Suche
Contact
Symbolbild zu Datenverlust bei MOVEit Transfer: Leiterplatte
18.07.2023 | KPMG Law Insights

Datenverlust bei MOVEit Transfer: So sollten Unternehmen jetzt handeln

Hacker haben offenbar eine Sicherheitslücke der Software „MOVEit Transfer“ genutzt, um Daten abzugreifen und Zahlungen zu fordern. Zahlreiche Unternehmen könnten betroffen sein. Der Hersteller der Software hat inzwischen Updates bereitgestellt. Doch mit einer Aktualisierung der Software ist es nicht getan. Das Datenschutzrecht verlangt weitergehende Maßnahmen von Unternehmen, insbesondere eine lückenlose Aufklärung.

MOVEit Transfer ist ein Programm, mit dem man große Dateien austauschen kann, zum Beispiel wenn diese zu groß sind, um sie in eine E-Mail zu hängen. Tausende Unternehmen nutzten diese Software, um mit ihr Unternehmensdaten auszutauschen.

Der Hersteller hatte bekannt gegeben, dass eine kritische Schwachstelle (CVE-2023-36934) in seinem Softwareprodukt gefunden wurde. Medienberichten zufolge wurde die Sicherheitslücke von einer Gruppe von Hackern ausgenutzt. Diese sind möglicherweise an enorme Mengen von sensiblen Unternehmensdaten gelangt. Die Gruppe soll jetzt mit der Veröffentlichung der Daten drohen, wenn kein Lösegeld gezahlt wird.

In den letzten Tagen und Wochen stieg die Zahl der Unternehmen, die öffentlich äußern, dass sie betroffen seien. Darunter sind Unternehmen aus allen Branchen und aller Größenordnungen – vom Start-up bis zum DAX-Unternehmen. Handeln sollten jedoch nicht nur Unternehmen, die ein Datenleck festgestellt haben, sondern alle Anwender:innen der Software MOVEit Transfer.

Das ist bei Datenverlusten in rechtlicher und technologischer Hinsicht zu tun

Aus rechtlicher Sicht

Bei einem Datenverlust ist es nicht damit getan, die Sicherheitslücke zu schließen. Vielmehr sollte sofort untersucht werden, welche Daten betroffen sind und welche Konsequenzen drohen. Wenn zum Beispiel vertrauliche Daten von Kunden in falsche Hände gekommen sind, bedeutet dies regelmäßig einen Verstoß gegen vertragliche Verpflichtungen und Vertraulichkeitsvereinbarungen. Neben der umgehenden Information der betroffenen Kunden ist es erforderlich, zu prüfen, ob das Datenleck auch Schadensersatzansprüche von Kunden oder Lieferanten auslösen könnte. Nur so kann vermieden werden, dass der Schaden intensiviert wird oder unerkannt bleibt.

Soweit personenbezogene Daten betroffen sind, greifen die Melde- und Benachrichtigungspflichten der Datenschutzgrundverordnung (DSGVO): Spätestens 72 Stunden nach Kenntnisnahme durch das Unternehmen müssen die zuständige Datenschutzaufsichtsbehörde und womöglich auch die betroffenen Kunden oder Mitarbeiter:innen umfangreich informiert werden. Auch hier ist es entscheidend, dass die Ursache und das Ausmaß der Datenpanne ermittelt werden. Nur so kann beurteilt werden, welche Risiken für die betroffenen Personen bestehen und welche Melde- und Benachrichtigungspflichten konkret bestehen. Für KRITIS-Unternehmen kommt unter Umständen eine Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzu. Bei Nichteinhalten dieser Pflichten drohen erhebliche Bußgelder und weitere aufsichtsrechtliche Maßnahmen.

Auch wenn es in Anbetracht einer schnellen Lösung verlockend sein kann, dem Lösegeldverlangen nachzugeben, sollte diese Entscheidung keinesfalls voreilig getroffen werden. Da die Zahlung auf derartige Lösegeldforderungen als Terrorismusfinanzierung oder Unterstützung einer kriminellen Vereinigung strafbar sein kann, sollte in jedem Fall rechtlicher Beistand zu Rate gezogen werden.

Aus technologischer Sicht

Selbst wenn Organisationen inzwischen die Sicherheitslücke durch die Updates des Herstellers geschlossen haben, bleibt die Notwendigkeit der lückenlosen, forensischen Aufklärung des Vorfalls.

Nach Einschätzung von Expert:innen konnten Kriminelle die Sicherheitslücke schon lange ausnutzen. Womöglich ist die Hackergruppe also schon seit einiger Zeit in den IT-Systemen der betroffenen Unternehmen unterwegs und hatten Zugriff auf deren Daten. Das BSI empfiehlt daher schon seit Wochen, aktiv nach Anzeichen für eine Kompromittierung Ausschau zu halten.

eDiscovery schafft Transparenz

Zudem ist es wichtig zu verstehen, welche Daten genau abgeflossen sind, um die richtigen Maßnahmen (siehe oben) ergreifen zu können. Eine eDiscovery und damit eine Sichtung der abgeflossenen Daten schafft Transparenz. Beispielsweise können damit die abgeflossenen Daten in Kategorien (zum Beispiel „Personenbezogene Daten“, „Daten Dritter“ oder „Betriebsgeheimnisse“) eingeteilt und erforderliche Maßnahmen eingeleitet werden.

So sollten MOVEit Transfer-Nutzer:innen jetzt handeln

Alle Unternehmen, die MOVEit Transfer genutzt haben, sollten zeitnah eine forensische Untersuchung durchführen und prüfen, ob möglicherweise Daten abgegriffen wurden, und wenn ja, mittels einer eDiscovery überprüfen, welche Daten betroffen sind. Hierbei sollten Datenschutzexpert:innen eng mit Forensiker:innen und Cyber-Security-Expert:innen zusammenarbeiten. Präventiv sollten Unternehmen ein Security-Audit durchführen, um Sicherheitslücken aufzudecken und passende Gegenmaßnahmen abzuleiten, die helfen, derartige Fälle künftig zu verhindern.

Wenn ein Datenleck festgestellt wird (zum Beispiel durch interne Ermittlungen oder Hinweise Dritter), sollte untersucht werden, ob es sich bei den betroffenen Daten um personenbezogene oder sogar um besonders sensible personenbezogene Daten handelt. In dem Fall muss das betroffene Unternehmen unverzüglich Kontakt mit der Aufsichtsbehörde und den betroffenen Dateninhaber:innen aufnehmen. Damit werden einerseits Rechtspflichten erfüllt und durch eine professionelle Handhabung möglicherweise auch Massenklagen wegen der Datenschutzverstöße verhindert.

Die gute Nachricht: Um in Zukunft solche Fälle zu vermeiden, können Unternehmen Maßnahmen treffen. Ein gutes Datenschutz-Management und Information Security Management erschweren es Hackern erheblich, an Daten zu gelangen.

Gemeinsam mit Expert:innen für Cyber Incident Response & Investigation der KPMG AG Wirtschaftsprüfungsgesellschaft können wir von der KPMG Law Rechtsanwaltsgesellschaft mbH als Datenschutzexpert:innen die notwendigen Maßnahmen für Sie übernehmen. Sprechen Sie uns an.

 

Dieser Beitrag ist in Kooperation mit Michael Sauermann und Jan Stoelting, beide Partner der KPMG AG Wirtschaftsprüfungsgesellschaft, entstanden.

 

 

 

 

 

 

Explore #more

11.10.2024 |

Entwaldungsverordnung: Die häufigsten Irrtümer von Unternehmen

Schon der Name der Verordnung ist irreführend. „Entwaldungsverordnung“ klingt eher nach einem Regelwerk für die Land- oder Forstwirtschaft. Das ist sie aber nicht,…

11.10.2024 | In den Medien

Gastbeitrag im Asset Management Guide 2024: Das Fondsmarktstärkungsgesetz – Flexibilisierung und Debt Fund reloaded

Am 5. August 2024 veröffentlichte das Bundesministerium für Finanzen den Referentenentwurf des Gesetzes zur Stärkung des deutschen Fondmarktes und zur Umsetzung der Richtlinie (EU) 2024/927…

07.10.2024 | KPMG Law Insights

Kommunale Wärmeplanung – so gelingt die Umsetzung Schritt für Schritt

Städte und Gemeinden stehen derzeit vor der großen Herausforderung, die Vorgaben der kommunalen Wärmeplanung innerhalb der ambitionierten Fristen umzusetzen. Das Gesetz für die Wärmeplanung und…

04.10.2024 | In den Medien

Gastbeitrag in Der Bauunternehmer zum Thema: Wettbewerb bringt Klimaschutz besser voran als starre Vorgaben“

Regulierung ist einer der maßgeblichen Kostentreiber im Bau. Statt durch starre Vorgaben lassen sich Nachhaltigkeitsziele und Klimaschutz aber besser durch die systematische Nutzung von Daten…

04.10.2024 | Dealmeldungen

KPMG Law begleitet die HWP Handwerkspartner Gruppe beim Erwerb von Manfred Teckenburg Elektroanlagen

KPMG Law hat für die HWP Handwerkspartner Gruppe beim Erwerb von Teckenburg Elektroanlagen eine umfassende Legal Due-Diligence durchgeführt und die Kaufvertragsverhandlungen begleitet. Hierbei arbeitete KPMG…

04.10.2024 | Dealmeldungen

KPMG Law und KPMG beraten die Forterro-Gruppe beim Erwerb der alltrotec

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die Forterro-Gruppe bei der Due Diligence, Strukturierung und Umsetzung im Rahmen des Erwerbs…

04.10.2024 | Dealmeldungen

KPMG Law und KPMG beraten HWP Handwerkspartner Gruppe beim Erwerb der Elektro Fastabend-Gruppe

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben gemeinsam die HWP Handwerkspartner Gruppe (HWP) beim Erwerb der Fastabend Elektro-Gebäudetechnik…

02.10.2024 | Dealmeldungen

KPMG Law begleitet die HWP Handwerkspartner Gruppe beim Erwerb einer Mehrheitsbeteiligung an der Unternehmensgruppe Schalm

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die HWP Handwerkspartner Gruppe  beim Erwerb der Schalm Gruppe beraten. KPMG Law hat dabei eine umfassende Legal…

02.10.2024 | KPMG Law Insights

Bürokratieentlastungsgesetz: Textform statt Schriftform für Gewerbemietverträge

Am 26. September 2024 hat der Bundestag das Vierte Bürokratieentlastungsgesetz beschlossen. Eine der zahlreichen Änderungen betrifft das gesetzliche Schriftformgebot für langfristige Mietverhältnisse: Bisher galt für…

01.10.2024 | Pressemitteilungen

KPMG Law erneut unter den TOP 5 beim Kanzleimonitor 2024

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) belegt einen hervorragenden fünften Platz in der Gesamtauswertung der TOP-100-Kanzleien im aktuellen Kanzleimonitor des diruj. KPMG Law dominiert…

Kontakt

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

tel: +49-69-951195770
fheynike@kpmg-law.com

Dr. Jyn Schultze-Melling, LL.M.

Partner

Heidestraße 58
10557 Berlin

tel: +49 30 530199 410
jschultzemelling@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll