Bis zum „Fall Continental“ war Datenschutz deutschen Medien allenfalls eine kleine Meldung auf der Verbraucherschutzseite wert. Dann knackten Hacker die Sicherheitssysteme des Automobilzulieferers, zogen sich die Daten in die Cloud und verlangten 50 Millionen Euro in Krypto-Währung – sollte „Conti“ nicht kooperieren, würden die Daten veröffentlicht.
Die Situation ist brisant: Die Hacker hatten sich im Dezember 2022 weitaus mehr als die aktuellen Reifenpreise heruntergeladen, sondern insgesamt rund 55 Millionen Datensätze – darunter offenbar auch streng geheimen E-mail-Verkehr der Vorstände und Kommunikationen mit Geschäftspartnern wie Volkswagen oder Porsche sowie Mitarbeiterdaten.
Rechtsanwalt Ralph Sendler: „Der Hackerangriff bei Continental zeigt, wie angreifbar und wie machtlos selbst Dax-Konzerne sind und wie groß der Schaden ausfallen kann!“ Der Datenschutzexperte ist überzeugt, dass ein Schaden, der durch die Veröffentlichung angerichtet würde, weitaus höher ausfallen würde, als die Forderung der Erpresser.
Der Hamburger Rechtsanwalt weiß: „Einen 100prozentigen Schutz wird es nicht geben, aber die Aktion zeigt, dass Unternehmen, die vielleicht über schwächere Schutzschilde verfügen als Conti, auf wirklich alles vorbereitet sein sollten.“
Das Lösegeld hat Continental nicht bezahlt, um Nachahmern die Hoffnung auf das große Geschäft zu nehmen.
Auf der Homepage spricht „Conti“ weise Worte: „Darüber hinaus wünschen wir uns einen klaren rechtlichen Rahmen für den Umgang mit Cyberangriffen und Lösegeldforderungen. Organisierte Kriminalität muss mit allen bestehenden Mitteln und Gesetzen konsequent bekämpft werden. Dazu werden wir auch den Austausch mit der Politik suchen.“
Sendler: „In einem solchen Rechtsrahmen gäbe es es klare Handlungsoptionen für ein erfolgreiches Krisenmanagement.“
Als Zertifizierter Datenschutzbeauftragter steht Ralph Sendler KMUs, Mittelständischen Unternehmen und Konzernen zu allen Themen des betrieblichen Datenschutzes zur Verfügung.
Häufig gestellte Fragen zu Continental, Umgang mit Datenlecks
Hacker haben im Dezember 2022 die IT-Systeme von Continental kompromittiert und rund 55 Millionen Datensätze entwendet, darunter interne Vorstandskommunikation, Mitarbeiterdaten und Informationen von Geschäftspartnern wie Volkswagen oder Porsche.
Sie verlangten 50 Millionen Euro in Kryptowährung, andernfalls drohten sie mit der Veröffentlichung der erbeuteten Daten.
Nein, das Unternehmen hat sich bewusst dagegen entschieden, um keine Anreize für weitere Erpressungen zu schaffen.
Rechtlich ist das komplex: Zwar gibt es kein ausdrückliches Verbot, aber eine Zahlung kann strafrechtliche Relevanz haben (z. B. wegen Terrorismusfinanzierung oder Geldwäsche) und ethisch sowie unternehmerisch problematisch sein.
Weil er zeigt, wie verwundbar selbst große Konzerne sind und weil es bislang an klaren gesetzlichen Leitlinien für das Krisenmanagement und die Kommunikation im Fall von Cybererpressungen fehlt.
Es bestehen gesetzliche Meldepflichten nach Art. 33 und 34 DSGVO. Innerhalb von 72 Stunden muss eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Zudem müssen betroffene Personen ggf. informiert werden.
Je nach Schwere des Verstoßes können Bußgelder in Millionenhöhe verhängt werden. Auch zivilrechtliche Schadensersatzforderungen von Betroffenen sind möglich.
Nein, ein absoluter Schutz ist nicht realistisch. Unternehmen sollten aber auf den Ernstfall vorbereitet sein.
Ein externer Datenschutzbeauftragter wie Ralph Sendler hilft nicht nur bei der präventiven IT- und Datenschutz-Organisation, sondern auch bei der Aufarbeitung, Kommunikation und rechtlichen Einordnung von Vorfällen, inklusive Koordination mit Behörden.
