Stand: 13.10.2023
Sasser, Stuxnet, Nimda – was aussieht wie eine harmlose Aneinanderreihung von Buchstaben, kann in Wahrheit für Unternehmen ziemlich gefährlich werden. Bei den genannten Begriffen handelt es sich um drei der berüchtigtsten Computerviren. Viele Computer, egal ob privat oder geschäftlich genutzt, sind nicht ausreichend gegen die Risiken der Onlinewelt geschützt und somit ein gefundenes Fressen für Kriminelle. Diese infizieren ebensolche Rechner mit Viren und sorgen so für erhebliche Schäden mit gravierenden, teils existenzgefährdenden Folgen für die Betroffenen.
Häufig werden Daten gelöscht, ausspioniert oder verschlüsselt, Onlinebanking-Transaktionen zugunsten der Kriminellen manipuliert oder Bestellungen im Namen der Betroffenen getätigt. Teilweise werden sogar die infizierten PCs für Cyberangriffe auf andere Personen oder Unternehmen eingesetzt – ein finanzielles und datenschutzrechtliches Fiasko für betroffene Unternehmen. Ein solider Schutz ist daher sowohl auf technischer Seite als auch auf menschlicher Ebene essenziell.
Was ist ein Computervirus?
Unter einem Computervirus versteht man ein sich selbst verbreitendes und reproduzierendes Computerprogramm, das jedoch zur Ausführung ein Wirtsprogramm benötigt und meist Bösartiges im Sinn hat. Dieses Computerprogramm verursacht absichtliche Manipulationen an anderen Programmen und fremden Daten. Ist ein Computervirus erst einmal in Aktion, kann er zu Veränderungen am Betriebssystem oder sogar zu Schäden an der Hardware führen. Da Computerviren die Computersicherheit dadurch beeinträchtigen, ist mit diesen Gefährten nicht zu spaßen. Typische Folgen von Computerviren sind Datenverluste und -verschlüsselungen, die nicht nur im Hinblick auf den Datenschutz ausgesprochen unangenehm sind.
Die Übertragung eines Computervirus kann auf unterschiedlichen Wegen passieren, z. B. durch USB-Sticks, E-Mails oder durch Downloads aus dem Internet. Viren werden erst aktiv, wenn das betroffene Programm ausgeführt wird. Erhält man also eine E-Mail mit virenverseuchtem Anhang, ist der Virus so lange inaktiv, bis der Anhang geöffnet und die darin enthaltenen Makros aktiviert werden. Der Computervirus wird auch deshalb als Virus bezeichnet, da er aufgrund seiner Reproduzierbarkeit dem biologischen Abbild ähnelt.
Wie Viren dem Datenschutz gefährlich werden können
Wer das Internet nutzt, sollte sich darüber im Klaren sein, dass dies zu Datenschutzrisiken führen kann. Insbesondere aus dem Internet stammende Schadprogramme können für den Schutz personenbezogener Daten gefährlich werden. Zwar gibt es vereinzelt Schadprogramme, die PCs nur zum Abstürzen bringen oder dazu führen, dass Programme verlangsamt ausgeführt werden, jedoch ist das eher die Seltenheit. Die allermeisten Viren wurden dafür konzipiert, anderen einen Schaden zuzufügen und die Virenprogrammierer zu bereichern.
Die von Viren angerichteten Schäden können unterschiedlichster Natur sein. Zu den wichtigsten gehören folgende Aspekte:
- Viren sind darauf programmiert, auf infizierten Rechnern und Systemen Daten zu sammeln. Dazu gehören unter anderem Passwörter, Kreditkartennummern oder Ausweisnummern. Auch andere Eingaben, die über die Tastatur gemacht werden, können von Viren ausgespäht werden.
- Viren können auch dazu dienen, dass bestimmte Personen einen Onlinezugriff auf fremde PCs erhalten. Dies ermöglicht es Kriminellen, fremde PCs zu steuern und dort Befehle auszuführen. Viren dieser Art werden als „Server-Programme“ bezeichnet.
- Andere Viren sind in der Lage, weitere schädliche Programme auf fremden PCs zu installieren und dafür zu sorgen, dass diese über sog. Einwählprogramme teure Telefonnummern anrufen. Dies führt zu hohen Kosten bei den Betroffenen.
Aus der Perspektive des Datenschutzes betrachtet, liegt der Schaden eines Virenbefalls damit hauptsächlich in einer teils massiven Verletzung der Vertraulichkeit personenbezogener Daten, die dann zu anderen Zwecken weiterverwendet werden können und nicht mehr im Kontrollbereich des Verantwortlichen sind. Aus diesem Grund stellt ein Virusbefall fast immer eine nach Art. 33 DS-GVO meldepflichtige Datenschutzverletzung dar. In vielen Fällen müssen nach Art. 34 DS-GVO auch diejenigen Personen über den Virusbefall informiert werden, deren Daten der Virus abgegriffen hat oder abgegriffen haben könnte.
Welche Datenschutzpflichten treffen Unternehmen bei Virenvorfällen?
Der Datenschutz erlegt Unternehmen unterschiedliche Pflichten vor und nach einem Virenvorfall auf. Unternehmen sind nach Art. 32 DS-GVO verpflichtet, mit technischen und organisatorischen Maßnahmen (TOMs) dafür zu sorgen, dass sowohl das Risiko für einen Virenbefall als auch dessen potenzieller Schaden minimiert wird. Zu diesen Maßnahmen gehören drei tragende Säulen:
- regelmäßige Mitarbeiterschulungen und Mitarbeitersensibilisierungen
- technische Schutzvorkehrungen
- ein Prozess zum Umgang mit Datenschutzverletzungen
Hat sich ein Mitarbeiter trotz aller Sicherheitsvorkehrungen und Schutzmaßnahmen einen Virus auf seinem PC eingefangen, ist schnelles Handeln gefragt. Am wichtigsten ist dann, das betroffene System sofort zu isolieren und vom restlichen Unternehmensnetzwerk zu trennen. Herkunft, Art und Folgen des Virusbefalls müssen exakt analysiert werden, um die bestehenden Datenschutzpflichten zu erfüllen. Bei fast jedem Virusbefall ist eine Meldung des Vorfalls an die zuständige Aufsichtsbehörde nach Art. 32 DS-GVO unumgänglich. Besteht durch den Virus eine Gefahr für andere Personen (z. B. durch abgegriffene Daten), sind zudem die betroffenen Personen nach Art. 34 DS-GVO zu informieren. Die Fristen für die Meldung und die Information sind dabei ausgesprochen kurz – sie sollen unverzüglich erfolgen. Für die Meldung bei der Aufsichtsbehörde bedeutet unverzüglich spätestens innerhalb von 72 Stunden.
Wie kann man sich vor Viren schützen?
Ein Virus ist für einen PC so ähnlich wie für Menschen eine Grippe – nur dass der Rechner nicht zum Arzt gebracht werden kann. Hier ist es umso wichtiger, diesen vor der Infektion zu schützen. Zwar gibt es keinen hundertprozentigen Schutz gegen Gefahren aus der Onlinewelt, jedoch können Nutzer einiges tun, um die Risiken weitestgehend einzuschränken. Ziel ist es, den Kriminellen und potenziellen Angreifern so wenig Angriffsfläche wie möglich zu bieten und es ihnen so schwer wie möglich zu machen. Zunächst gilt die Devise: egal ob beim Surfen oder bei der E-Mail-Kommunikation, erst schauen – dann klicken. Besondere Vorsicht ist geboten, wenn
- sensible Daten verlangt werden.
- dreiste Aufforderungen erfolgen.
- äußerst lukrative Angebote vorliegen.
- unseriöse Quellen hinter Anfragen stecken.
- aus dem E-Mail-Text keine wirklichen Informationen zu entnehmen sind.
Aufgrund der Brisanz des Themas haben verschiedene öffentliche und nicht öffentliche Stellen, darunter mehrere Datenschutz-Aufsichtsbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik, Empfehlungen zum Schutz vor Schadsoftware und zu vorbeugenden Maßnahmen veröffentlicht. Bei diesen Empfehlungen handelt es sich zum einen um Basisanforderungen, die jedes Unternehmen treffen sollte („MUSS“). Zum anderen kommen je nach Schutzbedarf noch zusätzliche Maßnahmen hinzu, die nicht zwingend umgesetzt werden müssen, aber sollten („SOLL“).
Werden die folgenden Maßnahmen umgesetzt, erhöht sich dadurch die Sicherheit des PCs und das Risiko von Datenpannen wird reduziert.
Basics
Die hier genannten Maßnahmen sollten in jedem Fall von Unternehmen umgesetzt werden. Zwar garantieren diese Maßnahmen keinen vollständigen Schutz vor Viren, jedoch sinkt die Wahrscheinlichkeit eines Virenbefalls und die Verbreitung innerhalb des eigenen Netzwerks wird erschwert.
Ergänzende Maßnahmen
Die ergänzenden Maßnahmen dienen hauptsächlich dazu, den Cyberkriminellen weniger Angriffsfläche zu bieten. Zudem sorgen sie präventiv für mehr Sicherheit im Internet und versuchen mögliche negative Auswirkungen der Internetnutzung zu mindern.
Weder für die Umsetzung der Basics noch für die der ergänzenden Maßnahmen ist Fachwissen notwendig. Somit eignen sich die Vorgaben auch hervorragend für Laien und können von diesen einfach angewandt werden.