Als 2016 die Stadtverwaltung Dettelbach von einem Cyber-Angriff getroffen wurde, kamen einige unglückliche Faktoren zusammen. Diese Faktoren führen nun am Ende dazu, dass der IT-Dienstleister für einen Großteil des Schadens aufkommen muss!
Was war geschehen?
Im Februar 2016 wurde die Stadt Dettelbach von einem Verschlüsselungstrojaner angegriffen und alle Daten wurden verschlüsselt. Eine brauchbare Datensicherung, die eine Rückkehr zum Normalbetrieb hätte gewährleisten können, gab es nicht.
Also entschied die Bürgermeisterin Christine Konrad das Lösegeld zu zahlen, um damit an den Entschlüsselungscode zu kommen. So wie sich der Presseartikel liest, wurden jedoch bereits auf Grundlage veralteter Datensicherungen durch den IT-Dienstleister Wiederherstellungen ausprobiert, die letztlich dazu geführt haben, dass auch der rettende Code keine Wirkung mehr hatte, eine Entschlüsselung war nicht mehr möglich.
Im Ergebnis hat die Stadtverwaltung damit nicht nur das Lösegeld gezahlt, sondern musste alle Daten von Hand neu erfassen. Insgesamt entstand damit ein Schaden von 212.000 EUR!
Ein Rechtstreit folgte!
Diesen Schaden hat die Stadt gerichtlich gegenüber dem IT-Dienstleister geltend gemacht. Und jetzt – sieben Jahre später – gibt es ein Urteil des Landgericht Würzburg, wonach der IT-Dienstleister der Stadt insgesamt 155.878,24 EUR Schadenersatz zahlen muss.
Das Gericht urteilte, dass der Angriff deshalb so schlimm verlaufen ist, weil eine vernünftige Datensicherung gefehlt habe. Nach den Erkenntnissen des Gerichts hat es „ein mangelhaftes Datensicherungskonzept“ gegeben.
Was kann man aus diesem Vorfall lernen?
Leider ist zumindest bisher nicht bekannt, wie die vertragliche Vereinbarung zwischen dem IT-Dienstleister und der Stadt ausgestaltet war. Weshalb wir an dieser Stelle keine Dos and Dont’s gibt, die sich speziell aus diesem Fall ableiten lassen.
Insgesamt empfehlen wir unseren Mandanten aber unseren „Best-Practise-Ansatz“, damit die Zuständigkeiten zur Datensicherung geregelt sind! Ob dies am Ende eine Rechtssicherheit in einem vergleichbaren Fall bringen würde, können wir nicht vorhersagen, wir hoffen eher, dass bei Berücksichtigung der nachfolgenden Punkte ein solcher Fall gar nicht erst eintrifft!
Unsere Handlungsempfehlungen:
Allen Mandanten, bzw. allgemein allen Unternehmen, empfehlen wir die Umsetzung eines von der Geschäftsführung akzeptierten Datensicherungskonzeptes. In diesem Datensicherungskonzept sollte festgehalten werden, wann welche Daten wohin gespeichert werden, wer darauf Zugriff hat und was für den Zugriff notwendig ist. Dabei sollte auch berücksichtigt werden, wie lange ein Datenverlust insgesamt dauern darf und wie groß der maximal tolerierbare Datenverlust sein darf!
Ein Muster dazu finden unsere Mandanten als Anlage 1.2 zum Datenschutzhandbuch (Beratungskonzept 2).
Wir empfehlen daher allen Mandanten sich mit dem Thema auseinanderzusetzen und zusammen mit der IT-Abteilung oder dem IT-Dienstleister das Thema zu besprechen und gemeinsam zu dokumentieren. Dabei sollte auch geklärt werden, wer für mögliche Testrücksicherungen, die wir zumindest 2x pro Jahr empfehlen, verantwortlich ist und diese Testrücksicherungen durchführt und dokumentiert.
Zudem sollten die Verantwortlichkeiten für die Datensicherung klar geregelt werden. Gibt es keine klare Regelung liegt die Pflicht zur Datensicherung für uns immer beim Unternehmen! Im Rahmen von Managed-Services kann diese Verantwortlichkeit im Rahmen von Leistungsvereinbarungen auf den IT-Dienstleister übertragen werden, wodurch dieser auch in die Haftung eintritt. Hier sollte jedoch klar geregelt werden, wie diese Haftung ausgestaltet wird. Aber auch ohne einen (gebuchten) Service gehen viele Unternehmen davon aus, dass der IT-Dienstleister die Datensicherung schon überwachen und gewährleisten wird. Daher empfehlen wir unseren IT-Dienstleistern diesen Trugschluss klar zu kommunizieren und die Unternehmen über die eigene Verantwortung zur Datensicherung aufzuklären. Dazu kann z.B. unsere Musterinformation zur „Backupverantwortung“ aus dem Beratungskonzept 7 genutzt werden!
Fazit
Auch ohne konkrete Informationen darüber, wie die Datensicherung bei der Stadt Dettelbach organisiert wurde, können Unternehmen und IT-Dienstleister jetzt klare Regelungen treffen, die die Verantwortlichkeiten festlegen. Auch wenn der Ernstfall hoffentlich nie eintritt, können damit Streitigkeiten vermieden werden und zudem kann die Geschäftsführung erkennen, ob vielleicht im Bereich der Datensicherung noch eine offene Flanke im Unternehmen existiert!
Bei Fragen zu den Themen Backup, gemeinsames Datensicherungskonzept und wie ein angemessenes Datensicherungskonzept im Unternehmen aussehen kann, stehen wir gerne zur Verfügung!
Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH