DSGVO und Bundeshack
Gelten die DSGVO-Geldbußen eigentlich auch für die Bundesregierung?
DSGVO – Bundeshack – EU-Abzocke
Der aktuelle Hackerangriff auf die Bundesregierung zieht auf Grund der spärlichen Auskünfte der Verantwortlichen viele Spekulationen nach sich. Man habe den Angriff über Monate verfolgt, aber immer „die Hand am Stecker“ gehabt. Anscheinend ist die Hand dabei wohl eingeschlafen. Nachdem zuerst die APT28- und dann die Snake-Gruppe als Angreifer verdächtigt wurden, war es jetzt angeblich die Turla-Gruppe, die Elite-Hacker mit dem weltweit besten technischen Know-how.
Parallel dazu kommt das medienwirksame Thema EU-DSGVO immer näher auf uns zu. Dabei geht es bekannter Weise um den Datenschutz von personenbezogenen und sensiblen Daten, Datendiebstahl, Datenmissbrauch und auch um die zeitnahe Meldepflicht bei eingetretenen Cyber-Angriffen und vor allem um die horrenden Geldbußen, wenn man den endlosen Katalog an Regularien irgendwo nicht so richtig eingehalten hat.
In Bezug auf beide Themen könnte man doch auch mal folgende Fragen stellen: Wenn heute der 25. Mai 2018 wäre, wie hoch wäre dann jetzt die DSGVO – Geldbuße für den Datenvorfall und vor allem für die Missachtung der zeitnahen Meldepflicht zum Bundeshack? Oder gibt es in den Regierungsnetzen keine personenbezogenen und sensiblen Daten? Oder gelten die Geldbußen nur für das gemeine Unternehmervolk?
Wer am Mittwochabend die Tagesthemen und das Interview mit einem Security-Experten gesehen hat, weiß jetzt, dass es keine wirkungsvollen Sicherheitslösungen gibt. Zitatauszüge:
„Verhindern können hätte die Bundesregierung den Angriff trotz der Erfahrung mit dem Hackerangriff auf den Bundestag 2015 nicht“. „Man hat schon die richtigen Schlüsse gezogen, aber man kann nicht viel machen. Die Abgeordneten seien darauf angewiesen, auf E-Mail-Programme zugreifen zu können und auch Anhänge zu öffnen, in denen häufig Schadsoftware versteckt wird“. „Man habe alles schon ausgetestet, aber nichts habe genützt“.
Aha – Aber lassen wir es einfach mal so stehen?!
Ich möchte hier keine Diskussion über fortschrittliche Sicherheitslösungen, Managed Security Services, Multi-Engine Sandboxing-Techniken, Privileged Account Management, End-to-End Verschlüsselung, Mobile Device Management oder Advanced Threat Protection Maßnahmen anfangen.
Wenn es also keine wirkungsvollen Sicherheitslösungen geben soll, wie kann man dann Datenschutzgesetze auf den Weg bringen, die bei Missachtung auch noch zusätzlich mit saftigen Geldbußen belegt sind? (4% vom Jahresumsatz oder max. 20.Mio). Oder ist die DSGVO einfach nur eine Jobgenerierungsmaschine für Datenschutzbeauftragte und Abmahnanwälte?
Wie es scheint kann der Mitverfasser dieser Datenschutzregelungen sein eigenes Netzwerk vor Datenmissbrauch nicht schützen, verhängt aber für alle anderen Unternehmen horrende Geldbußen bei Nichteinhaltung der Verordnung. In vielen Berichten über die DSGVO hört man immer wieder, man müsse die Vorteile sehen und die Verordnung als Chance betrachten. Also die Chance, zuerst in Security zu investieren, die eigentlich nichts nutzt und bei einem Hackerangriff dann zusätzlich zur Kasse gebeten zu werden. Folglich sind doch auch diese endlosen Regularien und Schlagworte in der Verordnung, wie „Security by Design“, „Geteilte Verantwortung“, etc. nur leere Phrasen.
Ein Unternehmen, das sich bemüht hat, in DSGVO-konforme Sicherheit zu investieren und trotzdem einen Cyber-Angriff erleidet, ist mit den daraus folgenden Konsequenzen und Verlusten genug bestraft! Da braucht es nicht noch zusätzliche Ordnungsstrafen, die ein mittelständisches Unternehmen durchaus in den Ruin treiben können.
Nochmal zur Eingangsfrage: Wenn heute der 25. Mai 2018 wäre, was müsste jetzt die Bundesregierung als Strafe zahlen? 4% vom Jahresumsatz (welcher Umsatz)? oder 20 Mio. an Steuergeldern? – Und das jedes Jahr für die nächsten Jahrzehnte? – weil man ja jedes Jahr gehackt wird und weil ja auch nichts hilft? Wenn es schon keinen wirksamen Schutz geben soll, darf es auch keine Geldbußen geben. Ansonsten klingt das einfach nur nach fetter Abzocke.
Die DSGVO soll angeblich den EU-Bürger schützen, aber nicht bestrafen. Aber vielleicht haben wir hier auch einfach nur irgendwie irgendwas falsch verstanden?