Was tun nach einem Hackerangriff?

Symbolbild.
Symbolbild. (C) MGO
  • Drucken

Facebook erlebt es gerade: Wer Ziel einer Hackerattacke wird, kann leicht auch ins Visier der Datenschutzbehörde kommen. Hat man Regeln nicht eingehalten, wird es teuer.

Wien. Vor rund einem halben Jahr der Skandal um die illegale Weitergabe von Nutzerdaten an die britische Analysefirma Cambridge Analytica, kürzlich ein spektakulärer Hackerangriff auf 50 Millionen Nutzerprofile: Facebook hat schon ruhigere Zeiten erlebt. Die Hackerattacke beschäftigt nun auch die Behörden. Die irische Datenschutzkommission prüft, ob sich Facebook an alle Regeln der Datenschutz-Grundverordnung (DSGVO) gehalten hat. Wenn nicht, drohen zusätzlich zum Imageverlust Schadenersatzforderungen und schlimmstenfalls eine Milliardenstrafe. Wobei es nicht nur auf hinreichende Präventionsmaßnahmen ankommt, sondern auch auf das Verhalten nach der Attacke. Das wirft auch für andere Unternehmen Fragen auf: Was muss man tun, wenn man gehackt wurde? Wem muss was gemeldet werden? Und was kann man zur Aufklärung eines Hackerangriffs beitragen?

„Wurden personenbezogene Daten natürlicher Personen z. B. gestohlen, geändert oder gelöscht, muss man das der Datenschutzbehörde melden und die Betroffenen benachrichtigen“, sagt Rechtsanwalt Mathias Preuschl zur „Presse“. Und das innerhalb eines schmalen Zeitfensters: Für die Meldung an die Behörde hat man 72 Stunden Zeit, eine Verspätung muss man begründen. Auch die Betroffenen sind „unverzüglich“ zu informieren. Das wird in der Hektik oft übersehen – oder man schiebt es wegen des drohenden Imageschadens auf die lange Bank, in der Hoffnung, dass sich vielleicht doch noch alles als halb so schlimm herausstellt. Das kann sich jedoch als fataler Fehler erweisen.


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.