Cybersicherheit und Datenschutz Darum verursachen Cyberattacken Datenschutzverletzungen
Anbieter zum Thema
Cybersicherheit und Datenschutz gehen Hand in Hand und sind zwei wesentliche Verbündete für den Schutz des Einzelnen und seiner Rechte, so der Europäische Datenschutzbeauftragte. Viele Datenpannen lassen sich ohne Cybersecurity nicht vermeiden. Ein Überblick, wie Cyberattacken und Datenschutzverletzungen zusammenhängen, bei DDoS, Ransomware, Phishing und Deep Fakes.

„Die vielen Meldungen von Datenschutzverletzungen, die ich täglich erhalte, verdeutlichen, dass Datenschutz nur funktioniert, wenn die Sicherheit der IT-Systeme gewährleistet ist“, so die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg. „Anders als früher kann eine kleine Schwachstelle schnell die Grundrechte einer riesigen Zahl Betroffener beeinträchtigen. Bestehende Regelungen für technisch-organisatorische Maßnahmen des Datenschutzes müssen deshalb tatsächlich umgesetzt werden.“
Die Landesbeauftragte nennt auch Beispiele für Cybergefahren, die sich auf den Datenschutz auswirken können: „Ransomware, Passwort-Phishing und die aktuelle Gefahr von Cyberangriffen zeigen auch, wie wichtig es ist, dass Verwaltungen und Unternehmen selbst Mechanismen etablieren, die Datenschutz und IT-Sicherheit von vornherein gewährleisten, deren Wirksamkeit kontinuierlich überprüfen und sie an neue Bedrohungslagen anpassen.“
Wie aber ist der genaue Zusammenhang zwischen Datenpanne und Cyberattacke? Dies ist wichtig zu wissen, damit Cybersicherheit den richtigen Stellenwert in dem Datenschutzkonzept eines Unternehmens bekommt.
Das Datenrisiko bei DDoS
Personenbezogene Daten müssen verfügbar sein, so fordert es die DSGVO (Datenschutz-Grundverordnung). Damit die Daten aber verfügbar sind, müssen auch die dafür notwendigen Dienste bereitstehen und verfügbar sein. Einfach gesagt, kommt man ohne funktionierende Dienste und Anwendungen nicht an die Daten.
Die Verfügbarkeit der Daten hängt deshalb auch mit der Belastbarkeit der Dienste und der Wiederherstellbarkeit der Daten nach einem Ausfall der Dienste zusammen.
Wenn man diesen Gedanken verinnerlicht, wird schnell klar, dass eine Überlastung der Dienste auch die mangelnde Verfügbarkeit personenbezogener Daten nach sich ziehen kann. Mehr noch: Die DSGVO fordert explizit die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, sowie die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Offensichtlich bedeutet dann ein unzureichender Schutz gegen Überlastungsangriffe (DDoS), dass die genannten Schutzziele der DSGVO nicht erreicht werden können. Erfolgreiche DDoS-Attacken führen deshalb zu einer Verletzung des Datenschutzes, wenn Daten mit Personenbezug betroffen sind, direkt oder indirekt.
Ransomware als Datenschutzverletzung
Ransomware zielt auf die Verschlüsselung von Daten ab, häufig werden die Daten auch noch zusätzlich ausgespäht und gestohlen, so dass nicht nur für die (angebliche) Entschlüsselung Lösegeld verlangt wird. Gleichzeitig drohen die Angreifenden damit, die Daten auf Leak-Seiten zu veröffentlichen, wenn das Lösegeld nicht fließt.
Für das betroffene Unternehmen sind dann zum einen die Daten nicht mehr verfügbar, wenn es kein sicheres und vollständiges Backup gibt. Zum anderen ist die Vertraulichkeit der Daten in Gefahr, wenn diese auf einer Leak-Seite landen würden.
Es ist deshalb nicht überraschend, wenn Datenschutzaufsichtsbehörden Ransomware sehr ernst nehmen. So erklärte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen.
Alleine innerhalb eines Jahres wurden dem Bayerischen Landesamt für Datenschutzaufsicht von bayerischen Unternehmen mehrere hundert Ransomware-Angriffe gemeldet, bei denen Lösegeld von 10.000 bis zu 50 Millionen Euro gefordert wurden. BayLDA-Präsident Michael Will betonte: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann.“
Deshalb zählen geschützte und vollständige Backups und funktionstüchtige Recovery-Prozesse nicht nur zu den Forderungen der IT-Sicherheit, sondern auch des Datenschutzes.
Die Datenpanne bei Phishing
Passwort-Diebstahl bedroht personenbezogene Daten gleich doppelt. Zum einen ist die Kombination aus Benutzername und Passwort der einfachste Fall, um eine digitale Identität zu überprüfen. Phishing ist deshalb auch immer ein Diebstahl digitaler Identitäten, der Personenbezug dabei liegt auf der Hand, wenn es sich bei der Identität um eine „menschliche“ Identität handelt.
Selbst bei Maschinenidentitäten kann der Diebstahl der Zugangsdaten den Datenschutz berühren, wenn sich aus den Maschinendaten Bezüge zu Personen herstellen lassen. Wenn also zum Beispiel die digitale Identität eines Fahrzeugs gestohlen wird, können schnell die Daten der Fahrzeugnutzenden in Gefahr geraten.
Phishing ist aber zugleich das Tor zu weiteren personenbezogenen Daten und führt in aller Regel zu weiteren Datenschutzverletzungen, indem die Rechte des Opfers missbraucht und zusätzliche Daten ausgespäht werden. Phishing-Schutz ist deshalb immer auch Datenschutz.
Deep Fake aus Sicht der Aufsichtsbehörde
Um eine digitale Identität zu stehlen und vorzutäuschen, wird zunehmend auch der Weg gewählt, Fotos, Videos und Audios zu manipulieren und mit Hilfe von KI (Künstlich Intelligenz) das Aussehen und die Stimme des Angreifenden in das oder die einer anderen Person zu verwandeln.
Solche Deep Fakes bedrohen also zum einen die digitale Identität der vorgetäuschten Person und dann auch weitere Daten, an die der Angreifende durch die Täuschung gelangt. Das könnten auch medizinische Daten einer anderen Person sein, wenn eine Deep-Fake-Attacke bei einer Videosprechstunde mit Ärzten gelingt.
Deep Fakes und Maßnahmen zur Erkennung einer solchen Täuschung gehören deshalb auch zum Datenschutz, wie auch diese Warnung der Kirchlichen Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs zeigt: „Je mehr persönliche Informationen über einen bekannt sind, desto besser kann eine Deep Fake Falle zuschnappen. Cyberkriminelle nutzen jetzt schon diese Technik in Verbindung mit Social Engineering (Mensch als Schwachstelle), beispielsweise, um in betriebliche Umgebungen einzudringen oder Finanztransaktionen anzuweisen.“
Fazit: Cybersicherheit gehört zum Datenschutz
Diese Beispiele zeigen sehr deutlich: Ohne Cybersecurity kann der Datenschutz seine Ziele nicht erreichen. Es ist deshalb nur konsequent, wenn der Europäische Datenschutzbeauftragte nun auch ganz offiziell eine enge Kooperation mit der EU-Agentur für Cybersicherheit ENISA vereinbart hat.
(ID:49038662)