Datenskandal im Bundestag: Welche Konsequenzen ergeben sich für Unternehmen?
Die Aufregung in den Medien ist groß, seit am 04.01.2019 bekannt wurde, dass die Daten von etwa 1000 ehemaligen und aktuellen Politikern sowie Menschen des öffentlichen Lebens illegal veröffentlicht wurden. Das liegt nur zum Teil am Umfang und der Qualität der veröffentlichten Daten. Die öffentliche Stellung der betroffenen Personen hatte daran bedeutenden Anteil.
Datensicherheitsverletzungen sind oft auf das Verhalten von Nutzern zurückzuführen
Wenngleich von diesem Vorfall keine Firmen direkt betroffen sind, hat er dennoch das Potential sich direkt auf den Alltag vieler Unternehmen auszuwirken. Wie in 95% aller Fälle von Datensicherheitsverletzungen ist auch diese in erster Linie nicht auf technische Schwachstellen von IT-Infrastrukturen zurückzuführen. Vielmehr hat das Verhalten der betroffenen Nutzer großen Anteil daran, dass deren vertrauliche Daten illegal an die Öffentlichkeit gelangen konnten. Mutmaßlich sind viele der veröffentlichten Daten durch die Verwendung zu schwacher Account-Passworte oder über Phishing-Mails gewonnen worden. Ein 20-jähriger Schüler ist für die rechtswidrige Veröffentlichung der Datensätze verantwortlich. Er nutzte verschiedene Datenquellen für die schrittweise Veröffentlichung über einen Twitter-Account im Laufe des Dezembers. Hinweise auf weitere Verdächtige gibt es bisher nicht. Die Ermittlungen des BKA sind jedoch noch nicht abgeschlossen.
Zertifizierungen für verbindliche Sicherheitsstandards?
Als Konsequenz aus diesem Vorfall zeichnen sich bereits eine Reihe von Maßnahmen ab, in die explizit auch die Wirtschaft miteinbezogen werden soll. Unter anderem wird die Einführung eines Gütesiegels diskutiert, welches die Einhaltung von Mindest-Sicherheits-Standards bei IT-Hard- und Software-Produkten ausweisen soll. Für Router gibt es bereits eine, zum Teil kontrovers diskutierte, Zertifizierung für verbindliche Sicherheitsstandards. Denkbar ist, dass Melde-, Informations- und Mitwirkungspflichten für Unternehmen erweitert werden und der Austausch zwischen Staat und Wirtschaft intensiviert wird. Insbesondere Provider von IT-Diensten könnten hiervon betroffen sein. Auch wird eine zentrale Datenbank für IT-Sicherheitsvorfälle und Datenschutzverletzungen diskutiert. Welche konkreten Anforderungen hierdurch auf die IT-Branche zukommen und wie effektiv diese tatsächlich einen Zugewinn an Sicherheit bringen, muss abgewartet werden.
Personelle und finanzielle Verstärkung von Behörden
Beschlossen scheint bereits eine personelle und finanzielle Verstärkung von Behörden, die für die Aufklärung von bedeutenden Datenschutzverletzungen zuständig sind. Neueinstellungen sind im Bundeskriminalamt (BKA) und im Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen. Das Cyberabwehrzentrum des BSI soll zu einer dauerhaften Einrichtung umgewandelt werden. Es bietet ein Forum für diverse Bundesbehörden, die sich heute anlassbezogen zu bedeutenden IT-Sicherheitsvorfällen und Datenschutzverletzungen austauschen. Anzunehmen ist zudem, dass behördliche Befugnisse ausgeweitet und Strafen bei Datenschutzverletzungen erhöht werden, um Fälle, wie das aktuelle Datenleck, in Zukunft noch schneller aufzuklären oder bereits im Vorfeld zu verhindern.
Von Seiten des Gesetzgebers wird sich im Laufe dieses Jahres in Form des sogenannten IT-Sicherheitsgesetzes 2.0 einiges tun. Welche Maßnahmen das Gesetz neben der Ausweitung der Meldepflichten bei Sicherheitsvorfällen noch haben wird und welche Auswirkungen sich hieraus ergeben, lässt sich aktuell nicht abschließend beurteilen.
Welche Konsequenzen könnten sich für Unternehmen ergeben?
Für Unternehmen könnten sich des Weiteren indirekt Konsequenzen aus dem aktuellen Datenschutzvorfall ergeben. Nach dem vollständigen Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai des letzten Jahres räumten die Aufsichtsbehörden vielen Unternehmen eine Schonfrist für die Erfüllung der DSGVO-Anforderungen ein. Jedoch zeichnete sich schon Ende 2018 ab, dass diese Schonfrist abgelaufen ist und Verstöße gegen die DSGVO in Deutschland immer konsequenter geahndet werden. Die Zahl von datenschutzrechtlichen Anfragen und Beschwerden, die an Aufsichtsbehörden gerichtet werden, hat drastisch zugenommen. Problematisch für Unternehmen ist hierbei der Umstand, dass das Bewusstsein für die Wichtigkeit des Datenschutzes zwar gestiegen ist, sich das faktische Nutzerverhalten jedoch kaum geändert hat. So kommen privat genutzte Apps wie WhatsApp auch am Arbeitsplatz zum Einsatz und das obwohl den meisten Nutzern bekannt ist, dass dies Unternehmen in erhebliche datenschutzrechtliche Schwierigkeiten bringen kann.
So ist im aktuellen Fall anzunehmen, dass die Nutzung von privaten Cloud-Diensten sowie die Nutzung privater E-Mail-Accounts mit schwachen Passwörtern für das Versenden von sensiblen Daten großen Anteil daran hatte, dass sensible Daten von so vielen Politikern an die Öffentlichkeit gelangen konnten. Abhilfe würde hier eine angemessene IT-Sicherheitsschulung für Abgeordnete und ihre Mitarbeiter schaffen über Maßnahmen, wie sich derartige Daten-Leaks künftig vermeiden lassen. Bis heute ist eine solche Schulung für Mitglieder des Bundestages und deren Mitarbeiter nicht verpflichtend. Nur die Mitarbeiter der Bundestagsverwaltung sind bislang verpflichtet, sich in IT-Sicherheit und Datenschutz schulen zu lassen. Ein Umstand, der mit der freien Mandatsausübung der Abgeordneten und auf das verfassungsmäßige Prinzip der Gewaltenteilung zurückgeführt wird. Diese Prinzipien verböten es der Regierung oder anderen exekutiven Behörden verbindliche Vorgaben für Abgeordnete zu machen. Einige Abgeordnete sehen dies jedoch überaus kritisch und wünschen sich eine bessere Aufklärung im Bereich IT-Sicherheit für sich und ihre Mitarbeiter. Verpflichtende Schulungen für Mandatsträger könnten zum Beispiel in der Geschäftsordnung des Bundestages verankert werden, sollte sich hierfür eine Mehrheit der Abgeordneten finden.
Unternehmen sollten mit Blick auf den aktuellen Datenschutzskandal auf jeden Fall gewarnt sein und möglichst schnell ggf. bestehende Lücken im Datenschutz schließen. Das betrifft neben jedem Mitarbeiter auch das Unternehmens-Management. In vielen Führungsetagen deutscher Unternehmen ist das Wissen in Sachen Datenschutz und DSGVO mangelhaft. Hieraus können sich nicht nur enorme finanzielle Risiken ergeben. Zumal anzunehmen ist, dass neben den Sicherheits- auch die Aufsichtsbehörden in Zukunft besser ausgestattet werden, um Verstöße gegen das Datenschutzrecht konsequent zu ahnden.
Das Thema Datensicherheit und Datenschutz wird also auch in diesem Jahr nicht an Relevanz verlieren.