License to hack – Hotels im Fadenkreuz von Hackern und Aufsichtsbehörden

What happens in Vegas stays in Vegas! Oder etwa doch nicht mehr … ?

Hotels sammeln tag täglich sensible Daten Ihrer Gäste: Wer trifft sich mit wem wann an welchem Ort, welche Ernährungsgewohnheiten hat eine Person, leidet sie an Allergien, wie sieht es mit den Vermögensverhältnissen aus oder darf es gerne auch mal ein Glas mehr sein? Hotels sind Orte, an denen Diskretion zum Geschäftsmodell gehört.

Cyber Attacks und Hotels – Warum die Aufregung?

Seit geraumer Zeit sehen sich insbesondere Hotels hartnäckigen Angriffen durch Hacker ausgesetzt. Die Diskretion ist in Gefahr. Zuletzt kam heraus, dass die Marriott International Gruppe Target eines massiven Angriffs auf die IT-Sicherheit der Systeme ihrer Starwood Hotels geworden ist. Daten von ca. 500 Millionen Betroffenen sollen in die Hände der Angreifer gelangt sein, darunter sensibelste Daten wie Kreditkarteninformationen.

Die Vorgänge verdeutlichen einen „Trend“: PWC’s Hospitality Outlook Report zeigt, dass die Hotelindustrie den 2. Platz in der Rangliste der Branchen mit den meisten IT-Sicherheitsvorfällen innehat.

Bank- u. Kreditkartendiebstahl, Verschlüsselungstrojaner, Webseiten-Sabotage, „WLAN-Abhören“ oder Wirtschaftsspionage können nicht nur einen erheblichen finanziellen Schaden und den so gefürchteten Damage to Goodwill anrichten. Je nach Hergang offenbaren solche Vorgänge ggf. auch Schwachstellen im Schutz der IT-Infrastruktur der betroffenen Unternehmen, was nicht selten zu aufsichtsbehördlichen Verfahren und empfindlichen Bußgeldern führen kann.

Schutz vor Cyber-Attacken – Gibt’s da irgendwas im Gesetz?

Vielen Unternehmen dürfte mittlerweile geläufig sein, dass die im Mai 2018 in Kraft getretene EU Datenschutzgrundverordnung (DS-GVO) verschiedene Vorgaben zur IT-Sicherheit beinhaltet. Verstöße gegen die Vorgaben zur Einhaltung ausreichender technischer und organisatorischer Maßnahmen können – anders als unter dem alten Recht – weitreichend sanktioniert werden, wovon einzelne Behörden bereits Gebrauch gemacht haben.

Daneben und für viele Unternehmen oft unbekannt, enthalten weitere Gesetze verschiedene Vorgaben zum Thema Cyber-Security, u.a. das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG). Aber auch auf den ersten Blick eher „unverdächtige“ Gesetze verpflichten zur Einhaltung entsprechender Standards, wie z.B. das Handelsgesetzbuch (HGB), das GmbH-Gesetz (GmbHG) oder das Aktiengesetz (AktG).

Danach ist die IT-Sicherheit Teil der wesentlichen Aufgaben der Unternehmensleitung, die die Verantwortung für die Umsetzung der erforderlichen IT-Sicherheitsmaßnahmen trifft. Geht das schief, kann die Geschäftsleitung hierfür ggf. auch persönlich verantwortlich gemacht werden. Denn für ausreichende IT-Sicherheit zu sorgen, gehört (auch) zu den wesentlichen Grundsätzen der ordnungsgemäßen Geschäftsführung.

Cyber Attacks – Welche Maßnahmen müssen Hotels im Vorfeld treffen?

Zunächst müssen Hotels einen adäquaten Standard bei der IT-Sicherheit der eigenen Systeme und der ihrer Dienstleister nach dem Stand der Technik umsetzen. Richtschnur kann hier Art. 32 DS-VO sein, der u.a. Maßnahmen fordert, mit denen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen ist. Dies umfasst ebenso Maßnahmen, um die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können. Ausreichende Business Continuity Maßnahmen (BCM) sind insoweit wesentlicher Bestandteil der Konzeption.

Mangels konkreterer gesetzlicher Vorgaben stehen Unternehmen vor der Herausforderung das für sie adäquate Schutzniveau und daraus abzuleitende Maßnahmen zu definieren. Die einschlägigen Maßnahmen sind im Rahmen eines risikobasierten Ansatzes zu bewerten und davon abhängig, in welcher Art und Weise welche personenbezogene Daten verarbeitet werden. Je sensitiver die Daten, desto risikoreicher die Geschäftsaktivität, desto sicherer sollten die relevanten Systeme sein.

Hilfestellung bieten hier die Handreichungen u.a. des Bundesamts für Sicherheit in der Informationstechnologie (BSI) sowie der verschiedenen deutschen und europäischen Aufsichtsbehörden. Vor dem Hintergrund der wachsenden Professionalität der Angreifer greifen viele Unternehmen zudem auf den Rat externer IT-Sicherheitsspezialisten zurück, die die Vorgaben, Lösungsansätze und Branchenstandards kennen und Unternehmen bei der Konzeption passender IT-Sicherheitsstandards effektiv unterstützen können.

Mitarbeitern ist verständlich zu vermitteln, was beim Thema IT-Sicherheit geht und was tabu ist! Da die eigenen Mitarbeiter in vielen Fällen durch Unachtsamkeit erst die Tür für Cyber-Angreifer öffnen, darf gerade hier nicht gespart werden. Mitarbeiter sind ausreichend zu sensibilisieren sowie praktisch zu instruieren, z.B. durch einen Workshop mit einem Sicherheitsberater, der typische Fehler und Angriffsszenarien aufzeigt. Training ist nicht optional, sondern Pflicht!

Schon vor dem (möglichen) Vorfall sollten sich Unternehmen weiter auf den Ernstfall vorbereiten: Jedes Unternehmen muss sich als Teil des BCM einen Krisenplan zurechtlegen, mit dem im „Krisenfall“ die wichtigsten Schritte schnell und effektiv abgearbeitet werden können. Wesentliche Punkte eines solchen Plans sind:

Festlegung von Verantwortlichkeiten

• Eskalationswege zur Einbindung der Geschäftsleitung
• Ausarbeitung von Ablaufplänen und Sofortmaßnahmen
• Implementierung eines Systems zur internen Meldung entsprechender Vorfälle
• Templates zur Meldung und Dokumentation von Vorfällen
• Bestimmen eines Teams externer Experten, die im „Angriffsfall“ schnell unterstützen können, bestehend aus IT-Experten, rechtlicher Beratung und Kommunikationsspezialisten
• Definition von Anlaufstellen bei zuständigen Behörden, um etwaige Meldungen rechtzeitig durchführen zu können

Ein entsprechender Krisenplan für IT-Sicherheitsvorfälle ist ausreichend zu dokumentieren und sollte in regelmäßigen Abständen im Wege einer Simulation erprobt werden. Ein solcher Plan ist nicht nur „nice to have“. Vielmehr sind Unternehmen bereits auf Grund der Vorgaben der DS-GVO sowie – oftmals unbekannt - aus gesellschaftsrechtlichen Vorgaben verpflichtet, entsprechende Maßnahmen zu treffen.

Dabei ist zu beachten, dass die Nicht-Implementierung entsprechender Maßnahmen selbst ggf. schon einen eigenen Datenschutzverstoß darstellen und zu einer Sanktion seitens der Aufsichtsbehörden führen kann. Angesichts der neuen Bußgeldobergrenzen von bis 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes mehr als relevant!

Last but not least können auch Cyber-Versicherungen ein sinnvoller Baustein im Schutzpaket vor und nach Cyber-Angriffen sein. Sie mildern je nach Ausgestaltung nicht nur die finanziellen Folgen einer Cyber-Attacke. Versicherer können auf Grund ihrer Erfahrung auch weitere wertvolle Hilfestellung im Fall des Falls leisten: durch entsprechende Kontakte zu Spezialisten aber auch schon davor durch Bereitstellung entsprechender Checklisten und weitere Anleitungen.

Und wenn‘s zu spät ist … Eine Checkliste für den Ernstfall

Gefahr beseitigen - Krisenplan einhalten

IT-Sicherheitsvorfälle sind Extremsituationen, die mitunter zu großer psychischer Belastung für die handelnden Personen führen können. Ein Krisenplan hilft! Diesen im Krisenfall abzuarbeiten, hilft, keine wesentlichen Schritte zu übersehen und bringt auch ein Stück weit rechtliche Sicherheit, wenn es in den ersten Stunden darum geht, dass die Gefahrenquellen gefunden, beseitigt und mögliche Lücken geschlossen werden.

Vorfall und Reaktion ausreichend dokumentieren

Alle Erkenntnisse über den entdeckten oder vermuteten Cyberangriff sind gründlich zu ermitteln und zu dokumentieren. Dies ist u.a. unerlässlich, um im Fall der Fälle Behörden und Betroffenen ausreichend informieren zu können. Da die Sachlage oft diffus ist, ist der Rat von Experten meist unerlässlich. Beweismittel wie Log-Files sind rechtzeitig zu sichern, bevor diese (automatisiert) gelöscht werden. Im Nachgang hilft eine umfassende Dokumentation, die Vorgänge analysieren und Schlüsse für Verbesserungen der Prozesse und Maßnahmen zur Vorbeugung zukünftiger Angriffe ziehen zu können.

Strafverfolgungsbehörden einschalten

Strafverfolgungsbehörden können im Rahmen der Verfolgung der Täter oftmals mehr erreichen, als die Geschädigten selbst. So können u.a. Anschlussdaten beschafft, Durchsuchungsmaßnahmen angestrengt oder Informationen aus anderen, sonst nicht zugänglichen Quellen beschafft werden, die bei der späteren Verfolgung zivilrechtlicher Ansprüche hilfreich sein können. Da entsprechende Maßnahmen mit Zeitablauf weiter an Wirkung verlieren, ist Eile und enge Abstimmung mit den Behörden geboten – auch wenn entsprechende Maßnahmen in der Praxis leider in den seltesten Fällen erfolgreich sein werden.

Meldepflicht prüfen und handeln, wenn es erforderlich ist

Je nach Vorgang wird eine Meldung an Datenschutzaufsichtsbehörden und/oder die Betroffenen erforderlich sein. Zunächst sind unmittelbar beim Entdecken des Angriffs die hierfür maßgeblichen Fristen zu bestimmen. Meldungen an Datenschutzaufsichtsbehörden haben innerhalb von 72 Stunden zu erfolgen (vgl. zu den Vorgaben Artt. 33, 34 DS-GVO). Ob eine solche Meldung tatsächlich zu erfolgen hat, bedarf oftmals einer Prognoseentscheidung im Hinblick auf das bestehende Risiko für die Betroffenen, da die Sachlage in den seltesten Fällen eindeutig sein wird. Um nicht erforderliche Meldungen zu vermeiden und auch im Übrigen ein rechtlich strategisches Vorgehen sicherzustellen, sollte hierzu spezialisierte Rechtsberatung eingeholt werden. In diesem Zusammenhang zu klärende Punkte sind regelmäßig:

• Datenzugriff / Datenabfluss durch die Angreifer ja/nein
• Sensitivität der betroffenen Datenkategorien (Zahlungsdaten, Gesundheitsdaten etc.)
• Folgen für Betroffene (z.B. Betrugsrisiko)

In jedem Fall sollte vor einer Meldung die Kommunikations- und Verteidigungsstrategie genau festgelegt werden und „vorausschauend“ gemeldet werden. Auch wenn es immer heißt „Melden macht frei“: Es muss vorrausschauend gemeldet werden. Je nach Vorgang kann die Meldung der erste Schritt in einer langwierigen Kommunikation mit der Behörde werden, bei der es später auch um die Ermittlung von Rechtsverstößen des meldenden Unternehmens gehen kann. Schon aus diesem Grund sollte einer Meldung immer eine zumindest kurze Prüfung der Datenschutz-Compliance des Unternehmens vorangehen, um auf Nachfragen vorbereitet zu. In vielen Fällen hat es sich jedoch bewährt, kooperativ und konstruktiv mit Behörden zusammenzuarbeiten!

Auch in der größten Eile den Datenschutz nicht vergessen!

Gerade in der Stresssituation eines Cyber Angriffs werden oft elementare (datenschutz-)rechtliche Anforderungen bei internen wie externen Ermittlungsmaßnahmen übersehen, die im Ernstfall zu einem späteren Beweisverwertungsverbot und gesondert sanktionierbaren Datenschutzverstößen führen können. Insbesondere vor Mitarbeiterscreenings oder der personalisierten Kontrolle von Log-Files sollten die Maßnahmen deshalb rechtliche geprüft werden.

In der Ruhe liegt die Kraft!

Auch wenn es heiß hergeht, sollte zu aller erst immer die Ruhe bewahrt werden. Unbedachte Maßnahmen können den Schaden im Fall einer Cyber Attacke oftmals noch vertiefen. Profis können helfen, solche Fehler zu vermeiden. Und: Nach dem Angriff ist vor dem Angriff. Aus Fehlern muss gelernt werden. Sei es dadurch, dass die IT-Sicherheit weiter gehärtet wird oder die Prozesse weiter verbessert werden. Ohne Aufräumen geht‘s nicht, wenn man für den nächsten Angriff auch rechtlich gut vorbereitet sein will!

Eine ausführlichere Checkliste in Englischer Sprache finden Sie hier.