Warum müssen geleakte Dokumente nach Datenentwendungen analysiert werden?

Beitrag als PDF (Download)

 

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro“ (hier, bitkom 05.08.2021, Abruf 17.8.2021, https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr).
Es ist unschwer zu erkennen: Cyberangriffe stellen für Unternehmen und auch Regierungen eine stetig wachsende Bedrohung dar, die immense wirtschaftliche Auswirkungen haben kann.

Ausgangslage

Bei Cyberangriffen werden Unternehmen vielfach Daten entwendet und verschlüsselt. Häufig versuchen die Straftäter auf diese Weise „Lösegeld“ – oft in Kryptowährung – zu erpressen. Nach einer solchen Attacke ist es primäres Ziel, den Geschäftsbetrieb sicher wiederherzustellen oder weiterzuführen. Es geht hier um Cyber-Incident-Response.
Nach oder bereits während der Wiederherstellung der ­Betriebsfähigkeit sind zahlreiche Aspekte zu beachten. ­Hierzu gehören beispielsweise die interne und externe Kommunikation, Strafverfolgung, Datenschutzmeldungen und ­weitere rechtliche Implikationen des Vorfalls. Es geht nicht mehr um IT-Fragen, sondern um wirtschaftliche und ­rechtliche ­Themenstellungen, die es zu eruieren und beurteilen gilt.
Naheliegend sind dabei Meldepflichten nach § 8b Abs. 4 BSIG, § 109 Abs. 5 TKG sowie nach Art. 33, 34 DSGVO. Es gibt aber auch weitere Themen, an die gedacht werden muss. Verdeutlichen sollen dies die beiden folgenden Szenarien:
Mitarbeiter eines Unternehmens haben verbotene kartellrechtliche Verhaltensweisen an den Tag gelegt. Die Kommunikation lief dabei über E-Mail oder es wurden interne Vermerke gefertigt, die ein solches Verhalten dokumentieren. Im Rahmen eines Cyberangriffs werden solche Dateien entwendet und später geleakt. Es drohen straf- und zivilrechtliche Konsequenzen. Um hier gewappnet zu sein und gegebenenfalls reagieren zu können (etwa durch Selbstanzeige), ist es dringend erforderlich, dass sich ein Unternehmen so schnell wie möglich einen detaillierten Überblick darüber verschafft, welche „sensiblen“ Daten entwendet (und gegebenenfalls geleakt) worden sind.
Wie etwa ein einziges Dokument ein Gesamtunternehmen bedrohen kann, mag ein zweites Beispiel verdeutlichen: ­Kundenkonditionen werden geleakt und viele der Kunden erhalten so einen Einblick in die Konditionen für ­Wettbewerber. Denkbar wäre eine Übervorteilung von ­Kunden und eine sich daran anschließende „kollektive“ Abwanderung. Ein solches Leakage kann schlimmstenfalls existenzbedrohend werden.

Warum müssen geleakte Dokumente nach Datenentwendungen analysiert werden?

Wie aus den vorgenannten zwei Szenarien ersichtlich wird, können zahlreiche Gründe in Betracht kommen, warum sich ein Unternehmen nach einem Cyberangriff schnellstmöglich einen Überblick über die entwendeten Daten verschaffen muss.
In der Praxis ist häufig problematisch, dass nicht oder zumindest nicht unmittelbar nach einem Datenvorfall zu ermitteln ist, welche Daten entwendet worden sind. Selbst wenn Einfallstore schnell identifiziert werden können, bereitet es mitunter große Schwierigkeiten, den Umfang der entwendeten Daten festzustellen.
Ist dies der Fall, dann kann nur aus den (häufig im Darknet) veröffentlichten Daten ersehen werden, welche ­Informationen/Dateien/Dokumente definitiv betroffen sind. Man kann aber nie ausschließen, dass weitere nicht geleakte Daten entwendet wurden.
Eine weitere Herausforderung stellt die Aufbereitung und strukturelle Durchsicht der häufig großen Datenmengen dar. Hier wird vielfach externe Hilfe in Anspruch genommen werden müssen, um einen entsprechenden Data-Leakage-Review oder eine Data-Leakage-Investigation ­durchzu­führen.

Zentrale Punkte einer Aufarbeitung im Rahmen eines Data-Leakage-Reviews/-Investigation

Nachfolgend geben wir einen Überblick zu den Bereichen, in denen die Aufarbeitung der entwendeten Daten (Data-Leakage-Review/-Investigation) eine Rolle spielen kann. Je nach Unternehmen und Vorfall variieren betroffene Bereiche. Stets allerdings dürften Datenschutz und Informationssicherheit zu betrachten sein, gegebenenfalls auch um eine Negativfeststellung für sich selbst treffen zu können.

Aufsichtsbehörden

Bereits angesprochen wurde, dass in bestimmten Fällen bei Angriffen auf Betreiber kritischer Infrastrukturen Meldepflichten bestehen können. Es kommen dabei insbesondere Meldungen an das BSI (Bundesamt für Sicherheit in der Informationstechnik) und an die Bundesnetzagentur in ­Betracht.
Ebenfalls angesprochen wurden die Meldeverpflichtungen aus Art. 33 und die Benachrichtigungspflichten/Informationspflichten nach Art. 34 der DSGVO. Zu beachten ist dabei, dass ab Kenntnis einer Verletzung personenbezogener Daten eine Meldung an die zuständige Aufsichtsbehörde fristgebunden ist. Häufig wird erst nach oder durch eine Analyse und Durchsicht offensichtlich werden, ob und welche Informationen im konkreten Fall öffentlich geworden sind und damit zu Verletzungen geführt haben. Hier ist allein entscheidend, dass die Daten entwendet wurden, da dies die Verletzung auslöst. Eine (weitere) Veröffentlichung dieser Daten ist nicht zur Tatbestandsverwirklichung erforderlich. Das wird gelegentlich übersehen.

Strafverfolgung

Das Strafgesetzbuch stellt in §§ 202a ff. „Datendiebstahlsdelikte“ unter Strafe. Auch hier ist es regelmäßig hilfreich, wenn man den Diebstahl (und natürlich auch die Umstände) möglichst genau schildern kann. In den meisten Fällen involvieren betroffene Unternehmen BKA, LKA, Polizei oder BSI. Sowohl zur Klärung des Ausmaßes als auch für die Strafzumessung ist es erforderlich, neben der Tathandlung den Umfang der entwendeten Daten zu kennen. Auch für eventuelle Schadensersatzansprüche kann dies von Vorteil sein. Nicht selten ist zudem überlegenswert, ob Ansprüche gegen Provider des betroffenen Unternehmens geführt werden könnten, wenn diese ein Verschulden an dem Vorfall trifft.

Kunden

Häufig werden Kundendaten oder auch Daten sonstiger Dritter betroffen sein. Neben den bereits beschriebenen gesetzlichen Informationsverpflichtungen werden Kunden häufig ein erhebliches Interesse daran haben, zu erfahren, welche Daten über sie entwendet worden sind. Handelt es sich bei den Kunden um größere Unternehmen, werden diese unter Umständen auch selbst recherchieren, welche Daten entwendet und veröffentlicht wurden. Ist man als geleaktes Unternehmen nicht in der Lage, Kunden schnell zu informieren, kann dies weitreichende Folgen haben. Noch unangenehmer kann es werden, wenn der Kunde das geleakte Unternehmen um Stellungnahme bittet und über einen Aufarbeitungsvorsprung verfügt.
Betroffene Unternehmen sollten daher mit den entsprechenden Tools schnellstmöglich „Kundenanalysen“ durchführen.

Interne Abteilungen

Auch für die interne Information und Kommunikation ist es unerlässlich, sich schnellstmöglich einen Überblick über die entwendeten Daten zu verschaffen. Dies wird vom CISO und dem Betriebsrat regelmäßig eingefordert werden. Beide werden um Information und Kommunikation bitten. Ohne Kenntnis über Inhalte der entwendeten Daten ist man als betroffenes Unternehmen nicht in der Lage, eine zufriedenstellende Kommunikation auch an die Mitarbeiter des Unternehmens aufzusetzen. Der Hinweis auf eine in Durchführung befindliche professionelle schnelle Aufarbeitung kann hier vielfach zu einer „Beruhigung der Situation“ beitragen.

Wirtschaftsprüfer/Steuerberater

Auch für Wirtschaftsprüfer und Steuerberater von betroffenen Unternehmen sind Datenschutzvorfälle und deren Aufarbeitung in aller Regel von zentraler Bedeutung. Hier wird vor allem, neben der Frage nach einem funktionierenden internen Kontrollsystem (IKS), der Inhalt der entwendeten Dokumente erhebliche Bedeutung haben. Um auskunftsfähig zu sein, müssen die analysierten Dokumente in einem ersten Schritt untersucht werden.
Brisanz können entwendete Daten für die Wirtschaftsprüfer und Steuerberater insbesondere dann besitzen, wenn durch die Veröffentlichung Geschäftsgeheimisse im weiteren Sinn an die Öffentlichkeit und damit auch an Wettbewerber gelangen. Nicht rechtlich (etwa Patent- und Markenschutz) geschützte Güter des Anlagevermögens können Wertberichtungen bis hin zum Goodwill erforderlich machen. Ferner können auch Positionen des Umlaufvermögens betroffen sein, wenn Warenbestände wertzuberichtigen sind, weil zum Beispiel durch das Leakage der Produktabsatz zurückgeht (etwa: Wettbewerber veräußern günstiger nach Kenntnis der Preispolitik).
Ultimativ droht sogar eine Infragestellung des gesamten ­Geschäftsmodells.

Rechtsanwälte

Auch Rechtsanwälte, die im Zusammenhang mit einem Leakage beauftragt werden, können ihre Aufgaben nur dann wahrnehmen, wenn ihnen das Ausmaß des Vorfalls bekannt ist. Dies gilt für behördliche Meldungen, Information Betroffener, Kommunikation mit Behörden einschließlich der Staatsanwaltschaft, Geltendmachung von Schadensersatzansprüchen und generell bei Abwehr von Ansprüchen, die im Zusammenhang mit der Veröffentlichung der Daten ­entstehen können (siehe Beispiel oben).

Wie funktioniert ein Data-Leakage-Review/-Investigation?

Die Data-Leakage-Investigation sowie der Data-Leakage-Review sind zentrale Punkte jeder Aufarbeitung des Vorfalls. Die geleakten Daten werden zentral „gesammelt“, aufbereitet und für den Review auf eine entsprechende Plattform eingespielt. Parallel wird regelmäßig unter Beteiligung des betroffenen Unternehmens, deren Rechtsanwälten und Wirtschaftsprüfern das Review Protokoll abgestimmt. In diesem wird vor dem Hintergrund des Geschäftsmodells und der vermeintlich entwendeten Daten festgelegt, nach welchen Kriterien die Daten analysiert und kategorisiert werden (zum Beispiel Art. 9 DSGVO). Danach werden Search-Terms (und/oder Verknüpfungen von Wörtern, die in für den Untersuchungszweck relevanten Dokumenten enthalten sein könnten) abgestimmt und auf die in der Plattform befindlichen Daten angewendet, so dass die Datenmenge regelmäßig erheblich reduziert werden kann. Im Anschluss wird der Review durchgeführt und die Ergebnisse laufend berichtet. Diese Ergebnisse sind für die oben genannten Beteiligten und deren Zwecke elementare Grundlage.
Warum also müssen geleakte Dokumente nach Datenentwendungen analysiert werden?
Aus den oben dargelegten Gründen, um Vertrauen zu schaffen und schließlich auch um eine (strafrechtliche) Verantwortung des Managements zu reduzieren!

 

jehorn@deloitte.de

fmarzluf@deloitte.de

Aktuelle Beiträge