Weka Plus

Cyberattacke: Was muss in der Praxis gemacht werden?

Jedes Unternehmen, unabhängig von seiner Grösse oder seinem Tätigkeitsfeld, kann Ziel einer Cyberattacke sein. Daher ist es wichtig, dass ein Unternehmen angemessene Datensicherheitsmassnahmen ergreift und einen Notfallplan implementiert. Hierzu gehört u.a. die Einführung und das Testen eines Notfallplans, die Investition in Datensicherheit, die Schulung von Mitarbeitenden und die Einhaltung der gesetzlichen und vertraglichen Pflichten. Ein wichtiger Aspekt des Notfallplans sind die gesetzlichen und vertraglichen Meldepflichten gegenüber Aufsichtsbehörden, betroffenen Personen und Kunden.

28.05.2024 Von: Rehana Harasgama
Cyberattacke

Was ist eine Cyberattacke?

Der Begriff "Cyberattacke" ist nicht rechtlich definiert und kann je nach Rechtsordnung und Rechtsprechung variieren. Für diesen Beitrag wird vom folgenden Verständnis ausgegangen: 

Eine Cyberattacke ist ein zielgerichteter, digitaler Angriff durch Umgehung von Datensicherheitsmassnahmen auf die Computer, Informationssysteme, Netzwerke oder Daten eines Unternehmens, um diese zu beschädigen, zu stören oder unrechtmässig auf sie zuzugreifen.

Es gibt unterschiedlichste Taktiken (von einfachen Betrugsversuchen bis hin zu hochentwickelten Kampagnen, die auf kritische Infrastrukturen und internationale Konzerne abzielen) und Methoden (z.B. Social Engineering, Ransomware, Spionage, Denial-of-Service-Angriffe, Malware oder Phishing) von Cyberattacken und die Anzahl Cyberattacken hat in den letzten Jahren aufgrund der Zunahme von Automatisierungen und künstlicher Intelligenz (KI oder AI) stark zu genommen. 

Cyberattacken haben in der Regel schädliche Absichten, wie z.B. der Diebstahl von Daten, die Lahmlegung von Systemen, finanzieller Schaden oder die Stiftung von Unruhe. Ein solcher Angriff kann auch von verschiedensten Akteuren ausgelöst werden, wie z.B. Hacker, Konkurrenten, eigene Mitarbeitende oder irgendwelche Drittpersonen.

Welche datenschutzrechtlichen Fragen stellen sich?

Wenn ein Unternehmen von einer Cyberattacke betroffen ist, stehen zunächst die betriebsinternen Fragen und Probleme im Vordergrund. Jedoch dürfen die datenschutzrechtlichen Meldepflichten nicht vergessen gehen.

Die Meldepflichten gemäss Schweizer Datenschutzrecht sind in Art. 24 DSG verankert. Sie werden nur ausgelöst, wenn eine Verletzung der Datensicherheit ("Data Breach") im Sinne des DSG vorliegt.

Eine Verletzung der Datensicherheit liegt vor, wenn dadurch Personendaten (z.B. Namen, Adressen, Kreditkartenangaben, Geburtsdatum, Personaldossiers, Gesundheitsdaten etc.) aus Versehen oder widerrechtlich gestohlen, gelöscht oder verändert werden oder wenn eine unbefugte Person auf diese Daten zugreift. Es gibt im Schweizer Recht und international zahlreiche (nicht nur datenschutzrechtliche) Meldepflichten, die durch eine Cyberattacke ausgelöst werden können: Meldepflichten gegenüber der FINMA, Meldepflichten gemäss der EU-Datenschutzgrundverordnung, Meldepflichten gemäss der europäischen NIS-2-Richtlinie oder anderen Verordnungen der EU (welche auch auf Schweizer Unterhemen anwendbar sein können) sowie die Meldepflichten für Anbieter kritischer Infrastrukturen in der Schweiz gemäss dem neuen Informationssicherheitsgesetz, das dieses Jahr in Kraft treten soll. Ausserdem können vertraglich vereinbarte Meldepflichten ausgelöst werden, welche oft mit der Bezahlung einer Vertragsstrafe kombiniert sind. 

Bei einer Cyberattacke ist in der Regel von einem Data Breach auszugehen, da in den meisten Fällen Personendaten betroffen sind, sei es von den eigenen Mitarbeitenden, Lieferanten oder Kunden. Somit werden die Meldepflichten gemäss DSG grundsätzlich ausgelöst.

Gemäss Art. 24 DSG gibt es drei unterschiedliche Meldepflichten, die durch eine Cyberattacke ausgelöst werden können:

  1. Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB").
  2. Meldepflicht gegenüber den betroffenen Personen, also z.B. Mitarbeitende, Lieferanten oder Kunden.
  3. Wenn ein Unternehmen für andere Unternehmen Personendaten bearbeitet (z.B. als Cloud-Provider, Anbieter von HR-Software oder weil es für Kunden die Lohnbuchhaltung übernimmt), also Auftragsbearbeiter ist, gibt es nur eine Meldepflicht gegenüber dem Auftraggeber. Dieser ist wiederum dafür verantwortlich, die anderen Meldepflichten zu erfüllen.

Die Meldepflicht gegenüber dem EDÖB wird nur ausgelöst, wenn die Cyberattacke zu einem hohen Risiko für die Mitarbeitenden, Lieferanten oder Kunden (also die betroffenen Personen) führen könnte. Dies kann der Fall sein, wenn sehr sensible Daten (z.B. Gesundheitsdaten) oder ein grosses Volumen an Daten betroffen sind, wenn besonders schützenswerte Personen betroffen sind (z.B. Kinder, Bankkunden oder Patienten) oder wenn es zu einem Identitätsdiebstahl kommen könnte. In einem solchen Fall müssen dem EDÖB folgende Informationen "so rasch als möglich" (in der EU gilt eine Frist von max. 72h) geliefert werden:

  • Art der Verletzung
  • Zeitpunkt und Dauer der Verletzung (falls möglich)
  • Kategorien und Anzahl der betroffenen Daten (falls möglich)
  • Kategorien und Anzahl der betroffenen Personen (falls möglich)
  • Folgen und Risiken der Verletzung
  • Geplante oder getroffene Massnahmen
  • Namen und Kontaktdaten einer Ansprechperson

Diese Informationen können auch etappenweise mitgeteilt werden, solange der Data Breach an sich rasch gemeldet wird. Für diese Meldung gibt es ein online Formular, das ausgefüllt werden kann: https://databreach.edoeb.admin.ch/report. Die Meldung gegenüber dem EDÖB ist für mindestens zwei Jahre aufzubewahren. 

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren