Maßnahmen im Falle von Sicherheitsvorfällen durch Home Office
Die weltweite Covid-19-Pandemie hat viele Unternehmen dazu veranlasst, kurzfristig möglichst schnell und effizient Home Office, bzw. mobiles Arbeiten für ihre Mitarbeiter anzubieten. Zum Schutz vor der Ausbreitung des Virus und zur Aufrechterhaltung des Geschäftsbetriebs in der Hochphase der Ausbreitung waren Unternehmen gezwungen, kurzfristig Laptops und Fernzugriffe auf das Unternehmensnetzwerk zu organisieren. Daher wurden technische Sicherheitsmaßnahmen oft nicht umgesetzt oder abgeschaltet, zudem konnte die Umschulung und Sensibilisierung der Mitarbeiter häufig nicht ausreichend erfolgen.
Daher steigt aktuell auch das Risiko von Sicherheitsvorfällen, bei denen sowohl aus datenschutzrechtlicher Sicht (Meldepflicht gegen Aufsichtsbehörden) und IT-Sicherheitssicht Maßnahmen zu ergreifen sind. Beispielsweise wurde ein Tourismusunternehmen bereits Opfer eines Cyberangriffes. Ein Mitarbeiter hatte im Home Office eine Phishing-Mail mit einem Verschlüsselungstrojaner geöffnet und dadurch einen Virus auf das System der Firma gebracht, welcher diese drei Tage lang handlungsunfähig machte (https://www.ndr.de/nachrichten/schleswig-holstein/coronavirus/Homeoffice-in-der-Corona-Krise-lockt-Hacker-an,cyberkriminalitaet124.html). Corona bezogene Phishing-Kampagnen, die Covid-19 zum Thema haben (Bspw. Schadsoftware in einem E-Mail Anhang, der lukrative Geschäfte mit Medizinprodukten in Aussicht stellt), können im Home-Office und aufgrund der Nutzung privater Geräte für Firmenzwecke nicht nur die Firmen-IT angreifen, sondern auch die Mitarbeiter direkt. Der Beitrag stellt dar, wie mit Sicherheitsvorfällen im Home Office umzugehen ist und was Unternehmen tun können, um diese im Vorfeld zu verhindern.
Datenschutzrechtliche Vorgaben im Home Office
Das mobile Arbeiten der Mitarbeiter im Home Office entbindet den Arbeitgeber nicht von der Verantwortung, dass die Arbeit im Home Office gemäß den datenschutzrechtlichen Vorgaben erfolgt. Insbesondere zählen dazu die IT-Sicherheitsmaßnahmen nach Art. 32 Abs. 1 DSGVO, die ein möglichst hohes Schutzniveau der Unternehmensdaten auch bei Fernzugriffen gewährleisten müssen. Aufgrund der aktuellen Situation sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch die Nutzung von Privatgeräten ausdrücklich vor, da ansonsten die Arbeit im Home Office für viele Unternehmen nicht umsetzbar wäre. Bei Nutzung privater Endgeräte sei zu berücksichtigen, dass die sicherheitstechnischen Anforderungen an die eingesetztem IT-Systeme nur in Eigenverantwortung durch den Mitarbeiter umgesetzt werden können (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.pdf?__blob=publicationFile&v=9).
Meldepflichten nach Art. 33 DSGVO bei Eintreten eines Sicherheitsvorfalles
Werden im Rahmen des Home Offices Sicherheitsaspekte missachtet, die dazu führen, dass der Schutz personenbezogener Daten verletzt worden ist – z.B. Vernichtung von Daten durch Viren oder Abfluss von Daten durch trojanische Pferde –, trifft den Verantwortlichen eine Meldepflicht an die Datenschutz-Aufsichtsbehörde möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde (Art. 33 DSGVO). Die Mitarbeiter im Home Office müssen dahingehend instruiert werden, dass sie jede Verletzung von Daten oder den Verlust des Arbeitsgerätes unverzüglich dem Arbeitgeber melden, damit dieser den Vorfall einordnen und ggf. seiner Meldepflicht nachkommen kann.
Ob eine Meldung zu erfolgen hat, sollte in jedem Einzelfall mit dem Datenschutzbeauftragten und ggf. dem IT-Sicherheitsbeauftragten abgestimmt werden. Wenn der Vorfall voraussichtlich kein Risiko für Betroffene bedeutet, kann ggf. auf eine Meldung verzichtet werden. Der Meldepflicht folgt eine umfassende Dokumentationspflicht gemäß Art. 33 Abs. 5 DSGVO des Verantwortlichen, die die Datenschutzverletzung, die Auswirkungen und die ergriffenen Abhilfemaßnahmen beinhalten muss. Intern dokumentiert werden sollten insbesondere die Maßnahmen der ersten 72 Stunden, damit nachvollziehbar wird, was das Unternehmen zur Schadenminimierung vor Meldung an die Aufsichtsbehörde geleistet hat. Ist ein Sicherheitsvorfall eingetreten, kann es zudem vorkommen, dass zusätzlich zur Meldung an die Aufsichtsbehörde gem. Art. 34 DSGVO eine Meldung an den Betroffenen erfolgen muss. Das gilt aber nur, wenn besonders hohe Risiken für die Betroffenen bestehen (z.B. Abfluss von Gesundheitsdaten, Bankdaten usw.).
„Incident Management“ – organisatorischer und technischer Prozess bei Sicherheitsvorfällen
Ist ein Sicherheitsvorfall eingetreten, dient der zuvor festgelegte Incident-Management-Prozess dazu, den Schutz schnellstmöglich wiederherzustellen und den eingetretenen Schaden so gering wie möglich zu halten. Zur angemessenen Reaktion auf einen Datenverlust oder eine Datenbeschädigung, sollte schon im Vorfeld (also: spätestens jetzt) ein organisatorischer und technischer Plan vorbereitet werden, sodass bei einer Störung unmittelbar gehandelt wird und die oben genannte Meldepflicht zwingend eingehalten wird.
Die Kenntnis der Schutzverletzung und die Erfassung des Sachverhalts müssen für das Unternehmen an erster Stelle stehen. Nur dann kann der Arbeitgeber den „Incident-Management“-Prozess optimal einleiten, den Schaden erkennen und minimieren bzw. beheben. Im ersten Schritt ist daher sicherzustellen, dass Kennzeichen und Symptome festgelegt werden, die den Prozess in Gang setzen. Im Falle eines möglichen Sicherheitsvorfalls muss schnell der betroffene Bereich des Unternehmens identifiziert, sowie die Auswirkungen auf das Unternehmen prognostiziert werden. Zur Eindämmung des Schadenvorfalls muss anschließend analysiert werden, welche Daten verletzt worden sind und wie die betroffenen Systeme wiederhergestellt werden können, ohne dass ein weiterer Vorfall zu befürchten ist. Zur Dokumentation zählt auch die Art der Datenverletzung, die Kategorie der Datensätze und die Anzahl der betroffenen Personen. Maßnahmen der Unternehmen können beispielsweise auch die Isolierung des betroffenen Systems sein, sodass ein weiterer Schaden verhindert werden kann. Die sofortige Löschung der betroffenen Dateien würde möglicherweise dazu führen, dass wichtige Hinweise auf den Ursprung des Vorfalls zerstört werden. Die Speicherung der betroffenen Systeme ermöglicht eine anschließende forensische Untersuchung und die Analyse fehlgeschlagener Schutzmaßnahmen, um in Zukunft besser vor Datenverletzungen geschützt zu sein. Nach Identifizierung des Schadens und Beseitigung der Ursache sind alle Schaddateien zu entfernen, die isolierten Systeme zu härten und patchen, sowie neue Updates zu installieren. Nach Abschluss der Säuberung der Systeme ist der Wiederherstellungsprozess einzuleiten, um die IT-Sicherheitsziele (Vertraulichkeit, Verfügbarkeit und Integrität) so schnell wie möglich wiederherzustellen.
Zur Vermeidung weiterer Schadensfälle ist nach Abschluss des Incident-Managements eine Risikoprognose zu erstellen, die zentraler Anknüpfungspunkt für die Beurteilung der Maßnahmen und künftige Datenpannen sein sollte. Der Prozess kann sich z.B. an Prozessen wie dem ITIL oder der ISO 20000-1:2011 orientieren. Es ist aber auch möglich, eine Arbeitsanweisung vorzubereiten, mit der neben dem Meldeprozess nach Art. 33 DSGVO auch die Wiederherstellung eines hohen IT-Sicherheitsniveaus und der Umgang mit eventuellen Sicherheitsvorfällen über rein datenschutzrechtliche Vorgaben hinaus beschrieben werden kann. Wichtig ist jetzt im ersten Schritt vor allem, überhaupt einen Prozess vorzubereiten und die Sinne für die aktuellen Risiken zu schärfen.
Fazit: Nachholung von IT-Sicherheit und Erarbeitung eines Incident-Managements
In der aktuellen Situation stehen Unternehmen vor großen Herausforderungen, so dass es verständlich ist, dass die Vorgaben an die IT-Sicherheit in den letzten zwei Monaten nicht immer so umgesetzt wurden, wie man es eigentlich getan hätte. Die Umsetzung der IT-Sicherheit darf jedoch auch bei kurzfristigen Entscheidungen und Umstellungen nicht in den Hintergrund rücken und muss daher nun sukzessive nachgeholt werden.
Im Falle eines Datenverlustes ist dieser unverzüglich an die zuständige Aufsichtsbehörde zu melden. Ein gutes „Incident-Management“ ist unerlässlich, um schnell und effizient bei einer Störung handeln zu können. Ein entsprechender Plan sollte insbesondere technische und organisatorische Maßnahmen im Falle einer Datenpanne (Isolierung des Systems, Analyse des Systemfehlers, Wiederherstellung der IT-Sicherheitsziele), die korrekte und genaue Erfassung des Sachverhalts, sowie die Auswertung der Kategorie der verletzten Daten enthalten. Unter Berücksichtigung der Risiken, die das Home Office für viele Unternehmen birgt, sollten Mindestanforderungen umgesetzt werden und zeitnah nachgebessert werden.