Verwendung von Cookies auf vermieterclub.de

Um Ihnen den bestmöglichen Service zu gewährleisten, verwendet vermieterclub.de Cookies. Sie können Ihre Präferenzen unten auswählen und mit dem Klick auf "Einstellungen speichern" diese festlegen.

Hinweis: Zur Verwendung der Online-Shop Funktionalitäten, wie zum Beispiel Bestellabschlüsse, müssen Sie Cookies aus der Kategorie Online-Payment aktivieren.

Verwendung der Cookies zum Bezahlen.

Cookie Beschreibung
PayPal PayPal ist ein Finanzdienstleister, mit welchem Sie Problemlos, nach vorheriger Anmeldung, kostenlos unsere Dienstleistungen und Waren bezahlen können. Weiter Informationen zu PayPal finden Sie hier. Die Datenschutz-Erklärung von Paypal finden Sie hier.
Stripe Stripe ist ein Technologieunternehmen, das Lösungen für die Wirtschaftsinfrastruktur des Internets aufbaut. Wir nutzen Stripe Dienste, um Online-Zahlungen abzuwickeln. Weitere Informationen zu Stripe finden Sie hier. Die Datenschutz-Erklärung von Stripe finden Sie hier.

Diese Cookies werden zu Analysezwecken verwendet.

Cookie Beschreibung
Matomo Matomo ist ein Web-Analyse-Tool, welches uns hilf Besucherströme zu messen und unsere Webseite zu verbessern. Benutzerdaten (Ip Adressen und besuchte Seiten) werden anonym bei matomo.org gespeichert. Weiter Informationen zu Matomo finden Sie hier. Die Datenschutz-Erklärung von Matomo finden Sie hier.

Datenschutzerklärung

Zur Startseite Antrag auf Mitgliedschaft zum Login 0 Menü öffnen Menü schließen
Vermieterclub / Services / Artikel

Cyber Incident Management

Bild für Cyber Incident Management
14. Juni, 2023

Die Frage ist nicht, ob Sie angegriffen werden, sondern wann. Dieser Satz wird immer wieder wiederholt und er ist wahr. Nun ja: einmal auf den falschen Anhang geklickt oder den falschen Link und schon sind die Daten verschlüsselt. Auch der Abgriff der Daten kann auf diese Art erfolgen. Dieser kurze Beitrag soll Ihnen Hinweise und Tipps für die Praxis geben, wie Sie mit Datenschutzvorfällen nach einem Angriff aus dem Internet vorgehen. Es geht um das Cyber Incident Management.


Nach dem erfolgreichen Angriff haben Sie viele Baustellen auf einmal: Können wir arbeiten? Wann können wir wieder arbeiten? Sind Daten abgeflossen? Was müssen wir wem melden? Und wie schnell? Wen müssen wir wie informieren? Zahlt jemand unseren Schaden? 

Was ist passiert und was wollen Sie jetzt?

Der Erste Schritt nach einem Vorfall ist zu klären, was eigentlich passiert ist und wann. Welche Auswirkungen hat der Cyber Incident? Wurden Daten verschlüsselt? Sind welche ausgelesen und ggf. verkauft worden? Können Back-Ups bei der Behebung der Schäden einfach helfen?


Wenn das geklärt ist bzw. wenn Sie hier erste Anhaltspunkte haben, sollten Sie entscheiden, was Sie tun wollen und wo Ihre Prioritäten liegen. Wollen Sie schnell weiterarbeiten oder begreifen Sie den Vorfall als Chance. Ein neues System aufzusetzen (wenn es möglich ist)? Soll der oder die Täter ermittelt und zur Verantwortung gezogen werden? Diese Entscheidung regeln auch die nächsten Schritte.


Der zweite Schritt sollten die Informationen sein – an die IT-Versicherung und Ihren Datenschutzbeauftragten. Beide werden Sie unterstützen. Ein Tipp vorab: Die Kontaktdaten sollten offline gespeichert werden oder auf einem Onlineportal, auf das auch im Fall einer Cyberattacke zugegriffen werden kann.


Muss oder sollte der IT-Dienstleister ausgewechselt werden? 

Sie müssen den IT-Dienstleister Grundsätzlich nicht austauschen: Es sprechen aber sowohl Argumente für als auch gegen einen Austausch des Dienstleisters. Dafür sprechen eine gewisse Vertuschungsgefahr und eingefahrene Strukturen, die erst zu dem Vorfall geführt haben. Dagegen sprechen die eingefahrenen Strukturen, schließlich kennt Ihr Dienstleister die Strukturen und Sie vertrauen ihm. Gegen die Auswechslung sprechen auch die damit einhergehenden Kosten. Dafür spricht allerdings die Gelegenheit des Neuanfangs. Hier ein kleiner Hinweis am Rande: der Nachweis von Wartungsfehlern des IT-Dienstleisters gelingt in der Regel nicht. 

Sollte die Polizei involviert werden? 

Sie können dies tun, müssen Sie aber nicht. Wie gut die forensische Tätigkeit der Polizei ist, kann und will ich nicht beurteilen. In der Praxis ist es aber so, dass die Behörden den Server mitnehmen, um diesen forensisch zu untersuchen. Das BKA will sich selbst einen Überblick über die Lage verschaffen. In dem Fall ist der Server weg. Wie lange hängt auch davon ab, wie überlastet die Polizei selbst ist. Daher folgt hier der Tipp eines Kollegen: Ermitteln Sie erst selbst – mit der IT-Versicherung und Ihrem IT-Dienstleister und dann erstatten Sie die Anzeige bei der Polizei.

Was muss wem gemeldet werden?

In Art. 33 und 34 DS-GVO sind Meldepflichten normiert. Dazu haben wir schon berichtet. 

Ein Datenschutzvorfall muss binnen 72 Stunden nach Kenntnis an die Datenschutzbehörde gemeldet werden, gegebenenfalls sollte hier stufenweise gemeldet werden. Das ist immer dann ratsam, wenn Sie selbst erst ermitteln müssen, was passiert ist. Ein Formularzwang besteht hier nicht. Bei der Meldung wird Sie Ihr Datenschutzbeauftragter unterstützen.

Auch die betroffenen Personen sind zu benachrichtigen. Wann diese Meldepflicht und die Benachrichtigungspflicht besteht und wann nicht, regeln Art. 33 und 34 DS-GVO.

Sollten Sie mit Kriminellen verhandeln?

Diese Frage kann ich nicht beantworten. Die Experten sind hier auch uneins. Fakt ist: Sie dürfen verhandeln. Unseres Erachtens machen Sie sich auch nicht strafbar, wenn Sie das „Lösegeld“ zahlen. Aber dies hängt aber immer vom Einzelfall ab und von dem Druck, unter dem Sie stehen. Bei der Entscheidung darüber kann die Beantwortung folgender Fragen helfen: 

Ist das System ausgefallen oder sind „nur“ Daten betroffen? Ist ein Back-Up- einspielbar? Welcher Schaden droht bei längerer Untätigkeit?

Und vergessen Sie nicht: Der Erpresser weiß mehr als die Unternehmen. Der Erpresser hat die Daten und die Informationen.

Wie können wir jetzt schon vorsorgen?

Das Wichtigste zuerst: Schulen Sie Ihre Mitarbeiter im Umgang mit E-Mails und Datenanhängen! Üben Sie! Egal welche Prozesse Sie auch aufsetzen und wie gut Sie versichert sind, die Abwehr des Angriffs ist das beste Managementtool. 

Versichern Sie sich gegen derartige Vorfälle mit einer speziellen IT-Versicherung und bestimmen Sie diejenige Person in Ihrem Unternehmen, die für die Kommunikation zuständig ist. Dies sollte jemand sein, der mit der Versicherung, Ihrem IT-Dienstleister, dem Datenschutzbeauftragten, den Datenschutzbehörden, den Ermittlungsbehörden, Ihre Kunden und vor allem mit Ihren Mitarbeitern kommuniziert.

Sie sollten externe Ansprechpartner definieren und deren Kontaktdaten offline hinterlegen. Stimmen Sie auch innerhalb Ihre Unternehmens Ansprechpartner ab und dokumentieren Sie diese Prozesse (auch offline). Und last, but not least: Testen Sie die Prozesse!

Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pexels

Aus unserem Blog

Mit dem Vermieterclub sind Sie am Puls des Mietgeschehens. Wir informieren Sie über aktuelle Nachrichten aus der Politik rund um Eigentum und Vermietung.

schuldenbremse

Zwischen Sparpolitik und Wohnungsknappheit

Die Auswirkungen der Schuldenbremse auf den Immobilienmarkt.
Energieeffizientes Haus

Energetische Sanierung

Eine Möglichkeit, den Wert einer Immobilie zu steigern?
AfA

Degressive Afa beschlossen

Steuerlicher Anreiz für den Neubau.
Mehr Artikel anzeigen

FAQs

Das Leistungsspektrum des Vermieterclubs reicht von der Hilfestellung bei Unsicherheiten mit der aktuellen Rechtslage bis hin zur anerkannten Interessensvertretung bei den Schaltstellen der Politik. Natürlich bringt ein Wandel in der Immobilienwelt auch Risiken mit sich – deshalb ist es unser Bestreben, diese kalkulierbar und beherrschbar zu machen.
Die Mitglieder des Vermieterclubs genießen als Teil einer starken Gemeinschaft vielfache Vorteile: Ihre Interessen finden in der Politik mehr Gehör und gesetzliche Veränderungen werden begleitet – kritisch wie gestalterisch. Aber auch der schnellere Informationszugang, der Erfahrungsaustausch unter Ihresgleichen sowie Vorzugskonditionen bei Mustern, Vorlagen, Fortbildungen und auch ausgewählten Partnern machen sich für Sie bezahlt.
Es ist ein breiter Personen- und Interessenskreis, der sich in unserer Gemeinschaft zuhause bzw. sich durch uns optimal vertreten fühlt. Dazu gehören Immobilieneigentümer, Immobilienvermieter und Partner, die unsere Werte und Ambitionen teilen und unsere Stimme noch bedeutender machen.
Wir sind Gründer aus Leidenschaft. Unsere Liebe zu Immobilien währt schon mehr als 15 Jahre – so lange ist jeder von uns im Immobilienbereich engagiert tätig. Wir wollen im Dienste der Gemeinschaft des Vermieterclubs verändern und gestalten – dass wir das können, wissen wir, und das möchten wir Ihnen gerne jeden Tag aufs Neue beweisen.
Der Vermieter-Club ist ein eingetragener Verein für Vermieter in Deutschland. Es ging uns bei der Gründung darum, den permanenten Wandel als Chance zu begreifen und die Situation der Vermieter nachhaltig zu verbessern. Verbunden mit einem Höchstmaß an Professionalität und Verantwortungsbewusstsein – und das möglichst smart: so einfach und online-basiert wie möglich.