Datenlecks & Datenweitergabe – Projekt Hibiskus

Was ist ein Datenleck?

Ein Datenleck entsteht, wenn vertrauliche Informationen – Kundendaten, Geschäftsgeheimnisse, Zugangsdaten oder personenbezogene Daten – unbeabsichtigt oder durch Angriffe nach außen gelangen. Häufig ist keine böswillige Absicht im Spiel: Fehlkonfigurationen, falsch adressierte E-Mails oder ungesicherte Cloud-Speicher sind die häufigsten Ursachen.

Häufige Ursachen

Fehlkonfigurierte Cloud-Dienste

Öffentlich zugängliche S3-Buckets, Azure Blob Storage oder Google-Drive-Freigaben sind eine der häufigsten Quellen großer Datenlecks. Oft werden Konfigurationseinstellungen beim Einrichten falsch gesetzt und nie überprüft.

Falsch adressierte E-Mails

Ein versehentlicher Klick auf die falsche E-Mail-Adresse im Autovervollständigen – und vertrauliche Anhänge landen beim falschen Empfänger. Bei großen Verteilergruppen kann ein einziger Fehler hunderte externe Empfänger erreichen.

Ungeschützte Datenträger und Geräte

Verlorene oder gestohlene Laptops, USB-Sticks und externe Festplatten ohne Verschlüsselung sind sofort lesbar. Selbst ausgemusterte Geräte enthalten oft noch lesbare Daten, wenn sie nicht korrekt gelöscht wurden.

Übermäßige Zugriffsrechte

Wenn zu viele Mitarbeiter Zugriff auf sensible Daten haben, steigt das Risiko, dass Daten versehentlich oder absichtlich weitergegeben werden. Das Least-Privilege-Prinzip minimiert den potenziellen Schaden.

Konsequenzen eines Datenlecks

Bußgelder (DSGVO)

Datenpannen müssen der Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden. Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes sind möglich.

Reputationsschaden

Kunden und Partner verlieren das Vertrauen. Negative Presseberichte können langfristige Auswirkungen auf das Geschäft haben.

Wettbewerbsnachteil

Geleakte Geschäftsgeheimnisse, Preislisten oder Produktentwicklungen können Wettbewerbern direkt nützen.

Schadensersatzansprüche

Betroffene Personen können zivilrechtlich Schadensersatz geltend machen. Klassenklagen nehmen in Deutschland und der EU zu.

Schutzmaßnahmen

Technisch

Festplattenverschlüsselung (BitLocker, FileVault) auf allen Geräten aktivieren – verhindert Datenzugriff bei Verlust oder Diebstahl
Cloud-Konfigurationen regelmäßig auf öffentliche Zugänglichkeit prüfen (z.B. mit AWS Trusted Advisor, Azure Security Center)
Data Loss Prevention (DLP) Lösungen einsetzen, die den Versand sensibler Daten erkennen
E-Mail-Verzögerung (z.B. 30 Sekunden) aktivieren, um versehentliche Sendungen rückgängig machen zu können
USB-Ports auf Unternehmensgeräten sperren oder kontrollieren
Geräte vor der Entsorgung zertifiziert löschen oder physisch vernichten

Organisatorisch

Datenklassifizierung einführen: Welche Daten sind intern, vertraulich, streng vertraulich?
Zugriffsrechte nach Least-Privilege-Prinzip vergeben und regelmäßig überprüfen
Prozess für Datenpannen-Meldungen definieren (72-Stunden-Frist DSGVO Art. 33)
Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern abschließen, die personenbezogene Daten verarbeiten
Mitarbeiter sensibilisieren: Wer darf welche Daten wie weitergeben?

Was tun bei einem Datenleck?

72-Stunden-Frist

Bei einer Datenpanne mit Risiko für betroffene Personen muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden (DSGVO Art. 33). Diese Frist beginnt ab Kenntnis des Vorfalls – nicht ab dem tatsächlichen Ereignis.

Leck sofort schließen (falsche Freigabe entfernen, Zugang sperren)
Umfang feststellen: Welche Daten? Wie viele Personen betroffen?
Datenschutzbeauftragten (falls vorhanden) und Geschäftsführung informieren
Datenschutzbehörde melden, wenn Risiko für Betroffene besteht
Betroffene Personen informieren, wenn hohes Risiko für sie besteht (Art. 34 DSGVO)
Vorfall dokumentieren – auch wenn keine Meldepflicht besteht

Checkliste: Datenleck-Prävention

Weiterführende Ressourcen

Datenschutz-Konferenz (DSK): datenschutzkonferenz-online.de
Have I Been Pwned (Datenleck-Check): haveibeenpwned.com
BSI-Leitfaden Datenschutz: bsi.bund.de