Wie die Einhaltung datenschutzrechtlicher Vorgaben Kommunen und deren Bürger vor Cyber-Angriffen und den Folgen schützen kann.
Cyber-Angriffe auf Kommunalverwaltungen und Behörden sind mittlerweile keine Seltenheit mehr. Seit dem aufsehenerregenden Cyber-Angriff auf den Landkreis Anhalt-Bitterfeld und dem damit einhergehenden Ausrufen des Katastrophenfalls, ist das Thema in der Öffentlichkeit angekommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem Jahresbericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2023 fest, dass Kommunalverwaltungen überproportional oft Opfer von Cyber-Angriffen wurden. Wir möchten die aktuelle Entwicklung daher zum Anlass nehmen, um darzustellen, welche Rolle der Datenschutz bei der Vermeidung und Begrenzung von Cyber-Angriffen in Kommunen spielen kann.
Cyber-Angriffe richten sich auf informationstechnische Systeme und haben das Ziel, die jeweilige Organisation zu schädigen. Häufig wird ein Diebstahl oder eine Verschlüsselung der Daten angestrebt, um anschließend Lösegeld zu erpressen. Kommt man den Forderungen nicht nach, können sensible personenbezogene Daten im Internet veröffentlicht werden oder Datenbestände unwiederbringlich verloren sein. Diese Gefahr besteht selbst dann fort, wenn man den Forderungen nachgekommen ist.
Nebeneffekte von solchen Angriffen, besonders der Ausfall der digitalen Systeme, sorgen häufig dafür, dass die Verwaltungen ihren Aufgaben nicht nachkommen können. Das reicht von einer fehlenden Erreichbarkeit für Bürger:innen, über den Stillstand in der Verwaltung bis hin zum Ausbleiben wichtiger Zahlungen wie Sozial- oder Unterhaltsleistungen oder der fehlenden Möglichkeit, die Bevölkerung bei Schadenslagen zu warnen. Die stetige Zunahme und Komplexität dieser Angriffe stellen Verantwortliche demnach vor große Herausforderungen.
Ein Cyber-Angriff stellt immer eine Gefahr für personenbezogene Daten dar, die in den jeweiligen, betroffenen Systemen verarbeitet werden. Im Datenschutz ist daher auch der Schutz vor Cyber-Angriffen ein wichtiges Thema. Die DSGVO hält zahlreiche Vorschriften bereit, die in ihrer Umsetzung den Schutz personenbezogener Daten gewährleisten und dadurch mittelbar oder ganz direkt auch vor einem Cyber-Angriff und dessen Folgen sowie Auswirkungen schützen.
Insgesamt lässt sich dies in fünf Bereiche untergliedern:
- Einführung und regelmäßige Prüfung der eigenen technischer und organisatorischer Maßnahmen
- Sensibilisierung und Schulung von Verantwortlichen und Beschäftigten in der Kommunalverwaltung
- Aufbau und Betrieb eines praxisorientierten und individuellen Datenschutzmanagementsystems
- Implementierung eines passenden Löschkonzepts und Umsetzung der Löschungen in allen Bereichen
- Fachkundige Unterstützung durch die Einbeziehung eines (externen) Datenschutzbeauftragten
Technische und organisatorische Maßnahmen, oder kurz TOMs, sind das Rückgrat einer durch den Datenschutz beeinflussten Abwehr gegen Cyber-Angriffe. Die regelmäßige Abfrage, Prüfung und Aktualisierung dieser Angaben sensibilisiert die Verantwortlichen, führt zur Einführung und Umsetzung neuer Maßnahmen und sorgt für eine aktuelle Dokumentation der getroffenen Maßnahmen. Einzelne Maßnahmen, wie die Implementierung von Virensystemen und einer Firewall oder die Nutzung einer angemessenen Verschlüsselung, sind dabei essenziell. Andere Maßnahmen sind optional und richten sich an die Bedürfnisse der Organisation, wie etwa ein VPN-Zugriff oder die Benennung eines Informationssicherheitsbeauftragten.
Mit Blick auf die Ziele eines Cyber-Angriffs rücken besonders Maßnahmen gegen den Verlust oder die Verschlüsselung der Daten in den Fokus. Bei der Auflistung der Vorgaben für die TOMs aus Art. 32 DSGVO fällt der Blick dabei auf die geforderten Fähigkeiten der Verfügbarkeit und Belastbarkeit der Systeme sowie auf die Fähigkeit, die Verfügbarkeit personenbezogener Daten schnell wieder herstellen zu können. Auch hierfür bestehen zahlreiche Maßnahmen wie die Erstellung von Back-Ups, getrennte Datensicherungen, ein Backup und Recovery Konzept oder das Bestehen verschiedener Notfallpläne. Neben der Einführung dieser Maßnahmen trägt auch die regelmäßige Prüfung dieser Maßnahmen dazu bei auf Cyber-Angriffe vorbereitet zu sein.
Die Umsetzung der TOMs trägt auch zur Sensibilisierung von Verantwortlichen bei. Ergänzend dazu sorgen Schulungen von Beschäftigten dafür, dass Versuche von Cyber-Angriffen erkannt werden und durch richtiges Verhalten verhindert, werden können. Diese organisatorischen Maßnahmen klären Beschäftigte über Gefahren von Social Engineering, wie etwa Phishing, auf und tragen dazu bei, dass Unregelmäßigkeiten in den informationstechnischen Systemen als mögliche Cyberangriffe erkannt werden. Damit sorgen Schulungen für den Datenschutz nicht nur für eine rechtskonforme Behandlung personenbezogener Daten, sondern auch für die Sicherheit in Kommunen.
Ein Datenschutzmanagementsystem (DSMS) dient vor allem der Dokumentation von Datenverarbeitungen und den dazugehörigen Prozessen. Die gesammelte Dokumentation von Verarbeitungsvorgängen und den dazugehörigen Anwendungen und Programmen sowie die Verknüpfung mit der Verarbeitung personenbezogener Daten ermöglicht es, verschiedene Prozesse schnell zu identifizieren und Risiken abzuwägen. Ist beispielsweise eine konkrete Anwendung von einem Cyber-Angriff betroffen, kann mittels der Dokumentation des DSMS ermittelt werden, was dies konkret für betroffene Personen, bspw. Bürger:innen, bedeutet. Auch externe Fachkräfte erlangen durch dieses einen guten Überblick über die Kommunalverwaltung und können im Ernstfall schneller helfen. Durch eine lückenlose Dokumentation der eingesetzten Dienstleister, können im Falle eines Cyber-Angriffs die wesentlichen Dienstleister ermittelt werden und in die Bearbeitung des Vorfalls kurzfristig involviert werden.
Ein Löschkonzept also das strukturierte Vorgehen, wann, wie und ob Daten gelöscht werden, ist gut dazu geeignet, die Folgen eines Cyber-Angriffs zu begrenzen. Denn wenn die Daten die gestohlen oder verschlüsselt werden können auf das Notwendige reduziert wurden, sinkt der Umfang des Schadens für die Kommune und für ihre Bürger:innen, da deren Daten bestenfalls nicht mehr in den Systemen gespeichert sind. Dadurch unterliegen weniger Daten einer etwaigen Lösegeldforderung oder einer aufwendigen Wiederherstellung. Abschließend führt ein gutes Löschkonzept auch dazu, dass man nicht in Verlegenheit gerät, Betroffene informieren zu müssen, für deren Datenverarbeitung man gar keine Rechtsgrundlage mehr hat.
Ein Cyber-Angriff erfordert regelmäßig die Unterstützung durch externe Fachkräfte. Das trifft sowohl auf technische Bereiche in Form von Sicherheitsexperten als auch auf datenschutzrechtliche Bereiche in Form von Datenschützern zu. Um das Vertrauen der Öffentlichkeit und der Bürger:innen zu gewährleisten bzw. wieder herzustellen, ist eine Aufarbeitung des Cyber-Angriffs notwendig und bei der Verletzung des Schutzes personenbezogener Daten auch verpflichtend. Zur Einhaltung, Umsetzung und Durchführung von Rechten betroffener Personen ist daher ein strukturiertes und rechtskonformes Vorgehen nötig. Dadurch wird gewährleistet, dass entsprechend der Umstände eine maximale Transparenz geboten wird und die Betroffenen die Möglichkeit haben Ihre Rechte auszuüben.
Die konsequente Umsetzung und Einhaltung der datenschutzrechtlichen Vorgaben sind somit ein geeignetes Mittel, um Cyber-Angriffe bzw. deren Auswirkungen zu vermeiden und sich für den Abschluss einer Cyberversicherung zu qualifizieren. Falls es dennoch zu einem erfolgreichen Angriff kam, tragen die datenschutzrechtlichen Vorgaben dazu bei, die entstandenen Schäden zu reduzieren. Kommunen können sich so vor schwerwiegenden Folgen und hohen Kosten schützen und mit einem strukturierten Umgang bei Cyber-Angriffen sowohl den Angreifer:innen als auch den Bürger:innen demonstrieren, dass sie auf solche Bedrohungslagen vorbereitet sind.
Gerne unterstützen wir Sie dabei das Datenschutzniveau in Ihrer Kommunalverwaltung zu erhöhen. Mit der Erfahrung aus verschiedenen Projekten im kommunalen Bereich finden wir den passenden Ansatz für Sie, um Ihr Datenschutzmanagement langfristig zu etablieren.
Folgende weitergehende Leseempfehlungen haben wir für Sie:
- Informationen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Thema Datenschutz in Kommunen
- Informationen des BSI zur Basis-Absicherung der eigenen Kommunalverwaltung als Einstieg in die Informationssicherheit
- Lagebericht des BSI zur IT-Sicherheit in Deutschland im Jahr 2023
- Broschüre des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zum Thema „Datenschutz bei Gemeinden“