Skip to main content

Melden von Datenschutz-Sicherheitsvorfällen

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Erklären, was einen Datenschutz-Sicherheitsvorfall darstellt
  • Identifizieren potenzieller Sicherheitsvorfälle
  • Wissen, was zu tun ist, wenn Sie vermuten oder wissen, dass ein Sicherheitsvorfall eingetreten ist

Was ist ein Sicherheitsvorfall?

Weltweit haben viele Behörden Gesetze zur Meldung von Sicherheitsvorfällen erlassen, von der Europäischen Union (EU) über die Länder Lateinamerikas (LATAM), Japan und den asiatisch-pazifischen Raum (JAPAC) bis hin zu allen Bundesstaaten und Territorien der Vereinigten Staaten (USA). In den USA hat der Präsident vor kurzem das Gesetz zur Stärkung der Cybersicherheit in den US 2022 (Strengthening American Cybersecurity Act of 2022) unterzeichnet, das Unternehmen mit kritischen Infrastrukturen dazu verpflichtet, bedeutende Cybersicherheitsvorfälle und alle Lösegeldzahlungen an die Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security zu melden.

Je nachdem, von welchem Land aus Ihr Unternehmen operiert, gibt es zahlreiche Gesetze und Vorschriften zur Meldung von Sicherheitsvorfällen für bestimmte Branchen wie öffentliche Hand, Gesundheitswesen, Energie, Telekommunikation und Finanzdienstleistungen, wobei jede Branche ihre eigene Definition des Begriffs "Sicherheitsvorfall" (oder Datenschutzverletzung) hat. Abhängig von den Gesetzen zur Meldung von Sicherheitsvorfällen, denen Ihr Unternehmen unterliegt, sollten Ihre Service Level Agreements (SLAs) oder Verträge für Ihre Kunden Anforderungen in puncto Meldung von Sicherheitsvorfällen enthalten, die für Kundendaten gelten.

Als Datenschutz-Sicherheitsvorfall gilt jede unbefugte Verwendung personenbezogener Daten oder Kundendaten, unabhängig davon, ob sie versehentlich oder absichtlich erfolgt. Dies sind einige Beispiele für gängige Sicherheitsvorfälle:

  • Ein Vertriebsmitarbeiter sendet eine E-Mail mit Kundendaten an den falschen Kunden.
  • Ein Abteilungsleiter druckt den Lebenslauf eines Bewerbers aus und lässt das Dokument auf dem Heimweg im Zug liegen.
  • Ein ehemaliger Mitarbeiter, der das Unternehmen verlassen hat, kann noch immer auf die Systeme Ihres Unternehmens und seine Kundendaten zugreifen.
  • Ein Praktikant öffnet einen E-Mail-Anhang mit Malware, was dazu führt, dass Kundenkontaktdaten gelöscht oder verschlüsselt werden.
  • Die Berechtigungen für ein freigegebenes Laufwerk sind zu weit gefasst, sodass zu viele Personen Zugriff auf personenbezogene Daten haben.
  • Die Anmeldedaten oder geheimen Schlüssel eines Kunden werden in einem öffentlichen GitHub-Repository offengelegt.
  • Das Arbeitsgerät eines Mitarbeiters (z. B. Laptop oder Smartphone) geht verloren oder wird gestohlen.
  • Ein Mitarbeiter gibt versehentlich personenbezogene Daten in einer Antwort auf eine E-Mail an, die sich als Teil eines Phishing-Angriffs herausstellt.

Alle diese Vorfälle gelten als potenzielle Sicherheitsvorfälle und sollten dem Sicherheitsteam des Unternehmens gemeldet werden.

Melden eines Sicherheitsvorfalls

Wenn Sie einen potenziellen Datenschutzvorfall vermuten, melden Sie dies sofort, selbst wenn Sie nicht zu 100 % sicher sind, dass der Vorfall eine Datenschutzverletzung oder einen Sicherheitsvorfall darstellt. Wenn es in Ihrem Unternehmen eine jährliche Schulung zum Thema Sicherheit gibt, sollten Sie nachsehen, ob das Material aktuelle Informationen zur Meldung verdächtiger Aktivitäten oder potenzieller Sicherheitsvorfälle in Ihrem Unternehmen enthält.

Wenn Sie einen Vorfall melden, sollten Sie so viele Informationen wie möglich angeben, wie etwa:

  • Was ist passiert?
  • Welche Personen oder Gruppen waren beteiligt?
  • Wann hat sich der Vorfall ereignet (Uhrzeit, Datum und Zeitzone)?
  • Welche Services waren betroffen oder potenziell beeinträchtigt?
  • Kontaktdaten für Fragen

Fristen für die Meldung von Sicherheitsvorfällen

Ihr Unternehmen ist möglicherweise gesetzlich dazu verpflichtet, Datenschutzvorfälle innerhalb eines engen Zeitrahmens an Aufsichtsbehörden, Kunden und betroffene Personen zu melden. Sie sind verpflichtet, Sicherheitsvorfälle unverzüglich an Ihr internes Sicherheitsteam zu melden, damit dieses Zeit hat, den Vorfall zu untersuchen und die gesetzlichen Meldepflichten zu erfüllen. Wenn Sie versäumen, die entsprechenden Stellen innerhalb der vorgeschriebenen Fristen über einen Sicherheitsvorfall zu informieren, kann dies unter Umständen erhebliche Geldstrafen, einen möglichen Verstoß gegen vertragliche Verpflichtungen, den Verlust des Kundenvertrauens und eine Beschädigung des Rufs Ihres Unternehmens nach sich ziehen.

Es ist also enorm wichtig, alle potenziellen Sicherheitsvorfälle sofort zu melden, selbst wenn Sie selbst den Fehler gemacht haben, der zur Offenlegung personenbezogener Daten oder Kundendaten geführt hat.

Eine Stoppuhr als Symbol für eine tickende Uhr und die knappen Fristen für die Meldung eines Sicherheitsvorfalls

Zusammenfassung

In diesem Modul wurden Datenschutzgesetze und -grundsätze vorgestellt. Außerdem haben Sie erfahren, wie man Kundendaten identifiziert und wer mit diesen Daten umgehen darf. Zum Abschluss wurden die Meldepflichten für Datenschutzvorfälle behandelt.

Möchten Sie mehr über Berufe und Technologien im Bereich Cybersicherheit erfahren? Besuchen Sie die Lernwebsite zur Cybersicherheit, um sich über weitere Sicherheitsthemen zu informieren und Tipps von echten Sicherheitsprofis zu erhalten.

Ressourcen

Lernen Sie weiter kostenlos!
Registrieren Sie sich für einen Account, um fortzufahren.
Registrieren Anmelden
Was ist für Sie drin?
  • Holen Sie sich personalisierte Empfehlungen für Ihre Karriereplanung
  • Erproben Sie Ihre Fähigkeiten mithilfe praktischer Aufgaben und Quizze
  • Verfolgen Sie Ihre Fortschritte nach und teilen Sie sie mit Arbeitgebern
  • Nutzen Sie Mentoren und Karrierechancen
Vorerst überspringen