Unternehmen und Behörden nutzen in der Regel Datenbanken, in denen große Datenmengen gespeichert und verarbeitet werden. Verwaltet werden typischerweise geschäftskritische und hochsensible Daten, z. B. Finanzdaten (Steuern, Konten und Kreditkarten), Personendaten (Privatadressen und Personalakten) oder Produktdaten. Die Datenbanken sind meist eng mit Anwendungen und Web-Diensten verbunden. Diese machen sie von außen und innen angreifbar.
Viele CIOs und IT-Führungskräfte glauben, dass ihre IT-Infrastruktur ausreichend vor Cyberangriffen geschützt ist. Mehrstufige Firewalls, Antivirensoftware sowie Intrusion-Detection- und Intrusion-Prevention-Systeme (IPS)(1) ein falsches Sicherheitsgefühl vermitteln. Was viele nicht erkennen, ist, dass das größte Sicherheitsrisiko oft von innen kommt – von den Mitarbeitern und Beamten, die diese Systeme nutzen.
Nach wie vor gehen Mitarbeiter zu sorglos mit Phishing-Mails oder externen Anrufern um, klicken auf Links oder geben vertrauliche Informationen an Außenstehende weiter. Das liegt häufig daran, dass die Mails oder Anrufer gar nicht mehr als Bedrohung erkannt werden können. Gerade in Zeiten von KI ist die Täuschung fast perfekt.
Kommt dann noch Stress oder Zeitdruck im Arbeitsalltag dazu, ist der GAU nicht weit entfernt.
Dass die Cyberangriffe häufig von Erfolg gekrönt sind, zeigt eine aktuelle Studie der Europäischen Agentur für Cybersicherheit (enisa)(2). Die Sicherheitsexperten haben dabei festgestellt, dass besonders Unternehmen und Behörden in der Europäischen Union das Ziel von Cyberattacken in den letzten 12 Monaten geworden sind.
Anzahl der Vorfälle - EU und weltweit (Juli 2023 - Juni 2024)
Betrachtet man die einzelnen Sektoren, dann sind besonders stark der öffentliche Sektor mit 19 % der Angriffe betroffen, gefolgt von Transport (11%) und Banken/Finanzen (9%). Dass der öffentliche Bereich besonders stark betroffen ist, verwundert nicht, viele sind die Angriffe auf den Deutschen Bundestag, Kommunen, Universitätskliniken, aber auch auf unsere Polizei und Verfassungsschutz noch bestens in Erinnerung.(3-8)
Betroffene Sektoren – Der öffentliche Sektor ist am stärksten betroffen! (Juli 2023 – Juni 2024)
Bei einer Aufschlüsselung der Cyberbedrohungen nach Kategorien entfällt die direkte Bedrohung für gespeicherte Daten – vor allem Datenbanken – auf 45%, wobei 19% der Vorfälle Datenlecks und 26% Ransomware-Angriffe betrafen (2).
Analyse der Bedrohungen nach Typ
Besorgniserregend ist auch die Aussage der enisa, dass die Kompromittierung von Daten in den Jahren 2023-2024 stark zugenommen hat und es Anzeichen dafür gibt, dass sich diese Dynamik in den Folgejahren weiter fortsetzen wird(2). In der GDPR(9) (Sicherheit der Verarbeitung) wird Folgendes gefordert: "Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten."
Insbesondere beleuchtet es „die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten“ als wirksame Maßnahme.
Außerdem ist die Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Verschlüsselung als Schlüsselstrategie zur Minimierung des Risikos von IT-Betrieben in seiner BSI-Normen (10) 200-1 bis 200-4.
Unter Artikel 33 der GDPR(9) (Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde), Unternehmen sind verpflichtet, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde zu melden. Der für die Verarbeitung Verantwortliche muss die zuständige Aufsichtsbehörde gemäß Artikel 55 benachrichtigen, es sei denn, die Verletzung birgt unwahrscheinlich Risiken für die Rechte und Freiheiten natürlicher Personen. Wenn die Benachrichtigung mehr als 72 Stunden verspätet erfolgt, muss eine Begründung für die Verzögerung vorgelegt werden.
Während die IT-Verantwortlichen der Artikel 33 DSGVO bekannt sein sollte, herrscht bezüglich der richtigen Anwendung des Artikels eine gewisse Unsicherheit in der IT-Welt.
Um für mehr Klarheit hinsichtlich der Meldepflicht zu sorgen, hat das Europäischer Datenschutzausschuss (edpb) Leitlinien(11) mit Fallbeispielen erstellt.
Im dort beschriebenen "Fall Nr. 01: Ransomware mit angemessener Sicherungskopie und ohne Exfiltration" wird folgendes Szenario und dessen Auswirkungen beschrieben:
"Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt und die auf diesen Systemen gespeicherten Daten wurden verschlüsselt. Der Verantwortliche nutzte die Verschlüsselung von ruhenden Daten, d. h. alle Daten, auf die die Ransomware zugriff, wurden mit einem modernen Verschlüsselungsalgorithmus verschlüsselt gespeichert. Der Entschlüsselungsschlüssel wurde bei dem Angriff nicht beeinträchtigt, d. h. der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschlüsselte persönliche Daten."
Die erforderlichen Maßnahmen ergeben sich aus der in den Leitlinien veröffentlichten Tabelle:
Die erforderlichen Maßnahmen werden dabei wie folgt begründet:
In diesem Beispiel hatte ein Angreifer Zugriff auf personenbezogene Daten und die Vertraulichkeit des Geheimtextes, der personenbezogene Daten in verschlüsselter Form enthielt, wurde kompromittiert. Allerdings können durch die Kompromittierung gewonnene Daten vom Täter zumindest vorerst nicht gelesen oder genutzt werden. Die vom für die Datenverarbeitung Verantwortlichen eingesetzte Verschlüsselungstechnik ist auf dem neuesten Stand der Technik. Der Entschlüsselungsschlüssel wurde nicht kompromittiert und konnte mutmaßlich auch nicht auf anderem Wege ermittelt werden. Folglich sind die Vertraulichkeitsrisiken für die Rechte und Freiheiten der natürlich Personen werden auf ein Minimum reduziert, abgesehen von kryptanalytischem Fortschritt, der die verschlüsselten Daten in Zukunft verständlich macht.
Der Einsatz von Verschlüsselung befreit auch Unternehmen und Behörden, gemäß dem dargelegten Fallbeispiel, von der Pflicht die Aufsichtsbehörde und die betroffenen Personen zu informieren.
Stellt man hier die erforderlichen IT-Investitionen einem möglichen Image-, Umsatz- und Vertrauensverlust von betroffenen Kunden und Personen gegenüber, wird schnell klar, dass die notwendigen Investitionen deutlich kleiner ausfallen werden als der potenzielle Schaden.
In der heutigen hypervernetzten Welt, in der sich Nachrichten sofort über Online-Plattformen und soziale Medien verbreiten, dürfen Organisationen den langfristigen Schaden, den ein Cyberangriff verursachen kann, nicht unterschätzen.
Um die Risiken zu minimieren, empfiehlt die Software AG ihren Kunden dringend die Implementierung von Verschlüsselung (12) und Rechnungsprüfung (12) für sein Adabas Datenbanken zur Steuerung von IT-Risiken ein Minimum. Beide Maßnahmen ergänzen sich und bilden den optimalen Technologiemix, um vor Angriffen und unerwünschten internen und externen Datenlecks zu schützen.
(1) https://www.gartner.com/reviews/market/intrusion-prevention-systems
(2) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
(3) https://www.auswaertiges-amt.de/en/newsroom/news/hacker-attack-bundestag-2345580
(4) https://www.dw.com/en/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023/a-69065980
(5) https://www.heise.de/en/news/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html
(6) https://www.bbc.com/news/technology-54204356
(7) https://www.dutchnews.nl/2024/09/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers/
(8) https://www.statista.com/topics/7011/cyber-crime-in-spain/#topicOverview
(9) https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
(10) https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
(11) https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
(12) https://www.softwareag.com/app/uploads/2025/08/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf
