung sind bislang verpflichtet, sich in IT-Sicherheit und Datenschutz schulen zu lassen. Ein Umstand, der mit der freien Mandatsausübung der Abgeordneten und auf das verfassungsmäßige Prinzip der Gewaltenteilung zurückgeführt wird. Diese Prinzipien verböten es der Regierung oder anderen exekutiven Behörden verbindliche Vorgaben für Abgeordnete zu machen. Einige Abgeordnete sehen dies jedoch überaus kritisch und wünschen sich eine bessere Aufklärung im Bereich IT-Sicherheit für sich und ihre Mitarbeiter. Verpflichtende Schulungen für Mandatsträger könnten zum Beispiel in der Geschäftsordnung des Bundestages verankert werden, sollte sich hierfür eine Mehrheit der Abgeordneten finden.

Unternehmen sollten mit Blick auf den aktuellen Datenschutzskandal auf jeden Fall gewarnt sein und möglichst schnell ggf. bestehende Lücken im Datenschutz schließen. Das betrifft neben jedem Mitarbeiter auch das Unternehmens-Management. In vielen Führungsetagen deutscher Unternehmen ist das Wissen in Sachen Datenschutz und DSGVO mangelhaft. Hieraus können sich nicht nur enorme finanzielle Risiken ergeben. Zumal anzunehmen ist, dass neben den Sicherheits- auch die Aufsichtsbehörden in Zukunft besser ausgestattet werden, um Verstöße gegen das Datenschutzrecht konsequent zu ahnden.

Das Thema Datensicherheit und Datenschutz wird also auch in diesem Jahr nicht an Relevanz verlieren.

Zeittafel des Datenschutzskandals

Dezember 2018 

  • BSI stellt nur Einzelfälle von Hacker-Angriffen auf Abgeordnete, ohne erkennbaren Zusammenhang fest.
  • Veröffentlichung der Daten von Abgeordneten auf Twitter und anderen Plattformen

03./04. Januar 2019

  • Einzelfälle konnten durch das BSI in Zusammenhang gebracht werden

04. Januar 2019

  • Bekanntwerden des Vorfalls in der Öffentlichkeit

04. – 06. Januar 2019

  • Zusammenstellung einer Spezialeinheit aus Mitarbeitern des BKA, des BSI und anderer Bundesbehörden

06. Januar 2019

  • Tatverdächtiger, 20-jähriger Schüler, wurde gefasst und vernommen. Der Tatverdächtige hat die Veröffentlichung der Daten gestanden
  • Die Löschung der Daten wurde durch das BSI veranlasst, wenngleich eine vollständige Löschung voraussichtlich nicht möglich ist.

07. Januar 2019

  • Tatverdächtiger wurde mangels Fluchtgefahr freigelassen

08. Januar 2019

  • Bundespressekonferenz von Bundesinnenminister Seehofer, BKA Präsident Holger Münch und BSI Präsident Arne Schönbohm
  • BSI: Suchkriterien sollen in Zukunft optimiert werden, sodass Zusammenhänge von Einzelfällen schneller erkannt werden können.
  • Innenminister stellt klar, dass die Aufklärung Vorrang vor der Veröffentlichung der Details des Vorfalls hat

10. Januar 2019

  • Sondersitzung des Innenausschusses
  • Umfassende Information der Abgeordneten durch den Innenminister sowie durch die BKA- und BSI Präsidenten
  • Tatverdächtige hatte wohl keine Komplizen, die Ermittlungen hierzu sind jedoch nicht abgeschlossen
  • Die Behörden hätten effizient zusammengearbeitet und den Verdächtigen innerhalb von 48-Stunden nach Bekanntwerden des Vorfalls festgenommen

12. Januar 2019

  • Härtere Strafen für Datendiebstähle werden vom CDU/CSU-Fraktionsvorsitzenden gefordert.