Mehr und mehr Prozesse des Berufs- und Alltagslebens verlagern sich in den Onlinebereich. Die Zahl digitaler Tools, Dienstleistungen und Medien, die wir nutzen und die Summe an Daten, die wir dabei austauschen, hochladen, bearbeiten und speichern, steigt unaufhörlich – und damit auch das Risiko, von Cyberkriminalität, Verlust und Datendiebstahl betroffen zu sein. Nachrichten über Datenleaks, gehackte Webseiten und Data Breach gehören heute zum Alltag. Dabei bezieht sich eine Datenpanne aber keineswegs nur auf digitale, sondern auch auf analoge Daten. Wir haben uns mit dem Thema, einer genauen Data Breach Definition und dem Dienst „Have I Been Pwned“, mithilfe dessen Sie schnell und einfach überprüfen können, ob Ihre Mail-Adresse Teil eines bekannten Datenleaks ist, eingehend auseinandergesetzt.
Was bedeutet Data Breach?
Als Data Breach oder Datenpanne werden im Allgemeinen all jene Vorfälle bezeichnet, bei denen es zu einer Verletzung der Verfügbarkeit (zum Beispiel Vernichtung oder Verlust), zu einer Verletzung der Integrität (Veränderung der Daten) oder einer Verletzung der Vertraulichkeit (unbefugte Offenlegung oder unbefugter Zugang) von personenbezogenen Daten kommt. Dazu zählen insbesondere auch jene Fälle, wo Personen unautorisiert Zugang zu vertraulichen, sensiblen oder anderweitig geschützen Daten erhalten und diese einsehen, nutzen oder stehlen.
Wann liegt eine Datenpanne vor?
Unternehmen sind verpflichtet, ein gewisses Sicherheitsniveau für ihre Datenverarbeitung durch technische und organisatorische Schutzmaßnahmen (TOMs) zu garantieren. Werden diese überwunden – egal ob unbeabsichtigt, fahrlässig oder gezielt – spricht man gemeinhin von einem Security Incident. Dieser kann sowohl persönliche Identifikationsdaten, Gesundheitsdaten als auch Unternehmens- oder Staatsgeheimnisse in digitaler und analoger Form betreffen. Eine Datenpanne umfasst insbesondere:
- die unbefugte Verarbeitung oder Veränderung von Daten
- das Verlieren/Vernichten oder der Diebstahl von Daten
- das unbefugte Weitergeben von Daten
- unbefugtes Umgehen von Sicherheitsvorkehrungen
- Zustellung von Informationen an den falschen Empfänger
Als Beispiele von Datenpannen dienen der Verlust bzw. Diebstahl wichtiger Akten, welche personenbezogene Daten enthalten, oder das Versenden einer Mail an den falschen Empfänger. Dabei ist es egal, ob Daten im Original (Akten, Datenträger) oder als Kopie (Eindringen auf Server) verlorengehen.
Datenpanne und DSGVO
In Österreich besteht bei einerDatenpanne Meldepflicht, wenn der Data Breach eine Sicherheitsverletzung personenbezogener Daten (also eine Datenschutzverletzung) darstellt (Art 4 Z 12 DSGVO). Kann die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten nicht mehr gewährleistet werden und besteht ein Risiko für die Rechte und Freiheiten natürlicher Personen, muss eine Meldung unmittelbar bzw. möglichst innerhalb von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde, in Österreich ist das die Datenschutzbehörde, erfolgen. Verstöße gegen die Melde- und Benachrichtigungspflicht ziehen mitunter empfindliche Geldstrafen nach sich. In Zweifelsfall sollte eine Data Breach daher immer gemeldet werden.
Datenpanne melden oder dokumentieren
Je nach Risiko für die Betroffenen, das eine Sicherheitsverletzung personenbezogener Daten mit sich bringen kann, sieht die DSGVO bestimmte Melde- und Benachrichtigungspflichten vor. Das betrifft sowohl Unternehmen als auch Privatpersonen:
- Dokumentation: Stellt ein Data Breach kein Risiko für Betroffene dar, muss dieser durch den Verantwortlichen nur dokumentiert werden (Art 33 Abs 5 DSGVO).
Beispiel: Ihre Mailadresse wird gehackt und an die Kontakte in Ihrem Adressbuch werden unautorisiert Phishing-Mails verschickt. Allerdings sind diese auch eindeutig als solche zu identifizieren und stellen damit kaum ein Risiko dar.
- Risiko: Besteht aufgrund der Data Breach ein Risiko für die Rechte und Freiheiten der betroffenen Personen, muss die Datenschutzbehörde unmittelbar verständigt werden (Art 33 DSGVO).
Beispiel: Ihnen kommt Ihr ungeschütztes Diensthandy abhanden, auf dem berufliche Informationen wie Mails oder Kontaktdaten gespeichert sind. Sperren Sie Ihr Smartphone also unbedingt mit einem Passwort, der Gesichtserkennung, oder Ihrem Fingerabdruck.
- Hohes Risiko: Besteht durch die Sicherheitsverletzung personenbezogener Daten allerdings ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, sind auch die Betroffenen zu informieren (Art 34 DSGVO).
Beispiel: In einem Onlineshop werden E-Mail-Adressen und Passwörter gestohlen und zum Download ins Netz gestellt. In der Regel sind in derartigen Fällen die betroffenen Personen zu informieren.
Wie betrifft mich ein Data Breach persönlich?
Die potentiellen Folgen eines Data Breach sind nicht zu unterschätzen. Sind Sie davon betroffen, könnte das nachteilige physische, materielle oder immaterielle Auswirkungen haben, wie beispielsweise Identitätsdiebstahl oder auch -betrug, Rufschädigung, Diskriminierung, finanzielle Verluste sowie andere wirtschaftliche oder gesellschaftliche Nachteile.
Wie kann ich prüfen ob mein Passwort gehackt wurde?
Immer wieder gelangen Hacker an die Zugangsdaten diverser Accounts. Damit Sie schnell und einfach erfahren ob Sie bereits von einem Data Breach betroffen sind, bietet der australische Sicherheitsexperte Troy Hunt das Onlinetool Have I Been Pwned an. Dieses Tool checkt nach Eingabe Ihrer E-Mail Adresse alle bekannten Data Breaches von den verschiedensten Webseiten und gleicht die E-Mail Adressen mit Ihrer ab.
Wie funktioniert Have I Been Pwned?
Auf https://haveibeenpwned.com/ können Sie schnell und einfach überprüfen, ob Ihre Mail-Adresse Teil eines bekannten Daten-Leaks ist. Tippen Sie dazu einfach Ihre Mail-Adresse in das Feld ein und klicken Sie auf pwned?. Folgt der Hinweis Good news — no pwnage found! können Sie sich (soweit) entspannt zurücklehnen: Ihre Adresse ist nicht in Hunts Datensatz gelistet. Das bedeutet aber nicht, dass Sie unantastbar sind. Schützen Sie Ihre Konten beispielsweise nur mit schwachen Passwörtern, können Sie immer noch leicht gehackt werden. Erscheint allerdings die Message Oh no — pwned!, ist Ihre Mail-Adresse von einem Leak betroffen und könnte gefährdet sein. Welcher das ist erfahren Sie unter dem Punkt Breaches you were pwned in. Unter compromised data wird erklärt, welche Daten betroffen sind. Ändern Sie diese am besten umgehend.
Was bedeutet Have I Been Pwned?
Der Begriff owned oder pwned stammt aus der Hackerszene und bezeichnet den unautorisierten Zugriff eines Hackers auf einen Computer, Server etc. Heute wird er auch in der Gamingszene genutzt. Im Zusammenhang mit der Website Have I Been Pwned bedeutet pwned, dass Ihr Account gehackt und möglicherweise Zugangsdaten gestohlen wurden.
Ist Have I Been Pwned sicher?
Have I Been Pwned wird von international anerkannten Experten als seriös eingestuft. Da Sie hier lediglich Ihre Mail-Adresse und nicht das zugehörige Passwort eingeben, können Sie das Tool bedenkenlos nutzen und herausfinden, ob Sie von einem Hack betroffen sind oder waren. Aber Achtung von Nachahmer-Seiten! Für diese kann nicht das gleiche behauptet werden.
Sichere Passwörter erstellen
Um Ihre persönlichen Daten und Assets vor unautorisiertem Zugang im Internet bestmöglich zu schützen, sollten Sie stets darauf achten, starke Passwörter zu verwenden. Wie Sie ein solches erstellen, haben wir Ihnen im Beitrag Sicheres Passwort erstellen: So geht’s in 5 einfachen Schritten erklärt.
Bleiben Sie immer auf neuestem Stand und verpassen Sie nie wieder eine Aktion, ein Gewinnspiel, oder unsere vielen anderen Angebote. Einfach hier klicken:
