Stand: 13.10.2023

Sasser, Stuxnet, Nimda – was aussieht wie eine harmlose Aneinanderreihung von Buchstaben, kann in Wahrheit für Unternehmen ziemlich gefährlich werden. Bei den genannten Begriffen handelt es sich um drei der berüchtigtsten Computerviren. Viele Computer, egal ob privat oder geschäftlich genutzt, sind nicht ausreichend gegen die Risiken der Onlinewelt geschützt und somit ein gefundenes Fressen für Kriminelle. Diese infizieren ebensolche Rechner mit Viren und sorgen so für erhebliche Schäden mit gravierenden, teils existenzgefährdenden Folgen für die Betroffenen.

Häufig werden Daten gelöscht, ausspioniert oder verschlüsselt, Onlinebanking-Transaktionen zugunsten der Kriminellen manipuliert oder Bestellungen im Namen der Betroffenen getätigt. Teilweise werden sogar die infizierten PCs für Cyberangriffe auf andere Personen oder Unternehmen eingesetzt – ein finanzielles und datenschutzrechtliches Fiasko für betroffene Unternehmen. Ein solider Schutz ist daher sowohl auf technischer Seite als auch auf menschlicher Ebene essenziell.

Was ist ein Computervirus?

Unter einem Computervirus versteht man ein sich selbst verbreitendes und reproduzierendes Computerprogramm, das jedoch zur Ausführung ein Wirtsprogramm benötigt und meist Bösartiges im Sinn hat. Dieses Computerprogramm verursacht absichtliche Manipulationen an anderen Programmen und fremden Daten. Ist ein Computervirus erst einmal in Aktion, kann er zu Veränderungen am Betriebssystem oder sogar zu Schäden an der Hardware führen. Da Computerviren die Computersicherheit dadurch beeinträchtigen, ist mit diesen Gefährten nicht zu spaßen. Typische Folgen von Computerviren sind Datenverluste und -verschlüsselungen, die nicht nur im Hinblick auf den Datenschutz ausgesprochen unangenehm sind.

Die Übertragung eines Computervirus kann auf unterschiedlichen Wegen passieren, z. B. durch USB-Sticks, E-Mails oder durch Downloads aus dem Internet. Viren werden erst aktiv, wenn das betroffene Programm ausgeführt wird. Erhält man also eine E-Mail mit virenverseuchtem Anhang, ist der Virus so lange inaktiv, bis der Anhang geöffnet und die darin enthaltenen Makros aktiviert werden. Der Computervirus wird auch deshalb als Virus bezeichnet, da er aufgrund seiner Reproduzierbarkeit dem biologischen Abbild ähnelt.

Wie Viren dem Datenschutz gefährlich werden können

Wer das Internet nutzt, sollte sich darüber im Klaren sein, dass dies zu Datenschutzrisiken führen kann. Insbesondere aus dem Internet stammende Schadprogramme können für den Schutz personenbezogener Daten gefährlich werden. Zwar gibt es vereinzelt Schadprogramme, die PCs nur zum Abstürzen bringen oder dazu führen, dass Programme verlangsamt ausgeführt werden, jedoch ist das eher die Seltenheit. Die allermeisten Viren wurden dafür konzipiert, anderen einen Schaden zuzufügen und die Virenprogrammierer zu bereichern.

Die von Viren angerichteten Schäden können unterschiedlichster Natur sein. Zu den wichtigsten gehören folgende Aspekte:

  • Viren sind darauf programmiert, auf infizierten Rechnern und Systemen Daten zu sammeln. Dazu gehören unter anderem Passwörter, Kreditkartennummern oder Ausweisnummern. Auch andere Eingaben, die über die Tastatur gemacht werden, können von Viren ausgespäht werden.
  • Viren können auch dazu dienen, dass bestimmte Personen einen Onlinezugriff auf fremde PCs erhalten. Dies ermöglicht es Kriminellen, fremde PCs zu steuern und dort Befehle auszuführen. Viren dieser Art werden als „Server-Programme“ bezeichnet.
  • Andere Viren sind in der Lage, weitere schädliche Programme auf fremden PCs zu installieren und dafür zu sorgen, dass diese über sog. Einwählprogramme teure Telefonnummern anrufen. Dies führt zu hohen Kosten bei den Betroffenen.

Aus der Perspektive des Datenschutzes betrachtet, liegt der Schaden eines Virenbefalls damit hauptsächlich in einer teils massiven Verletzung der Vertraulichkeit personenbezogener Daten, die dann zu anderen Zwecken weiterverwendet werden können und nicht mehr im Kontrollbereich des Verantwortlichen sind. Aus diesem Grund stellt ein Virusbefall fast immer eine nach Art. 33 DS-GVO meldepflichtige Datenschutzverletzung dar. In vielen Fällen müssen nach Art. 34 DS-GVO auch diejenigen Personen über den Virusbefall informiert werden, deren Daten der Virus abgegriffen hat oder abgegriffen haben könnte.

Welche Datenschutzpflichten treffen Unternehmen bei Virenvorfällen?

Der Datenschutz erlegt Unternehmen unterschiedliche Pflichten vor und nach einem Virenvorfall auf. Unternehmen sind nach Art. 32 DS-GVO verpflichtet, mit technischen und organisatorischen Maßnahmen (TOMs) dafür zu sorgen, dass sowohl das Risiko für einen Virenbefall als auch dessen potenzieller Schaden minimiert wird. Zu diesen Maßnahmen gehören drei tragende Säulen:

  1. regelmäßige Mitarbeiterschulungen und Mitarbeitersensibilisierungen
  2. technische Schutzvorkehrungen
  3. ein Prozess zum Umgang mit Datenschutzverletzungen

Hat sich ein Mitarbeiter trotz aller Sicherheitsvorkehrungen und Schutzmaßnahmen einen Virus auf seinem PC eingefangen, ist schnelles Handeln gefragt. Am wichtigsten ist dann, das betroffene System sofort zu isolieren und vom restlichen Unternehmensnetzwerk zu trennen. Herkunft, Art und Folgen des Virusbefalls müssen exakt analysiert werden, um die bestehenden Datenschutzpflichten zu erfüllen. Bei fast jedem Virusbefall ist eine Meldung des Vorfalls an die zuständige Aufsichtsbehörde nach Art. 32 DS-GVO unumgänglich. Besteht durch den Virus eine Gefahr für andere Personen (z. B. durch abgegriffene Daten), sind zudem die betroffenen Personen nach Art. 34 DS-GVO zu informieren. Die Fristen für die Meldung und die Information sind dabei ausgesprochen kurz – sie sollen unverzüglich erfolgen. Für die Meldung bei der Aufsichtsbehörde bedeutet unverzüglich spätestens innerhalb von 72 Stunden.

Wie kann man sich vor Viren schützen?

Ein Virus ist für einen PC so ähnlich wie für Menschen eine Grippe – nur dass der Rechner nicht zum Arzt gebracht werden kann. Hier ist es umso wichtiger, diesen vor der Infektion zu schützen. Zwar gibt es keinen hundertprozentigen Schutz gegen Gefahren aus der Onlinewelt, jedoch können Nutzer einiges tun, um die Risiken weitestgehend einzuschränken. Ziel ist es, den Kriminellen und potenziellen Angreifern so wenig Angriffsfläche wie möglich zu bieten und es ihnen so schwer wie möglich zu machen. Zunächst gilt die Devise: egal ob beim Surfen oder bei der E-Mail-Kommunikation, erst schauen – dann klicken. Besondere Vorsicht ist geboten, wenn

  • sensible Daten verlangt werden.
  • dreiste Aufforderungen erfolgen.
  • äußerst lukrative Angebote vorliegen.
  • unseriöse Quellen hinter Anfragen stecken.
  • aus dem E-Mail-Text keine wirklichen Informationen zu entnehmen sind.

Aufgrund der Brisanz des Themas haben verschiedene öffentliche und nicht öffentliche Stellen, darunter mehrere Datenschutz-Aufsichtsbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik, Empfehlungen zum Schutz vor Schadsoftware und zu vorbeugenden Maßnahmen veröffentlicht. Bei diesen Empfehlungen handelt es sich zum einen um Basisanforderungen, die jedes Unternehmen treffen sollte („MUSS“). Zum anderen kommen je nach Schutzbedarf noch zusätzliche Maßnahmen hinzu, die nicht zwingend umgesetzt werden müssen, aber sollten („SOLL“).
Werden die folgenden Maßnahmen umgesetzt, erhöht sich dadurch die Sicherheit des PCs und das Risiko von Datenpannen wird reduziert.

Basics

Die hier genannten Maßnahmen sollten in jedem Fall von Unternehmen umgesetzt werden. Zwar garantieren diese Maßnahmen keinen vollständigen Schutz vor Viren, jedoch sinkt die Wahrscheinlichkeit eines Virenbefalls und die Verbreitung innerhalb des eigenen Netzwerks wird erschwert.

Erster und wichtigster Grundsatz: Halten Sie Ihre Software auf dem aktuellsten Stand. Hersteller von Betriebssystemen und Softwares bieten meist regelmäßige Updates für die jeweiligen Programme an. Diese dienen oftmals dazu, Sicherheitslücken im Betriebssystem oder in Anwendungen zu schließen und damit das System auf dem aktuellsten Stand zu halten. Damit Updates nicht unbemerkt bleiben und somit Sicherheitslücken entstehen, lohnt es sich in der Regel, die Funktion zur automatischen Aktualisierung zu nutzen. Zudem sollten jegliche Programme, die nicht benötigt werden, deinstalliert werden. Je weniger Software genutzt wird, desto geringer ist auch die Angriffsfläche für Cyberkriminelle.

Neben der Software muss auch der Virenschutz auf dem aktuellsten Stand gehalten werden. Die meisten Betriebssysteme enthalten standardmäßig einen Virenschutz und eine Firewall, denn beide dienen dazu, Angriffe aus dem Internet zu erschweren. Selbstverständlich kann auch ein Virenschutzprogramm eines anderen Anbieters verwendet werden. Hier sollte jedoch darauf geachtet werden, dass dieses Viren bereits erkennt, bevor sie sich durch Auffälligkeiten bemerkbar machen. Achtung: Eine Firewall und ein Virenschutz allein garantieren keine vollständige Sicherheit. Nur zusammen mit der Umsetzung der weiteren Maßnahmen kann die Gefahr eines Angriffs von außen verringert werden.

Vielen ist die Relevanz von unterschiedlichen Benutzerrechten nicht bewusst. Nistet sich ein Virus im PC ein, hat er die gleichen Rechte auf dem PC wie das Benutzerkonto, auf dem er aktiv wurde. Arbeitet man an einem PC nur mit einem einzigen Benutzerkonto, so hat der Virus automatisch auch alle Rechte. Damit einem dieses Fiasko erspart bleibt, sollte nur mit Administratorrechten gearbeitet werden, wenn dies unbedingt erforderlich ist. Es sollte stets vermieden werden, mit Administratorrechten im Internet zu surfen oder E-Mails abzurufen. Zudem sollten für jeden Benutzer unterschiedliche Benutzerkonten mit verschiedenen Passwörtern eingerichtet werden.

Für diesen Tipp ist das Mitdenken des Users gefragt. Jeder Nutzer sollte beim Surfen im Internet Vorsicht walten lassen. Dies gilt insbesondere für die Preisgabe von personenbezogenen Daten! Auch das Öffnen von Anhängen aus E-Mails mit unbekannten oder dubiosen Absendern sollte strikt vermieden werden.

Hat sich ein Virus trotz sämtlicher Schutzmaßnahmen eingenistet, gibt es meist nicht mehr viel zu retten. In solchen Situationen ist es hilfreich, wenn sich die Daten, einer Sicherheitskopie sei Dank, einfach wiederbeschaffen lassen. Darum gilt: regelmäßig Sicherheitskopien anfertigen. Diese dürfen natürlich nicht auf dem PC gespeichert sein, sondern sollten idealerweise auf externen Festplatten gesichert werden. Diese Festplatten sollten nur bei Bedarf mit dem PC verbunden werden. Achtung: Steht der Verdacht einer Virusinfektion im Raum, darf auf keinen Fall die externe Festplatte mit der Sicherheitskopie angeschlossen werden.

Ergänzende Maßnahmen

Die ergänzenden Maßnahmen dienen hauptsächlich dazu, den Cyberkriminellen weniger Angriffsfläche zu bieten. Zudem sorgen sie präventiv für mehr Sicherheit im Internet und versuchen mögliche negative Auswirkungen der Internetnutzung zu mindern.

Wie bereits bei der Software und dem Virenschutz gilt auch hier die Devise: Verwenden Sie einen aktuellen Webbrowser! Um Daten zu schützen, sollten auch Plug-ins und weitere Einstellungen – wie Cookies für Drittanbieter zulassen – deaktiviert werden. Außerdem empfiehlt es sich, ein Programm zum Blocken von Werbung zu verwenden, damit kein Virus über Werbeeinblendungen eingeschleust werden kann. Dies verringert die Speicherung von vertraulichen und personenbezogenen Daten. Zudem wird verhindert, dass das Surfverhalten der Person analysiert werden kann.

Bei der Wahl des richtigen Passworts tun sich viele Internetnutzer schwer. Dies erklärt auch, warum Passwörter wie das eigene Geburtsdatum oder 123456 in der Beliebtheitsskala ganz oben stehen. Doch genau bei diesen Passwörtern haben Kriminelle leichtes Spiel. Daher ist es wichtig, Passwörter zu wählen, die nicht sofort erraten werden können. Hier gilt der Grundsatz: je länger, desto besser. Sichere Passwörter sollten mindesten acht Zeichen haben und aus einem Mix von Buchstaben, Zahlen und Sonderzeichen bestehen. Doch genau hier liegt das Problem für viele Internetnutzer – sichere Passwörter sind schwer zu merken. Umso schwieriger, wenn für jeden Zugang unterschiedliche Passwörter und Nutzernamen verwendet werden sollen. Abhilfe für dieses Problem bieten sichere Passwortspeicher wie z. B. KeePass. Bei bestimmten Programmen ist es außerdem sinnvoll, eine 2-Faktor-Authentifizierung zu verwenden.

Müssen beim Surfen im Internet personenbezogene Daten übertragen werden, ist darauf zu achten, dass dies nur über eine verschlüsselte Verbindung geschieht. Eine verschlüsselte Verbindung erkennt man an dem vorangestellten https einer Webadresse. Hierbei handelt es sich um ein Kommunikationsprotokoll, mit dem Daten abhörsicher übertragen werden. Doch nicht nur im Internet sollte stets auf eine Verschlüsselung geachtet werden, sondern auch beim Versenden von E-Mails. Werden personenbezogene Daten versendet, so sollten diese auf jeden Fall nur verschlüsselt versendet werden. Dies gilt selbstverständlich auch für angehängte Dokumente, die personenbezogene Daten enthalten.

Große Vorsicht ist auch bei E-Mails mit Anhängen und beim Download von Programmen oder Dateien aus dem Internet geboten. Bevor blind irgendwelche E-Mail-Anhänge geöffnet werden und sich somit ein Virus breitmachen kann, sollte kontrolliert werden, von wem die Mail überhaupt stammt. Am besten prüft man den Absender und gleicht ab, ob dieser ein vertrauenswürdiger Kontakt ist. Ist dies nicht der Fall, sollte das Öffnen des Anhangs stets vermieden werden, denn Schadprogramme werden oft über in E-Mails integrierte Dateianhänge oder auch Bilder übertragen. Das Gleiche gilt für Downloads aus dem Internet – auch hier muss die Vertrauenswürdigkeit des Anbieters überprüft werden.

Zu guter Letzt gilt es, neben den genannten Maßnahmen noch eine weitere Fehler- bzw. Gefahrenquelle zu beachten – den Menschen. Auch wenn Unternehmen technisch alle möglichen Maßnahmen zur Vermeidung eines Virenbefalls und zur Eindämmung etwaiger Schäden getroffen haben, sind es doch deren Mitarbeiter, die in den Webbrowsern und mit den E-Mail-Programmen arbeiten. Deshalb ist es wichtig, Beschäftigte regelmäßig zu schulen und zu sensibilisieren. Wenn sie wissen, wo Gefahren lauern und worauf geachtet werden muss, vermindert dies die Wahrscheinlichkeit, dass infizierte Anhänge und Links geöffnet oder infizierte Dateien heruntergeladen werden. Damit im Falle eines Virusbefalls der Schaden und die Ausbreitung möglichst gering gehalten werden kann, sollten Mitarbeiter außerdem wissen, wie sie bei dem Verdacht einer Infektion vorgehen und wen sie informieren sollen.

Weder für die Umsetzung der Basics noch für die der ergänzenden Maßnahmen ist Fachwissen notwendig. Somit eignen sich die Vorgaben auch hervorragend für Laien und können von diesen einfach angewandt werden.