{"id":532,"date":"2025-06-01T22:25:00","date_gmt":"2025-06-02T02:25:00","guid":{"rendered":"https:\/\/www.softwareag.com\/?p=532"},"modified":"2026-03-17T14:14:49","modified_gmt":"2026-03-17T18:14:49","slug":"verschluesselung-entbindet-von-der-meldepflicht-3","status":"publish","type":"post","link":"https:\/\/www.softwareag.com\/de\/blog\/security\/verschluesselung-entbindet-von-der-meldepflicht-3\/","title":{"rendered":"Verschl\u00fcsselung entbindet Unternehmen und Beh\u00f6rden von der Meldepflicht bei Cyberangriffen"},"content":{"rendered":"

Unternehmen und Beh\u00f6rden nutzen in der Regel Datenbanken, in denen gro\u00dfe Datenmengen gespeichert und verarbeitet werden. Verwaltet werden typischerweise gesch\u00e4ftskritische und hochsensible Daten, z. B. Finanzdaten (Steuern, Konten und Kreditkarten), Personendaten (Privatadressen und Personalakten) oder Produktdaten. Die Datenbanken sind meist eng mit Anwendungen und Web-Diensten verbunden. Diese machen sie von au\u00dfen und innen angreifbar.<\/p>\n\n\n\n

Viele CIOs und IT-Leiter glauben, dass ihre IT-Infrastruktur ausreichend gegen Angriffe gesch\u00fctzt ist. Mehrstufige Firewalls, Anti-Virensoftware, sowie Intrusion Detection und Prevention Systeme (IPS)(1) vermitteln oft ein tr\u00fcgerisches Gef\u00fchl der Sicherheit. Was dabei vergessen wird, dass das Problem h\u00e4ufig vor dem PC innerhalb der Unternehmen und Beh\u00f6rden sitzt.<\/p>\n\n\n\n

Nach wie vor gehen Mitarbeiter zu sorglos mit Phishing-Mails oder externen Anrufern um, klicken auf Links oder geben vertrauliche Informationen an Au\u00dfenstehende weiter. Das liegt h\u00e4ufig daran, dass die Mails oder Anrufer gar nicht mehr als Bedrohung erkannt werden k\u00f6nnen. Gerade in Zeiten von KI ist die T\u00e4uschung fast perfekt.
Kommt dann noch Stress oder Zeitdruck im Arbeitsalltag dazu, ist der GAU nicht weit entfernt.<\/p>\n\n\n\n

Dass die Cyberangriffe h\u00e4ufig von Erfolg gekr\u00f6nt sind, zeigt eine aktuelle Studie der Europ\u00e4ischen Agentur f\u00fcr Cybersicherheit (enisa)(2). Die Sicherheitsexperten haben dabei festgestellt, dass besonders Unternehmen und Beh\u00f6rden in der Europ\u00e4ischen Union das Ziel von Cyberattacken in den letzten 12 Monaten geworden sind.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Anzahl der Vorf\u00e4lle - EU und weltweit (Juli 2023 - Juni 2024)<\/p>\n\n\n\n

Betrachtet man die einzelnen Sektoren, dann sind besonders stark der \u00f6ffentliche Sektor mit 19 % der Angriffe betroffen, gefolgt von Transport (11%) und Banken\/Finanzen (9%). Dass der \u00f6ffentliche Bereich besonders stark betroffen ist, verwundert nicht, viele sind die Angriffe auf den Deutschen Bundestag, Kommunen, Universit\u00e4tskliniken, aber auch auf unsere Polizei und Verfassungsschutz noch bestens in Erinnerung.(3-8)<\/sup><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Betroffene Sektoren - Der \u00f6ffentliche Bereich ist am st\u00e4rksten betroffen! (Juli 2023 - Juni 2024)<\/p>\n\n\n\n

\u00dcber Cyberangriffe auf deutsche Bundesbeh\u00f6rden berichtete die Bundesregierung j\u00fcngst in ihrer Antwort (20\/14532) auf eine \"Kleine Anfrage\" der FDP-Fraktion (20\/14372). Danach wurden im vergangenen Jahr vom Bundesamt in der Informationssicherheit (BSI) im Zeitraum vom 1. Januar bis 30. Dezember 80 gemeldete IT-Sicherheitsvorf\u00e4lle erfasst.\n\nInteressant ist in diesem Zusammenhang auch die Analyse der Bedrohungen nach Typ.\n\nDie direkte Gef\u00e4hrdung von gespeicherten Daten, d.h. Datenbanken, liegt bei den untersuchten Bedrohungstypen in Summe bei 45% (Daten 19% und Ransomware 26%). (2)<\/sup>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Analyse der Bedrohungen nach Typ<\/p>\n\n\n\n

Besorgniserregend ist auch die Aussage der enisa, dass die Kompromittierung von Daten in den Jahren 2023-2024 stark zugenommen hat und es Anzeichen daf\u00fcr gibt, dass sich diese Dynamik in den Folgejahren weiter fortsetzen wird(2).\n\nIn der DSGVO<\/strong>(9)<\/sup> wird in Artikel 32 (Sicherheit der Verarbeitung) gefordert: \" ... treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma\u00dfnahmen, um ein dem Risiko angemessenes Schutzniveau zu gew\u00e4hrleisten\".<\/p>\n\n\n\n

Insbesondere wird die \"Pseudonymisierung und Verschl\u00fcsselung personenbezogener Daten\" als wirksame Ma\u00dfnahme empfohlen. <\/p>\n\n\n\n

Ebenso das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen BSI-Normen(10)<\/sup> 200-1 to 200-4.<\/strong> den Einsatz von Verschl\u00fcsselung zur Risikominimierung des IT-Betriebs.<\/p>\n\n\n\n

Artikel 33 DSGVO<\/strong>(9)<\/sup> (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbeh\u00f6rde) fordert: \"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverz\u00fcglich und m\u00f6glichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gem\u00e4\u00df Artikel 55 zust\u00e4ndigen Aufsichtsbeh\u00f6rde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen f\u00fchrt. Erfolgt die Meldung an die Aufsichtsbeh\u00f6rde nicht binnen 72 Stunden, so ist ihr eine Begr\u00fcndung f\u00fcr die Verz\u00f6gerung beizuf\u00fcgen.\"<\/p>\n\n\n\n

 W\u00e4hrend die IT-Verantwortlichen der Artikel 33 DSGVO<\/strong> bekannt sein sollte, herrscht bez\u00fcglich der richtigen Anwendung des Artikels eine gewisse Unsicherheit in der IT-Welt.<\/p>\n\n\n\n

Um f\u00fcr mehr Klarheit hinsichtlich der Meldepflicht zu sorgen, hat das Europ\u00e4ischer Datenschutzausschuss <\/strong>(edpb) Leitlinien(11)<\/sup> mit Fallbeispielen erstellt.<\/p>\n\n\n\n

Im dort beschriebenen \"Fall Nr. 01: Ransomware mit angemessener Sicherungskopie und ohne Exfiltration\"<\/strong> wird folgendes Szenario und dessen Auswirkungen beschrieben:<\/p>\n\n\n\n

 \"Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt und die auf diesen Systemen gespeicherten Daten wurden verschl\u00fcsselt. Der Verantwortliche nutzte die Verschl\u00fcsselung von ruhenden Daten, d. h. alle Daten, auf die die Ransomware zugriff, wurden mit einem modernen Verschl\u00fcsselungsalgorithmus verschl\u00fcsselt gespeichert. Der Entschl\u00fcsselungsschl\u00fcssel wurde bei dem Angriff nicht beeintr\u00e4chtigt, d. h. der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschl\u00fcsselte pers\u00f6nliche Daten.\"<\/p>\n\n\n\n

 Die erforderlichen Ma\u00dfnahmen ergeben sich aus der in den Leitlinien ver\u00f6ffentlichten Tabelle:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die erforderlichen Ma\u00dfnahmen werden dabei wie folgt begr\u00fcndet:<\/p>\n\n\n\n

\"In diesem Beispiel hatte der Angreifer Zugriff auf personenbezogene Daten, wodurch die Vertraulichkeit des Geheimtextes, der personenbezogene Daten in verschl\u00fcsselter Form enth\u00e4lt, beeintr\u00e4chtigt wurde. Die Daten, die m\u00f6glicherweise exfiltriert wurden, k\u00f6nnen jedoch vom Angreifer vorerst nicht gelesen oder verwendet werden. Die vom Verantwortlichen verwendete Verschl\u00fcsselungstechnik entspricht dem Stand der Technik. Der zur Entschl\u00fcsselung ben\u00f6tigte Schl\u00fcssel wurde nicht beeintr\u00e4chtigt und konnte vermutlich auch nicht auf anderen Wegen ermittelt werden. Infolgedessen werden die Risiken hinsichtlich der Vertraulichkeit f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen auf ein Mindestma\u00df begrenzt, sofern keine kryptoanalytischen Fortschritte erzielt werden, die die verschl\u00fcsselten Daten in Zukunft verst\u00e4ndlich machen.\"<\/p>\n\n\n\n

 Der Einsatz von Verschl\u00fcsselung befreit auch Unternehmen und Beh\u00f6rden, gem\u00e4\u00df dem dargelegten Fallbeispiel, von der Pflicht die Aufsichtsbeh\u00f6rde und die betroffenen Personen zu informieren.<\/strong><\/p>\n\n\n\n

Stellt man hier die erforderlichen IT-Investitionen einem m\u00f6glichen Image-, Umsatz- und Vertrauensverlust von betroffenen Kunden und Personen gegen\u00fcber, wird schnell klar, dass die notwendigen Investitionen deutlich kleiner ausfallen werden als der potenzielle Schaden.<\/p>\n\n\n\n

 Im heutigen Zeitalter von Nachrichtenportalen und Social-Media sind die Folgen nicht zu untersch\u00e4tzen und k\u00f6nnen langwierige negative Auswirkungen f\u00fcr Unternehmen und Beh\u00f6rden bedeuten.<\/p>\n\n\n\n

Die Software AG empfiehlt daher grunds\u00e4tzlich ihren Kunden den Einsatz von Encryption(12) <\/sup> in Kombination mit Wirtschaftspr\u00fcfung(12) <\/sup> f\u00fcr unsere Adabas Datenbanken, um die Risiken im IT-Betrieb auf ein Minimum zu beschr\u00e4nken. Beide Ma\u00dfnahmen erg\u00e4nzen sich ideal und bilden den optimalen Technologiemix, um sich gegen Angriffe und ungewollte Datenabfl\u00fcsse von innen und au\u00dfen zu wappnen.<\/p>\n\n\n\n

(1) https:\/\/www.gartner.com\/reviews\/market\/intrusion-prevention-systems<\/a><\/sub>
(2) https:\/\/www.enisa.europa.eu\/publications\/enisa-threat-landscape-2024<\/a><\/sub>
(3) https:\/\/www.auswaertiges-amt.de\/en\/newsroom\/news\/hacker-attack-bundestag-2345580<\/a><\/sub>
(4) https:\/\/www.dw.com\/en\/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023\/a-69065980<\/a><\/sub>
(5) https:\/\/www.heise.de\/en\/news\/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html<\/a><\/sub>
(6) https:\/\/www.bbc.com\/news\/technology-54204356<\/a><\/sub>
(7) https:\/\/www.dutchnews.nl\/2024\/09\/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers\/<\/a><\/sub>
(8) https:\/\/www.statista.com\/topics\/7011\/cyber-crime-in-spain\/#topicOverview<\/a><\/sub>
(9) https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/PDF\/?uri=CELEX:32016R0679<\/a><\/sub>
(10) https:\/\/www.bsi.bund.de\/EN\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/it-grundschutz_node.html<\/a><\/sub>
(11) https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-012021-examples-regarding-personal-data-breach_en<\/a><\/sub>
(12) https:\/\/www.softwareag.com\/app\/uploads\/2025\/08\/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf<\/a><\/sub><\/p>\n\n\n\n

Lesen Sie hier mehr<\/a><\/p>\n\n\n\n

\n