Stand: 17.11.2023

Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung – auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen.

Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die relevant für datenschutzrechtliche Fragestellungen sind, wie Datenpannen bei einem IT-Dienstleister mit mehr als 72 Kommunen in Nordrhein-Westfahlen als Kunden, der Uniklinik Frankfurt, das KaDeWe und weitere Datenpannen auch in Australien.

Cyberangriff auf großen Hafenbetreiber in Australien

Am 10. November 2023 kam es zu einem Hackerangriff auf den Hafenbetreiber DP World, der fast 40 Prozent der Warenimporte und -exporte Australiens abwickelt. Aufgrund der „unbefugten Zugriffe“ wurde die Internetverbindung der Umschlagterminals in den Hafenstädten Sydney, Melbourne, Brisbane und Fremantle unterbrochen. Es ist trotzdem möglich, die Fracht von den Schiffen zu entladen, sie kann aber nicht weiter transportiert werden. Die Trennung des Computersystems vom Internet und die daraus folgenden Auswirkungen auf den Betrieb werden nach Einschätzung von DP World in jeden Fall noch mehrere Tage andauern. DP World untersucht die Art des Datenzugriffs und prüft, ob personenbezogene Daten betroffen sind. In diesen Fall sind neben den Experten von DP World auch Experten der australischen Regierung eingebunden, die Bundespolizei hat die Ermittlungen aufgenommen.

Cyberattacke auf das Berliner Luxuskaufhaus KaDeWe

Bereits in der Nacht vom 02. November 2023 auf den 03. November 2023 kam es zu einem Cyberangriff auf die Online-Präsenz des KaDeWe. Dieser Angriff konnte aber nach Auskunft der Leitung des Kaufhauses abgewehrt werden. Aus Sicherheitsgründen wurden über das Wochenende alle IT-Systeme der KaDeWe-Group in einen Offline-Notbetrieb versetzt, sodass die Kunden in den Geschäften der KaDeWe-Group, zu denen auch das Alsterhaus in Hamburg und das Kaufhaus Oberpollinger in München gehören, das gesamte Wochenende nur mit Bargeld bezahlen konnten, da die Zahlungssysteme ausgefallen waren. Ob und in welchem Umfang möglicherweise Daten abgeflossen sind, ist bisher noch nicht bekannt. Spezialisten des Landeskriminalamtes haben die Ermittlungen aufgenommen. Angeblich ist für diesen Cyberangriff auf das KaDeWe die russische Hackergruppe „Play“ verantwortlich. Inzwischen wurde der Offline-Notbetrieb in den Geschäften wieder aufgehoben und der Betrieb läuft derzeit nur noch mit wenigen Beeinträchtigungen, wobei auch Online-Bezahlen kein Problem mehr darstellt.

Hackerangriff auf japanischen Fahrradteilehersteller Shimano

Auf Shimano, den weltweit größten Hersteller für Fahrradteile, hat am 02. November 2023 ein Hackerangriff durch die russische Ransomware-Bande Lockbit stattgefunden. Nachdem Shimano die Zahlungsfrist der Cyberkriminellen verstreichen ließ, haben diese angekündigt über 4,5 TB Daten im Darknet zu veröffentlichen. Bei diesen Dateien handelt es sich um verschiedenste Firmendaten, insbesondere finanzielle Dokumente, Kundendaten, verschiedenste Korrespondenz und Gesprächsnotizen, aber auch vertrauliche Zeichnungen und Diagramme. Aus Japan gibt es bisher keine offizielle Stellungnahme, es sind weder auf der Website von Shimano noch bei der US-Börsenaufsicht SEC Bestätigungen erfolgt.

Cyberattacke auf Südwestfahlen IT

Am 30. Oktober 2023 wurde der IT-Dienstleister Südwestfahlen IT Opfer einer Ransomware-Attacke, bei der Daten exfiltriert und anschließend verschlüsselt wurden. Aufgrund des Angriffs hat das Unternehmen sämtliche Server heruntergefahren. Dies führte dazu, dass seit Wochen die Dienstleistungen von mehr als 72 Kommunen in Nordrhein-Westfalen auf einen Streich lahmgelegt sind. Das bedeutet konkret, dass beispielsweise das neue Auto nicht angemeldet, der Führerschein nicht abgeholt, die Geburtsurkunde nicht erstellt oder der neue Personalausweis nicht beantragt werden kann, denn die Bürgerbüros sind komplett geschlossen. Betroffen sind die IT-Infrastruktur im Kreis Olpe, im Kreis Siegen-Wittgenstein, im Märkischen Kreis, im Hochsauerlandkreis und im Kreis Soest. Zusammen mit externen IT-Forensikern und den Cybercrime-Ermittlern der zentralen Cybercrime-Einheit ZAC NRW der Staatsanwaltschaft Köln wurden umgehend Untersuchungen eingeleitet, um das Ausmaß und die Details des Angriffs zu analysieren. Es ist nicht von einer raschen Rückkehr zur Normalität auszugehen, es gebe aber Hoffnung, dass einige öffentliche Dienstleistungen bald zumindest behelfsweise wieder verfügbar seien. Es handelt sich zwar nicht um den ersten Hackerangriff auf die öffentliche Infrastruktur in Deutschland, stellt aber einen der weitreichendsten dar.

Cyberangriff auf das Universitätsklinikum Frankfurt am Main

Am 6. Oktober 2023 stießen Mitarbeiter des Universitätsklinikums Frankfurt am Main im Rahmen einer Routineüberprüfung auf einen unberechtigten Zugriffsversuch, der auf einen möglichen Hackerangriff hindeutete. Am nächsten Tag wurde das gesamte Klinikum aus Sicherheitsgründen vom Internet getrennt. Seit diesem Zeitpunkt ist die normale Homepage offline, es gibt lediglich eine Seite mit Kontaktdaten der unterschiedlichen Abteilungen. Außerdem sind die E-Mail-Server nicht erreichbar. Das Krankenhaus ist aber telefonisch erreichbar und auch interne IT-Systeme funktionieren. Im Zuge dieses Vorfalls wurden sowohl die Strafverfolgungsbehörden als auch die Datenschutzaufsichtsbehörden eingeschaltet und es wurde ein Krisenstab aus internen und externen IT-Experten gebildet. Die positive Nachricht ist, dass die Hacker keine Daten stehlen oder verschlüsseln konnten und die Patientenversorgung normal weiter läuft. Allerdings muss nach diesem Angriff die komplette IT neu aufgesetzt werden, was noch Monate dauern wird. Erst dann kann alles wieder wie gewohnt laufen.

Hackerangriff auf die Hotelkette Motel One

Die Hotelkette Motel One wurde am 30. September 2023 Opfer eines Hackerangriffs der Hacker-Gruppe ALPHV. Bei diesem Angriff erbeuteten die Cyberkriminellen 24 Millionen Dateien im Umfang von 6 TB. Enthalten sind in diesen Dateien fast vollständige Übernachtungslisten der vergangenen Jahre seit 2016 inkl. privaten Rechnungsadressen, Kreditkartendaten und Geburtsdaten von Kunden. Auch interne Geschäftszahlen und einige Handynummern von Mitarbeitern sind im Darknet zu finden. Nachdem zunächst nur wenige Daten von den Hackern veröffentlicht wurden, haben diese – nachdem die gestellte Zahlungsfrist abgelaufen war – nun über 5 TB Daten im Darknet veröffentlicht. Die Leitung der Motel One Kette teilte mit, dass der Vorfall von IT-Sicherheitsexperten untersucht wird und Strafanzeige gestellt wurde. Bei der Untersuchung wird aus Datenschutzsicht besonders interessant sein, warum die Übernachtungsdaten auf sogenannten Notfall-Listen, die Hotel der Kette täglich anlegen, seit mehreren Jahren gespeichert und nie gelöscht wurden.

Unternehmen wünschen sich mehr Hilfe beim Thema Cybersicherheit

Unternehmen werden immer häufiger Opfer von Cyber-Attacken und dabei ist es egal, ob es sich um ein großes oder ein kleines Unternehmen handelt. Nach einer aktuellen Umfrage der Industrie- und Handelskammer (IHK) München und Oberbayern unter 550 bayerischen Unternehmen wünscht sich ein Großteil dieser Unternehmen mehr Hilfe beim Schutz gegen Cyberangriffe. Im Rahmen dieser Umfrage wurde klar, dass sich 75 Prozent der befragten Unternehmen Unterstützung von Staat, IHK oder anderen Organisationen wünschen. Hierzu gehören beispielsweise mehr Informationen zu den gesetzlichen Anforderungen im Sicherheits- und Datenschutzbereich sowie organisatorische Unterstützung, etwa in Form von Risikoanalysen, Weiterbildung oder Notfallhilfe.

Im Rahmen dieser Umfrage wurde deutlich, dass die IT-Sicherheit der bayerischen Unternehmen sehr gering ist. So gaben zwar 95 Prozent der befragten Unternehmen an, ihre Daten regelmäßig durch Backups zu sichern, aber weniger als 50 Prozent verfügen über einen IT-Notfallplan. Nur 60 Prozent der Unternehmen führen Risikoanalysen und Mitarbeiterschulungen zur Cybersicherheit durch.

In diesem Zusammenhang sind Risikoscans und -analysen ein wichtiger Baustein bei der Prävention von Cyber-Angriffen. Hierzu sollte bei der IT-Sicherheit auf externe Dienstleister zurückgegriffen werden, die hierauf spezialisiert sind.

ChatGPT aus Datenschutzsicht höchst umstritten

Momentan kommt man an dem Thema ChatGPT fast nicht vorbei. Bei diesem Programm, das erst im November 2022 veröffentlicht wurde, handelt es sich um einen Chatbot, der als Sprachmodell auf einer Künstlichen Intelligenz (KI) basiert, die mittels Deep Learning trainiert wurde. Daher kann der Bot große Datenmengen auswerten, um seine Sprachfähigkeit zu verbessern. Er kann beispielsweise Fragen beantworten, Reden ausarbeiten, Briefe schreiben und Geschichten erzählen – allerdings wird bereits jetzt vor Datenschutz- und Datensicherheitslücken gewarnt.

ChatGPT nimmt von seinen Nutzern vielfältige Daten auf, speichert und verarbeitet diese, um sich selbst zu trainieren. Dafür werden die Daten in die USA übermittelt und dort auf Servern gespeichert, was datenschutzrechtlich bedenklich ist. Aufgrund der Intelligenz dieses Bots haben Betrüger nun beispielsweise die Möglichkeit, perfekt formulierte Phishing-Mails zu verfassen, die von den potenziellen Opfern bisher noch aufgrund der Menge von Rechtschreibfehlern oder ungewöhnlichen Formulierungen erkannt wurden. Grundsätzlich raten Experten dazu, dieses Programm ausschließlich für private Anfragen zu nutzen. Sobald es um Wirtschaft oder sicherheitsrelevante Bereiche geht, sollte auf dessen Nutzung verzichtet werden.