IT-Sicherheit: Im Notfall muss jeder Handgriff sitzen
Asthma-Patienten sind bedauernswert – besonders, wenn es sich dabei um Kinder handelt. Die Eltern sollen beispielsweise immer für einen ausreichenden Medikamentenvorrat sorgen und diesen auch in den Urlaub mitschleppen. Sie sollen die Kindergärtnerin, Lehrer und die Eltern der Freunde auf einen etwaigen Notfall vorbereiten und dafür sorgen, dass das Kind diesen “Notfallplan” immer bei sich trägt: “Im Notfall muss jeder Handgriff sitzen!”
Ein Notfallplan wäre auch Kabel BW zu wünschen – insbesondere aber denen, die an einem Gewinnspiel des Unternehmens teilgenommen haben: Vor zwei Monaten berichtete Heise über ein Leck auf einer Internetseite des Kabelnetzbetreibers, das es ermöglichte “Klarnamen und Adressen von Tausenden Personen” auszulesen.
Nehmen wir an, der Vorgang hätte sich trotz eines detaillierten Sicherheitskonzepts ereignet – was ja schon schon bedrohlich genug ist – wie aber hätte ein vorbildliches Unternehmen jetzt zu reagieren? Erst den Chef informieren und dann die Kunden? Oder schnell den Netzstecker vom Server ziehen? Die Prozeduren sollten auch dann funktionieren, wenn der Chef im Urlaub und die Datenschutzbeauftragte krank ist – denn: Im Notfall muß jeder Handgriff sitzen!
Henning Kahlert, Rechtsanwalt aus Karlsruhe und Spezialist für IT- und Datenschutzrecht, sieht in der “unbefugten Verarbeitung” (nämlich: Übermittlung) personenbezogener Daten der betroffenen Kunden einen Verstoß gegen § 28 des Bundesdatenschutzgesetzes; sollte den Betroffenen daraus ein Vermögensschaden entstehen, hält Kahlert Schadenersatzansprüche für möglich. Der Nachweis dazu sei allerdings schwierig. Empfindlicher könnte Kabel BW ein Bußgeld treffen – die zuständige Aufsichtsbehörde könne bis zu 300.000 Euro verlangen.
Kahlert meint, es gäbe keine gesetzliche Pflicht, auf die Panne hinzuweisen (§ 42 a BDSG greife nur bei bestimmten Daten) – dennoch empfiehlt er: “Kabel BW sollte Fehler einräumen, sich entschuldigen, offenlegen, was geschehen ist und Betroffenen Hilfe anbieten, um Schäden zu vermeiden; nur so kann auch Vertrauensverlust verhindert werden.”
Seine Überlegung: “Dieses Verhalten kann berücksichtigt werden bei der Entscheidung, ob und in welcher Höhe ein Bußgeld festgesetzt wird. Ob ein Bußgeld dann aber völlig entfallen kann, muss die zuständige Stelle entscheiden; ich persönlich würde das nicht für angemessen halten.” Der Datenverlierer muss also versuchen, die Aufsichtsbehörde – hier den Landesbeauftragten für den Datenschutz Baden Württemberg – durch ein professionelles Verhalten zum Schutz seiner Kunden milde zu stimmen.
Um zu vermeiden, dass erst der Chef aus dem Urlaub zurückkommen und die Datenschutzbeauftragte am Krankenbett traktiert werden muss, ist ein Notfallplan notwendig – das Bundesamt für die Sicherheit in der Informationstechnik (BSI) schreibt in einer Broschüre mit dem Titel “BSI-Standard 100-4 Notfallmanagement” (PDF) im Kapitel 4 die “Initiierung des Notfallmanagement-Prozesses”:
“Das oberste Ziel des Notfallmanagements ist es, kritische Geschäftsprozesse aufrecht zu erhalten und die Auswirkungen von Schadensereignissen auf die Institution so gering wie möglich zu halten. Um dieses zu erreichen, sind strategische Entscheidungen zu treffen, Organisationsstrukturen zu etablieren und Maßnahmen umzusetzen. Die ersten Schritte in der Initiierungsphase sind die Übernahme der Verantwortung durch die Behörden- bzw. Unternehmensleitung und die Entwicklung von Leitaussagen zum Notfallmanagement.”
Im Folgenden verlangt das BSI ein Projekt aufzusetzen, um einen Notfallmanagement-Prozesses zu entwickeln. Um den Aufwand abschätzen und eine Zeit- und Ressourcenplanung durchführen zu können, sollten die Ziele für das Notfallmanagement definiert, der Geltungsbereich festgelegt, die Rahmenbedingungen ermittelt und die Strategie definiert werden, mit der die Ziele erreicht werden sollen.
Am Ende dieses Prozesses soll ein Dokument stehen, das Auskunft darüber gibt, was denn ein “Notfall” oder eine “Krise” für dieses Unternehmen wäre, wer autorisiert ist den Notfall auszurufen, wie die Schäden von wem analysiert werden sollen, wer darüber wie zu informieren ist und welche Maßnahmen zur Bewältigung ergriffen werden sollen. Damit die Inhalte dieses Dokuments tatsächlich in den Köpfen der Mitarbeiter ankommen, sollte das Personal entsprechend geschult werden.
Gern hätte SicherKMU von Kabel BW erfahren, wie das Unternehmen tatsächlich auf den Notfall reagiert hat. Leider hat das Unternehmen nicht auf unsere Mail geantwortet. Ob bei Kabel BW im Notfall jeder Handgriff sitzt, kann daher nicht abschließend festgestellt werden.
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.