weerapat1003 - stock.adobe.com
Sicherheitsvorfälle und Datenpannen freiwillig melden?
Bei Sicherheitsvorfällen und Datenpannen bestehen zahlreiche Meldepflichten. Doch man kann auch freiwillige Meldungen abgeben. Lohnt sich das? Was sind die Vorteile und Nachteile?
Umfragen liefern regelmäßig Zahlen dazu, wie hoch der Prozentsatz der Unternehmen in Deutschland ist, die in den letzten ein oder zwei Jahren einen IT-Sicherheitsvorfall oder eine Datenschutzverletzung festgestellt haben. Diese Umfrageergebnisse sind interessant, doch sie ersetzen nicht die konkreten Meldungen der betroffenen Unternehmen an zuständige staatliche Stellen.
Eine Bitkom-Umfrage ermittelte kürzlich unter Industrieunternehmen in Deutschland, wie sie auf Cyberattacken reagieren: 78 Prozent stellten Strafanzeige, 29 Prozent machten eine freiwillige Meldung, 13 Prozent meldeten nach IT-Sicherheitsgesetz an das BSI (Bundesamt für Sicherheit in der Informationstechnik), acht Prozent meldeten den Vorfall an die zuständige Datenschutzaufsicht.
Auch wenn nur acht Prozent eine Datenpanne gemeldet haben, geht die Zahl der Meldungen an die Datenschutzaufsicht insgesamt spürbar hoch. Ein Beispiel: Die Zahl der Meldungen von Datenpannen ist seit dem 25. Mai 2018 deutlich gestiegen, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit. In den Monaten Mai bis Juli 2018 wurden 111 Vorfälle gemeldet, wohingegen im gleichen Vorjahreszeitraum lediglich 12 Meldungen verzeichnet wurden.
Bei der Vielzahl an gesetzlichen Meldepflichten erscheint die Zahl von 29 Prozent freiwilliger Meldungen einerseits hoch. Andererseits fordern und empfehlen sowohl Verbände wie Bitkom und eco als auch staatliche Stellen seit Jahren die freiwillige Meldung von IT-Sicherheitsvorfällen, zusätzlich zu den verpflichtenden, versteht sich.
Bereits 2013 hatte Bitkom die Unternehmen in Deutschland dazu aufgerufen, schwerwiegende Angriffe auf ihre IT-Systeme freiwillig den Behörden zu melden. Die Sicherheitsbehörden brauchen aktuelle Informationen über gravierende Cyberangriffe, um Gegenmaßnahmen entwickeln und die Nutzer warnen zu können, so Bitkom damals.
Auch auf den Internet Security Days 2018 (ISD 2018), die unter anderem von dem Verband der Internetwirtschaft eco ausgerichtet wurden, war die Meldung von Sicherheitsvorfällen ein Thema, unter anderem in einem Panel mit Vertretern von eco, BSI, Landeskriminalamt Nordrhein-Westfalen, Bundesministerium der Verteidigung und Bundeswirtschaftsministerium.
Es gibt viele Meldestellen
Wenn es um die Meldung von Sicherheitsvorfällen und Datenpannen geht, diskutieren nicht ohne Grund so viele verschiedene Stellen. Tatsächlich gibt es viele Meldestellen, die je nach Vorfall zuständig sind. Unternehmen müssen also wissen, was sie an wen melden müssen oder im Fall der freiwilligen Meldung auch melden können.
Dies zeigen die folgenden Beispiele für Meldestellen:
Meldung einer Datenschutzverletzung für Verantwortliche an die zuständige Datenschutzaufsicht: Beispielsweise für Unternehmen aus Bayern.
Strafanzeige bei der Polizei oder direkt an die inzwischen bundesweit eingerichteten Zentralen Ansprechstellen Cybercrime für die Wirtschaft (ZAC), beispielsweise für NRW.
Verdacht auf Wirtschaftsspionage an das jeweilige Landesamt für Verfassungsschutz, zum Beispiel Baden-Württemberg.
Freiwillige Meldungen und ihre Folgen
Ein freiwilliges Meldesystem für IT-Sicherheitsvorfälle hat die ITK-Branche in Deutschland schon vor Jahren in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) etabliert. Bei der Allianz für Cybersicherheit, die die Zusammenarbeit von Sicherheitsbehörden, Forschungseinrichtungen und Wirtschaft beim Kampf gegen die Cyberkriminalität koordiniert, können Angriffe freiwillig und anonym gemeldet werden. Das Meldesystem müsse in der Fläche bekannt gemacht werden, damit auch der Mittelstand entsprechend sensibilisiert wird, forderte Bitkom bereits im Jahr 2013.
Die Diskussion auf den Internet Security Days 2018 zeigte, dass dies auch heute noch der Fall ist: Freiwillige Meldungen über die Allianz für Cybersicherheit müssen noch stärker beworben werden.
Das Ziel der freiwilligen Meldungen von IT-Sicherheitsvorfällen lautet: Um ein verlässliches Lagebild zu erhalten, ist es wünschenswert, dass möglichst viele Meldungen in das Lagebild einfließen, so das BSI. Zudem sollten Meldungen eines Cyberangriffs möglichst detaillierte Informationen enthalten.
Auf den ISD 2018 kritisierten Branchenvertreter von eco aber, dass die auf den Meldungen basierenden Warnungen nur an einen bestimmten Kreis von Unternehmen gingen, nicht an alle. Zudem könnten anonym gemeldete Vorfälle keine Unterstützung durch das BSI erhalten, da ja der Absender nicht genannt wird. Das BSI verwies darauf, dass das Meldewesen und die Warnungen weiter verbessert werden würden, eine Warnung „nach Gießkannen“-Prinzip sei aber nicht möglich, um nicht auch mögliche Angreifer zu informieren. Nicht ohne Grund empfiehlt das BSI, freiwillige Meldungen per Mail zu verschlüsseln.
Es bleibt festzuhalten: Für Unternehmen sind viele Meldungen im Fall von Datenpannen und IT-Sicherheitsvorfällen Pflicht, doch auch freiwillige Meldungen sind sinnvoll, wenn diese sicher erfolgen und auch im Gegenzug zu Unterstützung und Warnungen führen. Zudem sollten die Meldewege für Unternehmen noch klarer und einfacher werden. Es bleibt also viel zu tun, um das Meldewesen in der IT-Sicherheit weiter zu optimieren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!