Rechtliche Pflichten beim Hackerangriff

Rubrik: Recht allgemein
Ausgabe: Sep. 2022

Internetkriminalität ist leider im Aufwind – zuletzt wurde in den Medien von einem Hackerangriff auf den Balkanstaat Montenegro berichtet. Auch ein norwegischer Fonds – der weltgrößte Staatsfonds – gab gegenüber der Financial Times kürzlich an, dass sich die Zahl der Hackerangriffe auf den Fonds in den letzten zwei, drei Jahren mehr als verdoppelt habe. Laut dem Cybercrime Report des Bundeskriminalamtes wurden 2021 in Österreich 28,6% mehr Anzeigen erstattet als im Jahr zuvor.

Haende_TastaturFür die Unternehmer, aber auch für Privatpersonen, ist es wichtig, im Umgang mit Daten und bei den Aktivitäten im Internet vorsichtig zu sein.

Wenn sich die Täter erst einmal Zugang zu einem fremden Computer, Smartphone oder zu Unternehmensnetzwerken verschafft haben, hat der vom Hackerangriff Betroffene die Kontrolle oder den Zugang zu den gespeicherten Daten verloren. Davon können Kunstgeheimnisse, Betriebsgeheimnisse, Kundendateien, Daten der Mitarbeiter etc betroffen sein. Die Datenschutz-Grundverordnung (DSGVO) spricht von einem "data breach" und versteht darunter eine unbeabsichtigte oder unrechtmäßige Verletzung der Sicherheit, mit der eine Vernichtung oder Veränderung, der Verlust oder eine unrechtmäßige Veröffentlichung der Daten einhergeht.

Wenn vom Hackerangriff personenbezogene Daten betroffen sind, kann dies ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen. Die DSGVO verpflichtet in einem solchen Fall zur Meldung an die Aufsichtsbehörde. Diese Meldung hat innerhalb von 72 Stunden zu erfolgen. Erfolgt die Meldung später als innerhalb von 72 Stunden, so ist dies zu begründen. Die Personen, deren persönliche Daten betroffen sind, sind zu benachrichtigen. Ein unverbindliches Formular zur Erfüllung der Meldepflicht kann auf der Website der Datenschutzbehörde unter www.dsb.gv.at abgerufen werden.

Verstöße gegen diese Melde- und Benachrichtigungspflicht ziehen Geldbußen von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des letzten abgeschlossenen Geschäftsjahres nach sich.

Neben der Wiederherstellung der IT-Systeme wird es notwendig sein, einen Krisenstab einzurichten, dem nicht nur die Geschäftsleitung und IT-Experten angehören, sondern auch Personen, welche die Medienarbeit und die Kommunikation nach außen verantworten.

Um erst gar nicht Gefahr zu laufen, dass Schadsoftware – etwa über Anhänge in einer E-Mail – in das IT-System gelangen, ist es ratsam, die Mitarbeiter immer wieder auf den verantwortungsvollen Umgang im Internet und mit E-Mails mit verdächtigen Anhängen zu sensibilisieren und darauf zu achten, dass mit den im Unternehmensnetzwerk befindlichen Geräten nur auf vertrauenswürdige Internetseiten zugegriffen wird. Datensicherheit eines Unternehmens rückt auch für dessen Kunden und Lieferanten immer mehr in den Fokus: so hat der Kreditschutzverband 1870 in einer Aussendung von August 2022 informiert, dass die Ergebnisse eines Cyber-Security-Checks in allen Bonitätsauskünften inkludiert sind. Unternehmen, die nach außen klar kommunizieren möchten, dass Mindestsicherheitsmaßnahmen für Cybersicherheit ergriffen wurden, können ein Cyber Trust Label erlangen. Dieses fußt auf einem Risikobewertungsschema, welches vom Kuratorium Sicheres Österreich gemeinsam mit dem Kreditschutzverband 1870 ausgearbeitet wurde.

Seite drucken | zurück