In Bezug auf Hacking-Angriffe scheint es, als habe sich 2016 gegen Jahresende hin noch zum Jahr der Superlative entwickelt. Bereits im September dominierten gleich mehrere Meldungen aus der IT-Sicherheit die Nachrichten.
Zum einen ereigneten sich innerhalb einer Woche die zwei bis dahin größten registrierten DDoS-Attacken, welche ungeahnt verzweigte und dadurch enorm leistungsfähige Bot-Netzwerke offenbarten. Außerdem vermeldete Yahoo, dass der Konzern im Jahr 2014 Ziel eines erfolgreichen Hacker-Angriffs mit 500 Millionen betroffenen Kundenkonten war.
Doch auch nach diesem ereignisreichen September teilte Yahoo Mitte Dezember mit, dass nach neuen Erkenntnissen schon im Jahr 2013 über eine Milliarde Nutzerkonten von einem unbekannten Dritten gehackt wurden. Dies stellt den bis dato weitreichendsten Hacker-Angriff überhaupt dar. Von dem Angriff waren Informationen wie Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und mittels Hashing (MD5) verschlüsselte Passwörter, sowie teilweise auch unverschlüsselte Sicherheitsfragen mitsamt zugehöriger Antworten betroffen. Konto- und Kreditkartendaten seien indes nicht erbeutet worden, diese würden nach Auskunft des Anbieters auf einem separaten System gespeichert. Trotz der – zumindest für die Nachrichteninhalte – sicheren Verschlüsselung, rät Yahoo betroffenen Nutzern ihre Passwörter zu ändern. Denn auch verschlüsselte Passwörter können z.B. durch Vergleiche mit bereits erbeuteten Daten anderer Websites dechiffriert werden. Daher sind insbesondere Nutzer gefährdet, welche dasselbe Passwort für mehrere Websites benutzen.
Rechtliche Vorgaben zur Datensicherheit
Bei einem derart gewaltigen Diebstahl von Nutzerdaten drängt sich naturgemäß die Frage auf, welche Maßnahmen Unternehmen wie Yahoo treffen müssen, um sich gegen solche Angriffe zu schützen?
In der Stellungnahme machte Yahoo keine weiteren Angaben dazu, wo die Verarbeitung der betroffenen Daten stattfand oder ob auch deutsche Nutzer betroffen waren. Insofern lässt sich nicht genau beurteilen, ob deutsches Recht zur Zeit des Hackerangriffs im Jahr 2013 Anwendung fand. Im Jahr 2014 lagerte Yahoo die vormals von der Yahoo Deutschland GmbH durchgeführte Datenverarbeitung in Deutschland zur Yahoo! EMEA Limited nach Irland aus, sodass zumindest seit diesem Zeitpunkt deutsches Recht keine Anwendung (mehr) findet (Hierzu: LG Hamburg Urt. v. 10.07.2015 – Az.: 324 O 17/15).
Unterstellt, zumindest bei dem Hackerangriff im Jahre 2013 war deutsches Recht anwendbar, muss zwischen zwei Rechtsquellen der Datensicherheit – dem TMG und dem BDSG – unterschieden werden.
Datensicherheit im TMG
Das Telemediengesetz (TMG) gilt für Diensteanbieter, die elektronische Informations- und Kommunikationsdienste i.S.d. § 1 Abs. 1 Satz 1 TMG anbieten. Hiervon werden auch Websites wie Yahoo erfasst. Innerhalb des TMG regeln § 13 Abs. 4 TMG und – bei geschäftsmäßigem Anbieten der Website seit dem 25.07.2015 – auch § 13 Abs. 7 TMG die Vorgaben zur Datensicherheit.
Nach den vorliegenden Informationen muss wohl davon ausgegangen werden, dass bei dem Hackerangriff im Jahre 2013 die Anforderungen aus § 13 Abs. 4 TMG von Yahoo nicht erfüllt wurden. Die geltende Rechtslage zugrunde gelegt, wäre weiterhin zu prüfen, ob der Anbieter den Verpflichtungen aus § 13 Abs. 7 TMG ausreichend nachgekommen ist. § 13 Abs. 7 TMG verpflichtet dazu, technische und organisatorische Sicherheitsmaßnahmen auf dem Stand der Technik zu ergreifen, soweit diese technisch möglich und wirtschaftlich zumutbar sind. Hierdurch ist sicherzustellen, dass personenbezogene Daten geschützt und gegen Störungen, auch durch äußere Angriffe, gesichert sind. Allgemein sind mit „Stand der Technik“ – in Anlehnung an die Gesetzesbegründung zu § 8a BSIG – technische und organisatorische Maßnahmen gemeint, die die praktische Eignung zur Erreichung eines allgemein hohen Schutzniveaus haben. Gem. § 13 Abs. 7 Satz 3 TMG kann darunter insbesondere ein als sicher anerkanntes Verschlüsselungsverfahren fallen. Weitere Beispiele sind:
- Regelmäßige Software-Updates
- Angemessenes Authentifizierungsverfahren bei personalisierten Websites, sowie für die Administratoren
- Einsatz von Virenschutz- und Sicherheitssoftware, z.B. Firewalls, DDoS-Mitigation
- Regelmäßiges Informieren hinsichtlich sicherheitsrelevanter Informationen, z.B. solcher des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Mitarbeiter-Sensibilisierung
Ein Verstoß gegen § 13 Abs. 7 TMG wird gem. § 16 Abs. 2 Nr. 3 TMG als Ordnungswidrigkeit behandelt und mit einer Geldbuße von bis zu 50.000 € geahndet.
Im vorliegenden Fall hatte Yahoo mit der MD5-Verschlüsselung ein bereits damals als unsicher eingestuftes Verfahren verwendet. Zwar kann der Inhalt der verschlüsselten Daten derzeit noch nicht rekonstruiert werden, es ist aber bereits 2008 gelungen unterschiedliche Nachrichten mit demselben Hashwert zu erzeugen (sog. Kollisionsangriff). Daher wurde schon seit geraumer Zeit vor den Angriffen auf Yahoo geraten, komplexere Verschlüsselungsalgorithmen zu verwenden.
Datensicherheit im BDSG
Neben dem TMG kann jedoch auch das allgemeine Datenschutzrecht im Bundesdatenschutzgesetz (BDSG) Anwendung finden. Dabei ist die zentrale Vorschrift zur Datensicherheit der § 9 BDSG, welcher selbst bzw. durch die zugehörige Anlage die datenschutzrechtlichen Regelungen des BDSG durch Vorgaben zu technischen und organisatorischen Maßnahmen ergänzt. Auch die anderen EU-Staaten sind gem. Art. 17 Abs. 1 und 2 RL 95/46/EG verpflichtet, vergleichbare Regelungen zu schaffen. Zweck des § 9 BDSG ist die Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von personenbezogenen Daten i.S.d. § 3 Abs. 1 BDSG. In der zugehörigen Anlage werden exemplarisch die Voraussetzungen für Maßnahmen nach § 9 Satz 1 BDSG genannt. In Bezug auf Websites fallen mit den Nummern 2-4 Maßnahmen darunter, die geeignet sind
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
- zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
Am Ende der Anlage wird nochmals auf dem Stand der Technik entsprechende Verschlüsselungsverfahren verwiesen, worauf bereits im Rahmen des TMG Bezug genommen wurde.
Diesen Vorgaben wurde Yahoo offensichtlich nicht gerecht, jedoch sind Verstöße nach der aktuellen Regelung in § 9 BDSG bislang nicht bußgeldbewehrt. Dies ändert sich aber, sobald die Datenschutzgrundverordnung gem. Art. 99 Abs. 2 DSGVO ab dem 25.05.2018 Anwendung findet. In Zukunft wird der Art. 32 DSGVO die Vorgaben zur Datensicherheit regeln. Gem. Art. 83 Abs. 4 DSGVO können Verstöße gegen diese Vorschrift mit Bußgeldern von bis zu 10 Mio. € oder 2 % des Jahresumsatzes des Unternehmens geahndet werden.
Ungeachtet der hohen Bußgelder gibt der Art. 32 DSGVO keine genauen Verhaltensweisen auf. Insofern sollten sich die datenverarbeitenden Stellen bisweilen an den Vorgaben der Datenschutzaufsichtsbehörden, sowie des BSI orientieren.
Hinweis in eigener Sache
Des Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht von Prof. Dr. Dirk Heckmann an der Universität Passau befasst sich im Rahmen des Forschungsprojekts BayWiDI (Bayerisches Wissensnetzwerk Digitale Infrastrukturen, IT-Sicherheit und Recht für Unternehmen), welches durch das Bayerische Staatsministerium für Wirtschaft und Medien, Energie und Technologie gefördert wird, mit den rechtlichen Grundlagen der IT-Sicherheit und des Schutzes digitaler Infrastrukturen. Ziel des Projektes ist es, diese Grundlagen und Zusammenhänge zu analysieren und auf den rechtlichen Prüfstand zu stellen. In diesem Rahmen werden in regelmäßigen Abständen Workshops veranstaltet, Veröffentlichungen publiziert und mit dem BayWiKI ein Online Nachschlagewerk für Unternehmen vorgehalten. Schließlich werden in einem internen Bereich auch demnächst weiterführende Informationen und Materialien für Premiumpartner des Projekts bereitgestellt (BayWiDI Intern). Eine Anmeldung zum regelmäßig erscheinenden Newsletter ist unter https://www.baywidi.de/newsletter/ möglich.
Weiterführende Links:
http://www.zeit.de/digital/datenschutz/2016-12/hackerangriff-yahoo-milliarde-nutzer
https://www.tagesschau.de/ausland/yahoo-143.html
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_125.pdf