Cyberattacke: Was muss in der Praxis gemacht werden?
Rehana Harasgama
Rehana Harasgama ist Expertin im Schweizer und internationalen Technologie-, Cybersecurity- und Datenschutzrecht. Sie ist auch
Dozentin für Datenschutz an der Universität St. Gallen (HSG).
Passende Arbeitshilfen
Was ist eine Cyberattacke?
Der Begriff "Cyberattacke" ist nicht rechtlich definiert und kann je nach Rechtsordnung und Rechtsprechung variieren. Für diesen Beitrag wird vom folgenden Verständnis ausgegangen:
Eine Cyberattacke ist ein zielgerichteter, digitaler Angriff durch Umgehung von Datensicherheitsmassnahmen auf die Computer, Informationssysteme, Netzwerke oder Daten eines Unternehmens, um diese zu beschädigen, zu stören oder unrechtmässig auf sie zuzugreifen.
Es gibt unterschiedlichste Taktiken (von einfachen Betrugsversuchen bis hin zu hochentwickelten Kampagnen, die auf kritische Infrastrukturen und internationale Konzerne abzielen) und Methoden (z.B. Social Engineering, Ransomware, Spionage, Denial-of-Service-Angriffe, Malware oder Phishing) von Cyberattacken und die Anzahl Cyberattacken hat in den letzten Jahren aufgrund der Zunahme von Automatisierungen und künstlicher Intelligenz (KI oder AI) stark zu genommen.
Cyberattacken haben in der Regel schädliche Absichten, wie z.B. der Diebstahl von Daten, die Lahmlegung von Systemen, finanzieller Schaden oder die Stiftung von Unruhe. Ein solcher Angriff kann auch von verschiedensten Akteuren ausgelöst werden, wie z.B. Hacker, Konkurrenten, eigene Mitarbeitende oder irgendwelche Drittpersonen.
Welche datenschutzrechtlichen Fragen stellen sich?
Wenn ein Unternehmen von einer Cyberattacke betroffen ist, stehen zunächst die betriebsinternen Fragen und Probleme im Vordergrund. Jedoch dürfen die datenschutzrechtlichen Meldepflichten nicht vergessen gehen.
Die Meldepflichten gemäss Schweizer Datenschutzrecht sind in Art. 24 DSG verankert. Sie werden nur ausgelöst, wenn eine Verletzung der Datensicherheit ("Data Breach") im Sinne des DSG vorliegt.
Eine Verletzung der Datensicherheit liegt vor, wenn dadurch Personendaten (z.B. Namen, Adressen, Kreditkartenangaben, Geburtsdatum, Personaldossiers, Gesundheitsdaten etc.) aus Versehen oder widerrechtlich gestohlen, gelöscht oder verändert werden oder wenn eine unbefugte Person auf diese Daten zugreift. Es gibt im Schweizer Recht und international zahlreiche (nicht nur datenschutzrechtliche) Meldepflichten, die durch eine Cyberattacke ausgelöst werden können: Meldepflichten gegenüber der FINMA, Meldepflichten gemäss der EU-Datenschutzgrundverordnung, Meldepflichten gemäss der europäischen NIS-2-Richtlinie oder anderen Verordnungen der EU (welche auch auf Schweizer Unterhemen anwendbar sein können) sowie die Meldepflichten für Anbieter kritischer Infrastrukturen in der Schweiz gemäss dem neuen Informationssicherheitsgesetz, das dieses Jahr in Kraft treten soll. Ausserdem können vertraglich vereinbarte Meldepflichten ausgelöst werden, welche oft mit der Bezahlung einer Vertragsstrafe kombiniert sind.
Bei einer Cyberattacke ist in der Regel von einem Data Breach auszugehen, da in den meisten Fällen Personendaten betroffen sind, sei es von den eigenen Mitarbeitenden, Lieferanten oder Kunden. Somit werden die Meldepflichten gemäss DSG grundsätzlich ausgelöst.
Gemäss Art. 24 DSG gibt es drei unterschiedliche Meldepflichten, die durch eine Cyberattacke ausgelöst werden können:
- Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB").
- Meldepflicht gegenüber den betroffenen Personen, also z.B. Mitarbeitende, Lieferanten oder Kunden.
- Wenn ein Unternehmen für andere Unternehmen Personendaten bearbeitet (z.B. als Cloud-Provider, Anbieter von HR-Software oder weil es für Kunden die Lohnbuchhaltung übernimmt), also Auftragsbearbeiter ist, gibt es nur eine Meldepflicht gegenüber dem Auftraggeber. Dieser ist wiederum dafür verantwortlich, die anderen Meldepflichten zu erfüllen.
Die Meldepflicht gegenüber dem EDÖB wird nur ausgelöst, wenn die Cyberattacke zu einem hohen Risiko für die Mitarbeitenden, Lieferanten oder Kunden (also die betroffenen Personen) führen könnte. Dies kann der Fall sein, wenn sehr sensible Daten (z.B. Gesundheitsdaten) oder ein grosses Volumen an Daten betroffen sind, wenn besonders schützenswerte Personen betroffen sind (z.B. Kinder, Bankkunden oder Patienten) oder wenn es zu einem Identitätsdiebstahl kommen könnte. In einem solchen Fall müssen dem EDÖB folgende Informationen "so rasch als möglich" (in der EU gilt eine Frist von max. 72h) geliefert werden:
- Art der Verletzung
- Zeitpunkt und Dauer der Verletzung (falls möglich)
- Kategorien und Anzahl der betroffenen Daten (falls möglich)
- Kategorien und Anzahl der betroffenen Personen (falls möglich)
- Folgen und Risiken der Verletzung
- Geplante oder getroffene Massnahmen
- Namen und Kontaktdaten einer Ansprechperson
Diese Informationen können auch etappenweise mitgeteilt werden, solange der Data Breach an sich rasch gemeldet wird. Für diese Meldung gibt es ein online Formular, das ausgefüllt werden kann: https://databreach.edoeb.admin.ch/report. Die Meldung gegenüber dem EDÖB ist für mindestens zwei Jahre aufzubewahren.
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
