Ist ein Hack durch einen Grey Hat eine meldepflichtige Panne

kine · 6. April 2023 um 06:57

Ich habe eine Frage zur Meldepflicht von Datenpannen bei Hacks durch Grey Hats.

Hackt ein Hacker (ohne Auftrag) eine Datenbank mit der Absicht dem Unternehmen Sicherheitslücken aufzuzeigen, und führt auch den Nachweis, dass er tatsächlich den Zugriff hat in dem er “echte Daten” präsentiert.

Unterm Strich sind Daten Unbefungten zugeflosssen wg. Verletzung der Sicherheit. Allerdings ist fraglich, ob Risiken bestehen, da die Absicht nicht die ist, die Daten schadhaft bzw. bösartig zu verwenden.

Hat wer Erfahrungen hierzu? Was ist wenn betroffene Datenkategorien zB Bewerberdaten sind, also alles was in ein Formular eingegeben wird. Kann das Unternehmen beispielsweise im Nachhinein ein AVV oder NDA abschließen um den Datenzugriff zu “heilen” ?

haderner · 6. April 2023 um 07:33

Ist zumindest (dokumentiert) zu prüfen und wohl auch zu melden:

Es ist eine Schutzverletzung wegen unbefugtem Zugang [gemeint ist “Zugriff”], Art 4 Nr 12. Und die Meldepflicht nach Art 33 an die Aufsicht kennt nur die Ausnahme “voraussichtlich kein Risiko” - ich halte es für fahrlässig kein Risiko sehen zu wollen, gerade bei Beschäftigtendaten.

“Heilen” per AVV (+ Geld für Auftrag?) kann man’s nicht, man macht sich auch erpressbar.

Beabel · 6. April 2023 um 08:52

Zusatz zu Haderners Ausführungen:
Risiko bedeutet nicht, dass tatsächlich ein “Schaden” eingetreten ist, sondern nur, dass er “eintreten könnte”.

Domasla · 6. April 2023 um 09:43

Ich denke auch, dass die Kriterien für “Risiko” = Meldepflciht erfüllt sein werden.

Die Hacker sind zu diesem Zeitpunkt keine “Befugten”, lassen sich auch nachtrglich nicht dazu machen.

D., der empfiehlt, die Scheunentore zu bewachen.

kine · 6. April 2023 um 11:53

Vielen Dank für eure Rückmeldungen @haderner @Domasla @Beabel

l.huesker · 6. April 2023 um 12:30

Zwei Fragen sind zu prüfen:

Handelt es sich um eine DS-Verletzung?
Welches Risiko besteht für Betroffene?

Zu 1.: Unzweifelhaft: Verletzung der Sicherheit mit Offenlegung an Unbefugte
Zu 2.:
Hier hängt es von den Daten ab.
Da jemand Zugriff auf die Systeme erlangt hat, ist nicht gesichert, dass er der erste war und wir wissen nicht ob seine Aussagen wahr sind.
Da davon auszugehen ist, dass der Hacker seine Identität schützt, um nicht nach §20x StGB belangt zu werden, gibt es keinen Grund, ihm zu glauben.

Also ist bei der Risikobeurteilung vom maximlaen Schaden auszugehen.
Das könnte im Falle von Beschäftigtendaten von Belästigung durch Mails bis Identitätsdiebstahl reichen.
Klassifizierung 3 (beträchlich) von 4 ( existenzbedrohend)

Eintrittswahrscheinlichkeit, wenn diese Daten z.B. im Darknet verkauft werden?
Wird schwierig, wenn sie gekauft werden, dann werden sie auch mißbraucht.
Klassifizierung: mal vorsichtig auf 2 (Mittel) geschätzt.

Nach Risiko-Matrix aus DSK-KP18 wären wir da bei “Risiko” (nicht niedrig, nicht hoch), da ändert sich auch bei höherer Wahrscheinlichkeit 3 (häufig) nichts dran.

Daher wäre meine Einschätzung:
Risiko besteht, Meldung an ASB erforderlich.
Benachrichtigung der Betroffenen sollte man aus Fairness, wenn möglich trotzdem vornehmen.

Wenn es sich um andere pbD handelt, kann das ganz anders aussehen.

kine · 29. Januar 2024 um 10:42

Vielen Dank für Deine Antwort

Liebe Grüße