Data Leakage Prevention, Teil 3: Was Datenlecks kosten können

Jahrelange Forschungs- und Entwicklungsarbeit, das Kundenvertrauen und die Marktposition – um nur einige der Alpträume zu nennen. Der dritte Teil der Data-Leakage-Prevention-Serie geht außerdem auf Schadensersatz für Kunden und andere rechtliche Folgen ein, die Unternehmensverantwortlichen drohen.

Die Schotten dicht

Von Uli Ries

Dass Data Leakage Prevention solch komplexe Lösungen findet, ist kein Zufall. Zwar will kein Unternehmen, dass sensible Informationen in falsche Hände gelangen, aber es kommt noch härter. Im Falle eines Datenverlusts gibt es reichlich Horrorszenarien, vom Schadensersatz über Umsatzeinbußen aufgrund von Imageverlust bis hinzu den Kosten für Gutachter und Anwälte ist alles denkbar.

Schwer zu beziffern, aber ein ständiges Schreckgespenst ist der finanzielle Schaden, der durch Diebstahl oder den Verlust von geistigem Eigentum eintritt. Insbesondere deutsche Mittelständler leben oft von ihren Innovationen und sind auf den Schutz von Quellcode, Konstruktionszeichnungen oder Medikamentenrezepturen dringend angewiesen. Kommt es in diesem Umfeld zu Datenpannen, wird dies so gut wie nie öffentlich.

Eine Frage der Haftung

Rechtsexperten weisen in diesem Zusammenhang auf eine oft unterschätzte Gefahr hin: die rechtlichen Konsequenzen. In Deutschland können Pannen mit persönlichen Daten von Mitarbeitern und Kunden geahndet werden, wenn das Unternehmen bzw. dessen Verantwortliche keine geeigneten Schutzmaßnahmen ergriffen haben. Der Gesetzgeber schreibt Geschäftsführern, Vorständen und Aufsichtsräten diverse Schutzmaßnahmen vor: das Abwehren von Viren und anderer Malware ebenso wie das Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups oder das Berücksichtigen von Wirtschaftsprüfungsstandards. Mit DLP-Lösungen lassen sich diese Aufgaben zu großen Teilen schon erfüllen.

Wichtig: Diese Übersicht dient lediglich der Orientierung und ersetzt keinesfalls die fach­männische Beratung durch Rechts­experten. Die Inhalte wurden sorg­fältig recherchiert, dennoch sind Ab­weichungen vom tat­sächlichen Sach­verhalt nicht auszuschließen.

Werden die Auflagen missachtet, drohen den Unternehmensverantwortlichen u.a. Geldbußen, Schadensersatzansprüche, die Geschädigte gegen das Unternehmen geltend machen, wirtschaftliche Nachteile wie ein schlechteres Kreditrating, der Verlust des Versicherungsschutzes oder der Ausschluss bei der Vergabe öffentlicher Aufträge.

Unter Strafandrohung

Zusätzlich zu diesen zivilrechtlichen Problemen drohen auch strafrechtliche Konsequenzen, da Missbrauch von IT-Infrastruktur und Datendiebstahl auch strafbar sein können. Problematisch sind z.B. die Verletzung des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Durch DLP-Lösungen lassen sich auch diese Schreckgespenster bannen.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Werden im Unternehmen personenbezogene Daten verarbeitet (was immer zutrifft, wenn Namen von Mitarbeitern, Kunden oder persönliche E-Mail-Adressen gespeichert werden), muss vor allem das Bundesdatenschutzgesetz (BDSG) beachtet werden. Der Paragraph § 9 BDSG regelt technische und organisatorische Maßnahmen, die Unternehmen zu treffen haben. Hierzu gehört u.a. die Kontrolle von Zugriffen und der Weitergabe – was wiederum ein Fall ist für Data Leakage Prevention. Alle gängigen DLP-Lösungen bringen vorgefertigte Regeln mit, die z.B. die Vorgaben von Basel II oder andere (gesetzliche) Regelungen im Netzwerk durchsetzen.

Der Wind weht schärfer

Noch gibt es Rechtsexperten zufolge keine einschlägigen Gerichtsurteile, die Firmenverantwortliche aufgrund von Datenpannen zu hohen Strafen verdonnert haben. Denn sehr oft gibt es keine feststellbaren Schäden. Wenn Kundendaten verloren gehen, müssen die Kunden davon erst einmal erfahren und es muss ihnen ein tatsächlicher Schaden entstehen. Außerdem werden viele Auseinandersetzungen bei Datenpannen außergerichtlich beigelegt.

Trotzdem vermögen internationale Datenschutzgesetze Unternehmen empfindlich zu treffen. Der Leiter des IT-Risikomanagements der Deutschen Bank, Andreas Wuchner, hat in seinem Blog spektakuläre Fälle von Strafzahlungen zusammengetragen. Das dort genannte Beispiel Lidl belegt, dass sich Datenschutzbeauftragte auch in Deutschland zur Wehr zu setzen wissen.

Serie: Data Leakage Prevention
Teil 1 stellt das Schutz­konzept vor und sagt, warum es in Wirk­lich­keit gar nicht so einfach ist. Teil 2 erläutert die Funk­tio­nen im De­tail und be­nennt die kriti­schen Stel­len im System. Teil 3 widmet sich der Haftungs­frage und weiteren guten Gründen für DLP.

Fazit: Standbein der Strategie

Ganz egal, wie deutlich BKA-Präsident Ziercke und andere Experten auch auf die modernen Gefahren hinweisen – selbst moderne Lösungen sind chancenlos gegen seit Jahrzehnten bekannte Attacken. Man muss kein DLP-Experte sein, um zu wissen, dass auch die beste Data-Leakage-Prevention-Lösung versagt, wenn der Datendieb die relevanten Daten vom Bildschirm abfotografiert. Hier hilft nichts als dauernde Vorsicht und Aufmerksamkeit. Sonst muss sich die Schutztechnik des 21. Jh. einer Attacke aus dem vorherigen Jahrtausend geschlagen geben.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links