Wenn dir Daten geklaut werden, kannst du nicht nur Opfer, sondern auch Täter zugleich sein.
Herr Trommeldreher hat eine Wäscherei am Stadtrand. Es gibt viel zu tun, das Unternehmen wächst erfreulich. Mehrere Unternehmen lassen Dienstwäsche abholen und waschen, darunter auch ein Pflegedienst. Auch im Ladenteil bringen viele Kunden Wäsche und so kann Herr Trommeldreher nun auch ein paar Studenten einsetzen. Diese scannen, waschen und bügeln. In den Wäscheteilen befinden sich Lasercodes, damit der Computer automatisiert eine Rechnung erstellt und die gewaschenen Teile Ihren Weg zurück zu ihrem Träger finden.
Die Wäscherei hat viel Personalzuwachs und viel Fluktuation bei den Angestellten. Es ist schwierig, Mitarbeiter zu finden, die zuverlässig für den Mindestlohn arbeiten. Der Mitarbeiter-Pool ist eine bunte Mischung aus Minijobbern, Studenten, Festangestellten und – ab und an auch einem Leiharbeiter. So kommt es immer wieder dazu, dass neue Leute ins Team kommen und “alte” Angestellte wieder ausscheiden. So hat sich bei Herr Trommeldreher ein riesiger Datenberg angesammelt; mit Namen, Adressen, Religionszugehörigkeit und so weiter…
Herr Trommeldreher möchte ein modernes Unternehmen führen und beschließt daher, die Akten zu digitalisieren. Ein Praktikant ist nun zwei Wochen mit dem Scannen und Akten schreddern beschäftigt, damit die Qualitätswäscherei Trommeldreher für die Zukunft gerüstet ist. Leider ist das System, mit dem die Wäscherei arbeitet, so sicher wie eine Bank mit einer offenen Tür. Da hier das Geld für einen externen IT Anbieter fehlt. So kommt es Wochen später zu einem kleinen Zwischenfall. Die Systeme arbeiten extrem langsam, der Mailversand geht fast gar nicht. Der Scan eines Wäscheteils dauert eine halbe Sekunde, was in der Annahme zu riesigen Verzögerungen führt.
Herr Trommeldreher bemüht seinen Bruder, den IT Fachmann. Er findet einen Wurm (mining trojaner), der Rechenzeit klaut. Dann findet der Bruder von Herrn Trommeldreher eine Hintertür, die ein Hacker eingerichtet hat. Na gut – ging es dem Angreifer nur darum, Geld mit der Rechenleistung zu verdienen oder wurden auch persönliche Daten von Kunden und Mitarbeitern gestohlen?
Jetzt wird es interessant: Denn die Wäscherei Trommeldreher hat sich hier strafbar gemacht. Herr Trommeldreher muss jetzt nachweisen, dass er alles getan hat, um den Datenschutz für seine Mitarbeiter und Kunden zu gewährleisten.
Anmerkung:
Viele Grundprinzipien der IT-Sicherheit und des Datenschutzes wurden in dieser Geschichte nicht behandelt. Wie Segmentierung, Einwilligungen und Meldungen.
Beispiel aus dem richtigen Leben:
Im September 2019 hat die polnische Datenschutzaufsicht (Urząd Ochrony Danych Osobowych) eine DSGVO-Strafe von 645.000,- für ein Hacking-Opfer erlassen. Das Handelsportal morele.net (Umsatz laut dataprotect.at im Jahr 2018: ca. 159 Mio €) hat bei einem Hack Datensätze von mehr als 2 Millionen verloren. Die Datensätze umfassten Namen, Telefonnummern, Adressen, Mails und Bonitätsdaten.
Im Falle eines Verlustes dieser Datenkategorien, ergibt sich ein erhebliches Risiko für die betroffenen Personen. Zusätzlich handelt es sich um eine erhebliche Anzahl von Betroffenen. Der Onlinehändler hat wohl nicht mit angemessenen technischen und organisatorischen Maßnahmen dafür gesorgt, dass die Daten ausreichend geschützt wurden. So die Meinung der Aufsicht. Bei dem Bußgeld wurde davon ausgegangen, dass der Onlinehändler gut mit der Behörde kooperierte und es sich um den ersten Verstoß handelte.
Damit Dir das nicht passieren kann, können wir uns gerne gemeinsam ansehen, welche Daten du in deinem Unternehmen verarbeitest. Mach einen unverbindlichen und kostenlosen Termin mit uns aus.