Datenschutz der DSGVO und IT-Forensik

Zusammenhang zwischen Datenschutz der DSGVO und IT-Forensik

Jeder kennt die Forensik aus der Kriminalistik als eine akribische, fachmännische Untersuchung des Tatorts und des Opfers, nachdem ein Verbrechen stattgefunden hat. Es geht darum, anhand kleinster Spuren Täter zu ermitteln und daraus eine lückenlose Beweiskette zu erstellen, die vor Gericht Bestand hat.

In der IT-Forensik, digitale Forensik oder auch Cyber Forensik genannt, geht es letztlich um nichts Anderes. Sie wird eingesetzt, um Kriminalität mit Schwerpunkt IT aufzudecken, aber auch, um Störungen oder Fehlfunktionen von IT-Infrastrukturen zu analysieren und aufzuklären. Dabei wird ein kompromittiertes IT-System nach einem Sicherheitsvorfall genauestens untersucht, um gerichtsverwertbare Beweise zu sichern. Ziel IT-forensischer Untersuchung ist die Antwort darauf zu finden, wann, wo, welche und auf welche Weise (personenbezogene) Informationen manipuliert werden konnten. Dazu werden sämtliche digitale Spuren – beispielsweise Downloads, verwendete Software­programme, Dateizugriffe und durchgeführte Löschungen sowie die Browsernutzung – von den IT-Forensikern gesichert. Auf die gesammelten Daten wird an­schließend ein detailliertes, methodisch ablaufendes Analyseverfahren angewandt, um verwertbare Beweise für Straftaten zu finden und sie eindeutig der verantwortlichen Person(en) zuordnen zu können. Aufgrund des kontinuierlichen Anstieges der Cyberkriminalität wird die IT-Forensik in Zukunft mehr an Bedeutung gewinnen, um Kriminellen, die das Internet als Waffe einsetzen, das Handwerk zu legen.

 

Die Analysemethoden der IT-Forensik lassen sich auch auf mobile Endgeräte – wie Laptops, Tablets oder Smartphones – übertragen. Sie helfen bei der nachträglichen Aufklärung eines Verstoßes gegen die Maßgaben der IT-Sicherheit bzw. um mögliche Straftaten von mobilen Endgeräten aus auf die Spur zu kommen.

Relevanz der IT-Forensik für die Einhaltung der EU-DSGVO

Der Zusammenhang zwischen der EU-DSGVO und der IT-Forensik liegt also bei der Gerichtsverwert­barkeit von Beweisen. Während die IT-Forensik digitale Spuren bei IT-Sicherheitsvorfällen sammelt, analysiert, sichert sowie gerichtsverwertbar aufbereitet, brauchen Unternehmen, denen ein Verstoß gegen die EU-DSGVO vorgeworfen wird, ebendiese Beweise, um sich bei einer möglichen Gerichtsverhandlung verteidigen zu können. Digitale Spuren sollen nachweisen, dass das Unter­nehmen durchgehend allen notwendigen Pflichten des Schutzes von personenbezogenen Daten im Sinne der EU-DSGVO nachgekommen ist. Dabei können nur gerichtsverwertbare Beweise als Beleg für den einwandfreien Umgang mit personenbezogenen Daten eingesetzt werden. Liegen diese vor, können Unternehmen einer Verurteilung und damit einer Strafzahlung entgehen.

Wird ein Unternehmen Opfer einer Hacking- oder Phishing-Attacke, bei denen personenbezogene Daten von Kunden, Partnern oder Mitarbeitern entwendet wurden, muss es trotzdem die Anfor­derungen der EU-DSGVO erfüllen. Laut Artikel 33 Absatz 1 EU-DSGVO bedeutet dies für Unterneh­men, dass sie alle Sicherheits­verletzungen, die perso­nen­bezogene Daten betreffen, den Behörden des Datenschutzes und den Betroffenen unverzüglich, spätestens jedoch nach 72 Stunden anzeigen müssen. Zusätzlich unterliegen sie strengen Dokumentations­pflichten. Unternehmen müssen lückenlos nachweisen können, dass sie den Schutz personenbezogener dauerhaft gewährleisten konnten. Verstreicht diese Frist ohne entsprechende Meldung, werden Bußgelder verhängt.

In der Meldung an zuständige Datenschutzbehörden müssen Antworten auf die folgenden Fragen gegeben werden:

  • Wie viele Personen sind betroffen und welche personenbezogenen Daten wurden gestohlen oder missbraucht?
  • Was ist die Ursache und mit welcher Absicht wurde der Angriff gestartet?
  • Wie haben sich die Angreifer Zugriff verschafft und wo ist der Ursprung zu finden?
  • Kann das realistische Risiko für Betroffene abgeschätzt werden?

Hier kommt die wohl wichtigste Änderung der EU-DSGVO zum Tragen – dem Wechsel der Beweislast von der geschädigten Person zum Unternehmen. Im alten Bundesdatenschutzgesetz (BDSG-alt) trugen Ge­schädigte die Beweislast für einen Verstoß gegen das Datenschutzrecht. Diese liegt nun bei beschuldigten Unternehmen und öffentlichen Stellen. Nach der geltenden EU-DSGVO müssen diese jederzeit nachweisen können, alles getan zu haben, um die Sicherheit der personenbezogenen Daten von Kunden, Partnern oder Mitarbeitern zu gewährleisten.

Um dieser Beweispflicht nachzukommen – und so ein Fremdverschulden nachzuweisen, für die sie nicht haftbar gemacht werden können – müssen die benannten digitalen Spuren für einen Angriff nachweis­bar sein. Wenn es aufgrund einer möglicher Datenschutzverletzungen zur Anklage kommt, müssen gerichtsverwertbare Spuren nachgewiesen werden können, um die Unschuld zu bekräftigen.
Einen Leitfaden für IT-Forensik des Bundesministeriums für Informationssicherheit (BSI) finden Sie hier: Leitfaden IT-Forensik des BSI

„Forensic Readiness“, um besser vorbereitet zu sein

Die Aktivität von Cyberkriminalität und Datenmissbrauch – sowohl von außen, aber immer häufiger auch innerhalb eines Unternehmens – wird zunehmen. Selbst die besten Maßnahmen zur Vermeidung von IT-Sicherheitsvorfällen, beispielsweise eine Erhöhung der Sicherheitsinvestitionen und eine Moder­nisierung der IT-Sicherheit sind nicht unfehlbar. Eine 100%ige Sicherheit wird es nie geben. Immer wieder werden Hacker Mittel und Wege finden, um IT-Infrastrukturen eines Unternehmens anzugreifen, Informationen zu manipulieren oder missbräuchlich zu verwenden.

Organisationen – besonders Unternehmen, die viel mit sensiblen personenbezogenen Daten umgehen oder bereits Opfer eines IT-Sicherheitsvorfalls geworden sind – sollten neue Sicher­heitsmaß­nahmen und -strategien entwickeln oder bereits vorhandene Maßnahmen optimiert werden. Ziel muss es sein, bei einem IT-Sicherheitsvorfall schnell reagieren und handeln zu können. Die „Forensic Readiness“ ist die Fähigkeit eines Unternehmens, das Potential der digitalen Beweismittel für sich zu nutzen, wodurch sich Kosten einer Untersuchung reduzieren lassen. Sie spielt eine vorbeugende Rolle bei der Absicherung des Unternehmens gegen Angriffe auf die IT-Infrastruktur, beispielsweise durch das klassische Hacking, aber auch durch die Unachtsamkeit der Mitarbeiter oder Sabotage. Solche IT-Sicherheits­vorfälle können zu gerichtlichen Aus­einandersetzungen oder Ansprüchen gegenüber Versicherungen führen, für die Beweise vorgelegt werden müssen. Ein Beitrag zu einem kürzlichen Vorfall zum Thema Erpressersoftware finden Sie hier: Erpressersoftware verbreitet Angst und Schrecken

Die Implementierung der „Forensic Readiness“ im Unternehmen erfolgt in zwei Stufen und sollte aufgrund der intensiven Analysetätigkeiten immer von einem Fachmann durchgeführt werden. In einer kurzen Aufstellung wird der Prozess genauer skizziert:

Phase 1 – Erstellung der Ist-Analyse

Anfänglich ist es notwendig, dass die IT-Landschaft umfassend analysiert wird. Fokus sind implementierte Richtlinien und Prozessen im Umgang mit Verlet­zungen der IT-Sicherheit. Ziel ist es, die technischen und organisatorischen Strukturen innerhalb des Unternehmens zu analysieren und abzuschätzen, wie schnell eine Reaktion auf sicherheitsrele­vante Vorfälle erfolgen könnte.

Phase 2 – Optimierung der Abläufe und Prozesse

Auf Basis der ermittelten Daten und Prozesse wird nach Optimierungspotential gesucht. Es geht darum, einen wirkungsvollen und individuellen Maßnahmenplan zu entwickeln. Ziel ist es, die bestehenden Maßnahmen zu optimieren und sinnvoll zu ergänzen. Dazu gehören sowohl technische als auch organisatorische Richtlinien, Checklisten oder Maßgaben. Sie legen fest, wie bei einem IT-Sicherheitsvorfall zu reagieren ist, um kurzfristig richtige Schritte einleiten zu können. Sinnvoll sind Sensibilisierungsmaßnahmen der Mitarbeiter für den Ernstfall.

Unternehmen, die die Prozesse zur Sicherung der „Forensic Readiness“ einsetzen, gelingt zumeist, die IT-Sicherheitsvorfälle zu verringern. Sie sind bei Angriffen optimal vorbereitet und können ihren Aktionsplan so weit optimieren, dass es ihnen gelingt, im Ernstfall besser, schneller und genauer reagieren zu können. So gehen IT-Sicherheit und IT-Forensik Hand in Hand.

Weitere Informationen zur Datenschutzfolgenabschätzung finden Sie hier: Wann muss eine Datenschutzfolgenabschätzung durchgeführt werden?