Binnen 24 Stunden müssen Telekommunikationsbetreiber und IT-Dienstleister die Behörden von Hackerattacken informieren, ihre Kunden in bestimmten Fällen auch. Das regelt eine neue EU-Verordnung.
Je mehr die Menschen vom Internet abhängen, umso mehr verlassen sie sich darauf, dass es auch sicher ist“, sagte EU-Kommissarin Neelie Kroes, als sie im Februar dieses Jahres den Cyber-Sicherheitsplan in Brüssel präsentierte. „Es ist höchste Zeit für ein koordiniertes Vorgehen, denn die Kosten des Nichtstuns sind weitaus höher als die des Handelns.“
Gehandelt hat die EU-Kommission mittlerweile. Sie erließ am 24.Juni die Verordnung Nr. 611/2013, die damals ob der beginnenden Sommerferien weitgehend unbeachtet blieb. Sie regelt, was Telekommunikationsbetreiber und Anbieter von Internetdiensten im Falle des Verlusts, Diebstahls oder der sonstigen missbräuchlichen Verwendungenihrer Kundendaten zu tun haben. Die Verordnung (VO) ist in allen Mitgliedstaaten unmittelbar anwendbar und trat am 25.August in Kraft. Nicht alle in der Branche sind über das neue Regelwerk erfreut. Die Bitcom, der deutsche Bundesverband der Informationsbranche, äußerte sich schon skeptisch, als sie von dem Vorhaben Kroes' erfuhr. Müssten künftig Unternehmen jeden IT-Angriff melden, wäre neben dem bürokratischen Aufwand auch ein Imageschaden zu befürchten, kritisiert die Bitcom.
„Die Vorgaben der EU-Kommission sind im Detail sehr streng“, sagt der Anwalt und IT-Rechtsexperte Günther Leissler. „Ich glaube nicht, dass sich alle Betreiber elektronischer Telekommunikationsdienste, vor allem kleinere, tatsächlich bewusst sind, was sie im Ernstfall nun alles bewerkstelligen müssen.“ Die VO sieht nämlich vor, dass bei einer Verletzung des Schutzes personenbezogener Daten – wie das bei einem Hackerangriff der Fall ist – binnen 24 Stunden die zuständige nationale Behörde erstmals zu informieren ist. Der Behörde ist in insgesamt 17 Punkten unter anderem darzulegen, welche Daten betroffen sind und welche Maßnahmen das Unternehmen bisher ergriffen hat beziehungsweise noch ergreifen wird. Zusätzlich muss es noch selbst prüfen, ob auch die betroffenen Kunden zu benachrichtigen sind, und zwar nach Parametern, die von der EU-Kommission vorgegeben werden. „In dieser Drucksituation sind Unternehmen ohnehin gefordert, die technischen Probleme in den Griff zu bekommen. Nun müssen sie in kurzer Zeit auch den rechtlichen Vorgaben entsprechen. Gleichzeitig sollten sie auch intern festlegen, wie die Kommunikation nach außen aussehen soll“, so Leissler.
Und die 24-Stunden-Frist beginnt zu laufen, sobald das Unternehmen festgestellt hat, dass etwas Planwidriges mit den Kundendaten passiert ist. Da kann etwa an einem Samstagvormittag ein Mitarbeiter ein nebuloses Mail in seinem Postkasten vorfinden, dessen Inhalt ihn aufschrecken lässt. Oder ein Anrufer meldet sich bei der Service-Hotline des Betreibers und teilt mit, dass Daten seiner Kunden im Netz zu finden sind. „Immer wieder brüsten sich auch Hacker in Internetforen mit einer ,Erfolgsmeldung‘. Deshalb haben wir auch ein Auge auf diese Plattformen, um gewappnet zu sein“, sagt Klaus Steinmaurer, Leiter der Rechtsabteilung von T-Mobile Austria – einem der Unternehmen, das in der Lage sein dürfte, den knappen Zeitvorgaben der EU-Verordnung gerecht zu werden, wenn der Albtraum eintritt. „Wir haben schon lange definiert, was wer in einer solchen Situation zu tun hat. Jeder einzelne Prozess ist genau durchorganisiert“, so Steinmaurer. Aber man zähle eben zu jenen Konzernen, die groß genug seien, um für Risikomanagement, Datensicherheit und Security jährlich ein Millionenbudget verwenden zu können.
Ein kleiner Betrieb hätte diese Möglichkeiten nicht. „Viele Internetbetreiber sind sehr klein, haben nur wenige Mitarbeiter und vergeben viele Dienstleistungen extern. Da sieht es mit den Ressourcen schon ganz anders aus“, so Leissler.
Die Vereinigung der Österreichischen Internet-Service-Provider (Ispa) könne gerade für sie einen wichtigen Beitrag leisten, sagt Steinmaurer. Eine Checkliste, die Punkt für Punkt festhält, worauf in der prekären Lage zu achten ist, damit nichts Wesentliches vergessen wird, die wünscht er sich von ihr.
Welche Behörde ist zuständig?
Ob groß oder klein macht im Krisenfall keinen Unterschied. Jeder Telekommunikations- und Internetbetreiber hat dasselbe zu tun. Zunächst einmal muss festgestellt werden, ob die Hiobsbotschaft überhaupt stimmt. Wenn ja, hat die Technik das Datenleck zu finden und zu stopfen. Gleichzeitig muss geklärt werden, welche Daten und welche Kunden überhaupt betroffen sind. Das allein kann schon einige Zeit beanspruchen. Parallel sollte jemand die Meldung an die nationale Behörde vorbereiten. Und damit steht man vor dem nächsten Problem. „In der Verordnung wird von nationaler Behörde gesprochen. Welche das hierzulande sein soll, ist unklar“, sagt Leissler. „In Betracht kommen kann sowohl die Datenschutzkommission als auch die Telekom-Control-Kommission (TKK).“ Auf Nachfrage erklären sich gar beide Behörden für zuständig. Wolfgang Feiel, Leiter der Rechtsabteilung der Rundfunk und Telekommunikation Regulierungs-GmbH (RTR), hat gar keinen Zweifel: „Wir sind die zuständige Behörde, das ergibt sich klar aus § 16a Abs 5 des Telekommunikationsgesetzes.“ Diese Bestimmung normiert, dass Betreiber öffentlicher Kommunikationsnetze oder -dienste der Regulierungsbehörde Sicherheitsverletzungen (...) mitzuteilen haben. Anders interpretiert Georg König, der stellvertretende Leiter der Datenschutzkommission, die Rechtslage. Er beruft sich wiederum auf § 95a TKG. Der besagt, dass bei einer Verletzung des Schutzes von personenbezogenen Daten die Datenschutzkommission davon zu informieren ist, und zwar unbeschadet des §16a. „Die genannte Bestimmung ist eben eine Spezialbestimmung. Ich kann ja als Datenschutzkommission keine Zuständigkeit aufgeben, die mir der Gesetzestext nahelegt.“ Hier gibt es wohl noch einiges zu klären. Das Fazit Leisslers: „Da sich die Behörden selbst nicht sicher sind, rate ich meinen Klienten, sicherheitshalber bei beiden Behörden eine Meldung zu machen. Zum Grübeln fehlt dann ohnehin die Zeit.“
Nicht mit Werbung verschleiern
Besser, der Betreiber klärt inzwischen, ob und in welcher Weise die Kunden von der Panne zu verständigen sind. „Ich hoffe, dass nun ein Prozess beginnt, der sowohl Unternehmen als auch Kunden zum Umdenken anregt“, sagt Maximilian Schubert, Generalsekretär der Ispa. Den Kunden müsse klar sein, dass es dort und da einmal zu einem Datenleck kommen könne. Und Unternehmen, dass es besser ist, darüber offen zu kommunizieren. Für transparentere Information sorgt jedenfalls die neue EU-Verordnung. Telekommunikations- und Internetbetreiber dürfen, wenn sie ihren Kunden über die Verletzung des Schutzes personenbezogener Daten berichten, nicht mehr gleichzeitig über andere Inhalte informieren. Das heißt, Werbeaktionen dürfen nicht der Verschleierung dienen. Es ist unzulässig, ein neues Sicherheitspaket in einem Kundenbrief anzupreisen und nur im Kleingedruckten auf den Vorfall hinzuweisen. Auch in Monatsrechnungen haben solche Infos nichts verloren, dort rechnet der Kunde nämlich nicht damit. Marketingexperten müssen sich etwas Neues einfallen lassen.
("Die Presse", Print-Ausgabe, 05.09.2013)