Seit Anfang Dezember 2020 kursieren Nachrichten zu einem massiven Cyberangriff, von dem rund 18.000 Unternehmen und Regierungsbehörden betroffen sind. Darunter sind auch deutsche Behörden. Der Cyberangriff hat das Potential zum größten Cyberangriff der IT-Geschichte zu werden. Allerdings sind die Untersuchungen noch nicht abgeschlossen und die Lage nicht ganz einfach zu überblicken. Der Beitrag arbeitet den aktuellen Stand der Untersuchung auf und stellt einen Ablauf der bisherigen Ereignisse dar.
Möchte man als Unternehmen, Krankenhaus, Behörde oder Verein Informationssicherheit umsetzen, dann geht kein Weg vorbei an „Informationssicherheitsmanagement“. Die grundlegende Erkenntnis, wonach Informationssicherheit kein Zustand, sondern ein Prozess ist, bedeutet in der Praxis, dass es nicht mit einer einmaligen Anstrengung getan ist. Dies mag zunächst verwundern, würde man doch annehmen, dass es bei der Informationssicherheit darum geht, die IT richtig, d. h. „sicher“ einzustellen und diese Einstellung dauerhaft beizubehalten. Gleich einer Burg, die man errichtet und in der man fortan vor Angriffen sicher ist.
Mit Urteil vom 16. Juli 2020 hat der EuGH in der Rechtssache „Schrems II“ entschieden, dass das sog. EU-US Privacy Shield, auf Grundlage dessen ein Großteil der Datentransfers zwischen der EU und den USA abgewickelt wurde, rechtswidrig ist. Mit teilweise identischer Begründung wie im „Schrems I“-Urteil aus 2015 in Bezug auf Safe Harbor urteilte das Gericht, dass das Privacy Shield kein angemessenes Schutzniveau für die Daten der EU-Bürgerinnen biete: weitreichende Überwachungsbefugnisse der US-Geheimdienste in der einen, keine Rechtsschutzmöglichkeiten in der anderen Seite der Waagschale – das Privacy Shield als Angemessenheitsbeschluss der EU-Kommission war seit jeher ein Feigenblatt und für Experten war klar, dass es wie das Safe Harbor-Abkommen für unwirksam erklärt werden würde. Der Grundkonflikt zwischen den durch das europäische Recht verbürgten Datenschutzrechten und den weitreichenden Überwachungsbefugnissen der US-Geheimdienste ist also final eskaliert. Ob und wie dieser im Kern politische Konflikt gelöst werden wird, ist derzeit überhaupt nicht absehbar. Klar ist nur, dass Unternehmen einmal mehr mit großer Rechtsunsicherheit umgehen müssen. Wie Sie in dieser Situation dennoch Ihr Bußgeld- und Schadensersatzrisiko minimieren können, soll im Folgenden skizziert werden.
SZ und Spiegel berichteten, dass der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Hasse, geäußert habe, Bußgelder wegen Datenschutzverstößen gegen Lehrerinnen seien möglich und würden aktuell geprüft. Wegen der „Verwendung von nicht sicherer Software“ oder „dass Daten fließen über Kanäle, die nicht sicher sind".
Nachdem die Bundesregierung, vielleicht zum ersten Mal in der Geschichte der Bundesrepublik dem Rat des CCC in einer wichtigen digitalpolitischen Entscheidung folgend, auf den „dezentralen Ansatz“[1] umgeschwenkt war, ging alles ganz schnell: SAP und Telekom zimmerten die App schnell zusammen – wegen der großen Transparenz des Entstehungsprozesses unter dem Applaus der Netz-/Nerdgemeinde.