Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am vergangenen Donnerstag, den 2. November 2023 seinen jährlichen Bericht zur Lage der IT-Sicherheit veröffentlicht. Mit dem Bericht gibt das BSI einen umfassenden Bericht über die aktuelle Bedrohungslage. Für den zurückliegenden Berichtszeitraum zieht das BSI das vernichtende Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie“. Die neue Präsidentin des BSI – Claudia Plattner – sprach bei der Vorstellung des Berichtes von besorgniserregend. Zu den Gründen gehören die gestiegene Anzahl der Sicherheitslücken, Missbrauchsmöglichkeiten von KI-Tools oder aber Datendiebstahl bei Verbraucherinnen und Verbrauchern. Die wichtigsten Fakten im Überblick:
Im nachstehenden Beitrag sollen die wichtigsten Punkte des Berichts dargestellt und abschließend ein Blick auf mögliche datenschutzrechtliche Auswirkungen gewagt werden.
Ransomware ist und bleibt die größte Bedrohung
Die Schlagzahl der Ransomware-Angriffe bleibt hoch. Allerdings ist laut BSI zu beobachten, dass nunmehr nicht länger nur ein sogenanntes „Big Game Hunting“ – also Angriffe auf große, zahlungskräftige Unternehmen – erfolgt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Stellen und vor allem auch Kommunen von den Angriffen betroffen sind. Insbesondere im Bereich der Kommunen sieht man sich zum Teil mit weitreichenden Auswirkungen auf die Bürgerinnen und Bürgern konfrontiert, wenn bürgernahe Leistungen über einen bestimmten Zeitraum nicht zur Verfügung stehen.
Zudem zeichnen sich die Cyberangriffe durch eine steigende Professionalisierung aus. Sehr häufig wird von einem Konzept „Cybercrime-as-a-Service“ gesprochen. Das BSI seinerseits spricht sogar von einem „wachsenden Dienstleistungscharakter“ und einem gezielten Anbieten und Ausspielen von „Services im Bereich der Cyberangriffe.„
KI ist auch im Bereich der Cybersicherheit angekommen
Das Thema der Künstlichen Intelligenz – kurz KI – erstreckt sich im Bereich der Informationssicherheit neben den möglichen datenschutzrechtlichen Anforderungen bei der Nutzung von KI zunehmend auch auf den Bereich der Cybersicherheit. Die Anzahl und Fülle der KI-basierten Tools hat rasant zugenommen und steht somit der breiten Öffentlichkeit zur Verfügung. Mit „ChatGPT“ und Co. lassen sich zuweilen herausragende und authentische Ergebnisse erstellen. Zudem überzeugen die Tools durch einen hohen Grad der einfachen Bedienbarkeit.
Durch diese hohe Verfügbarkeit steigt allerdings gleichfalls die Gefahr der missbräuchlichen Verwendung. Insbesondere die sogenannten Deepfakes lassen sich immer authentischer erstellen. Die Gefahr durch Deepfakes und die Anwendungsszenarien missbräuchlicher Verwendung sind mannigfaltig und umfassen sowohl teilweise massive Schädigungen von Persönlichkeitsrechten von Personen als auch die Verbreitung falscher Informationen. Das BSI fasst unter der Begriff Deepfakes eine Bezeichnung für Methoden, die dazu verwendet werden können, Identitäten in medialen Inhalten mit Hilfe von Methoden aus dem Bereich der künstlichen Intelligenz gezielt zu manipulieren. Sprachlich betrachtet setzt sich der Begriff Deepfake seinerseits aus den Begriffen „Deep“ – als Abkürzung für Deep Learning (englisch: tiefes bzw. tief-gehendes Lernen) und Fake (englisch: Fälschung) zusammen.
Deep Learning bezeichnet hierbei eine spezielle Form des maschinellen Lernens und baut auf dem Konzept der sogenannten neuronalen Netze auf. Hierdurch können – vereinfacht gesprochen – komplexe Lernaufgaben an die KI adressiert werden. Durch selbstlernende Algorithmen ist es möglich Foto-, Audio- oder Videodateien für die Deepfakes zu verändern oder gänzlich neue zu generieren. Programme sind in der Lage aus einer Unzahl von Mediendateien von Personen durch Anlernen der KI menschliche Gesichtszüge, Bewegungen und sogar Stimmen zu erfassen und zu reproduzieren. Möglich ist es so beispielsweise, dass Gesichter von Personen ausgetauscht oder Stimmen durch eine maschinell generierte Originalstimme ersetzt und gleichzeitig auch Lippenbewegungen und Mimik so angeglichen werden, dass eine Unterscheidung zur Originaldatei nicht mehr möglich ist.
Sind in der Vergangenheit Deepfakes noch erkennbar gewesen, so sind sie mittlerweile mit bloßem Auge nicht mehr als solche zu identifizieren.
Warum ist Cybersicherheit auch für das Datenschutzrecht relevant?
Unter datenschutzrechtlichen Gesichtspunkten kann bei Cyberangriffen und IT-Sicherheitsvorfällen insbesondere die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Allerdings kann eine pauschale Beantwortung zum Vorliegen einer Verpflichtung nicht gegeben werden. Aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren verbietet sich eine generische Bewertung im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Erforderlich ist bei der Behandlung stets eine exakte Betrachtung und Bewertung des Vorfalls.
Auslegungshilfe bietet zum Beispiel ein entsprechender Leitfaden einer Unterarbeitsgruppe des Arbeitskreises Datenschutz der Bitkom. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“. Anhaltspunkte zum Umgang mit Datenschutzverletzungen – insbesondere auch bei Ransomware-Angriffen – lassen sich zudem der Handreichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Umgang mit Data-Breach-Meldungen nach Art. 33 DS-GVO entnehmen.
Fazit
Das BSI bleibt auch in seinem aktuellen Jahresbericht bei der äußerst kritischen Einschätzung der vergangenen Jahre. Die IT-Sicherheits- bzw. Cybersicherheitslage ist und bleibt auch weiterhin angespannt. Für öffentliche und nicht-öffentliche Stellen wird mit Blick in die Zukunft auch zu beobachten sein, wie sich die rechtlichen Anforderungen des neuen Cybersicherheitsrechtes der Europäischen Union durch insbesondere die NIS-2-Richtlinie und den Cyber Resilience Act auswirken.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.