Es wird jeden treffen

CyberCrime

Wie können sich Betriebe gegen Cyberangriffe schützen?

Die Zahlen sind eindeutig: Jedes Jahr entsteht der deutschen Wirtschaft ein Schaden im mehrstelligen Milliardenbereich, weil Kriminelle erfolgreich in Unternehmensnetzwerke eingedrungen sind. Dafür mussten die Angreifer nicht präsent sein, sie mussten sich nicht die Hände schmutzig machen und konnten sozusagen vom Home-Office aus ihre schmutzigen Waffen einsetzen und damit ganze Unternehmen lahm legen.

Was sich für viele immer noch nach Science Fiction anhört, ist längst Realität – das zeigte die zweitägige, jeweils 30-minütige Online-Veranstaltung „Cybercrime im Autohaus“, die der Landesverband am 11. und 12. Januar organisierte. Deutlich wurde in den Beiträgen der Experten, dass es eine gefährliche Illusion ist, wenn sich ein kleiner Kfz-Betrieb auf dem Lande denkt, dass er doch viel zu unbedeutend sei, um für Cyber-Kriminelle attraktiv zu sein. Selbst in den hintersten Winkeln des Globus gilt das Sprichwort, nach dem Kleinvieh auch Mist macht. Eines ist allerdings genauso wahr: Niemand ist ohne Abwehrchance! 
Arne Joswig Geschäftsführer/Inhaber Lensch & Bleck, Interview Matin Seydell


Wie lief der Cyberangriff bei Lensch & Bleck ab? 
In unserem Fall kam eine Mail mit dem Absender eines bekannten Lieferanten in unserem Teilelager an, wurde von dem Mitarbeiter geöffnet und kurze Zeit später kam eine Forderung über 15.000 €, um unsere Systeme wieder funktionsfähig zu machen. Ich kann da niemandem einen Vorwurf machen. Die Mail, die völlig unspektakulär, ganz normal daherkam, hätte ich auch nicht als gefährlich erkannt. Aber nun war es passiert. Und wir haben reagiert – neue Sicherheitssysteme installiert, über die ich gleich noch was sagen werde –, aber das bedeutet leider nicht, dass die Angriffe aufhören. Gerade erst in der letzten Woche tauchten angeblich von mir geschickte Mails an meine Mitarbeiter:innen auf. Da hatte also jemand meinen Account übernommen. Durch unsere neuen Strukturen wurden die glücklicherweise abgefangen, sodass kein Schaden entstehen konnte.

In Schleswig-Holstein haben wir gerade von einem anderen Unternehmen erfahren, das durch einen Hackerangriff komplett lahmgelegt war. Der Geschäftsführer war den Tränen nahe. Ist so eine Reaktion nachvollziehbar?
Die Reaktion ist nachvollziehbar. Hier hilft aber nur konsequentes, schnelles und sachliches Handeln. Das haben wir auch getan, um Lösungen für dieses Problem zu finden.  Klar, man ist sauer, denn alle stehen rum und meckern, es geht nix mehr, es können keine Rechnungen geschrieben werden, etc.

Wie ist Lensch & Bleck aus dieser Situation rausgekommen?
Wir haben schnell entschieden, nicht zu zahlen. Das ist nicht meine Mentalität, auf solche Forderungen einzugehen. Außerdem weiß ich ja nicht, ob nach einer Geldüberweisung auch wirklich das System wieder funktioniert, ob solche Kriminellen wirklich halten, was sie versprechen. Im ersten Schritt haben wir dann überlegt: Wer kann uns jetzt helfen? Selbst helfen kann man sich in so einem Moment nämlich nicht. Wir haben Kontakt zu Herrn Asmussen und seiner Firma Plenium aufgenommen, die in Zusammenarbeit mit unseren Leuten das Problem einkreisen und dann auch lösen konnte. Dafür haben wir nach meiner Erinnerung etwa drei Tage gebraucht.

Welche Konsequenzen sind aus dieser Cyberattacke gezogen worden?
Das Ganze ist relativ glimpflich abgelaufen, wobei glimpflich relativ ist, denn wir haben einige Tage nicht arbeiten können. Weiter ist die von mehreren IT-Spezialisten erbrachte Dienstleistung, die wir erhalten haben, ja auch nicht kostenlos. In Zusammenarbeit mit Herrn Asmussen haben wir eine neue Sicherheitsstruktur aufgebaut. Heute haben wir eine gut geschützte Firmenkommunikation. Uns ging es außerdem sehr stark um die Analyse der Gründe, wie es dazu kam, dass wir Opfer eines Angriffes wurden. Bei uns waren z.B. Email-Accounts eingerichtet worden, die nach einiger Zeit keinen vollfunktionsfähigen Virenschutz mehr besaßen. Unsere Systeme werden jetzt permanent extern überwacht und seitdem sind keine erfolgreiche Angriffe mehr erfolgt.

Axel Lange TÜV-IT
Strategische Abwehr von Cyber-Angriffen (Referat)
Der aktuelle Lagebericht des Bundesamts für Sicherheit in der IT-Sicherheit ist alarmierend. Die Vorfallzahlen steigen Jahr für Jahr deutlich – leider auch die Qualität der Angriffe. Es stellt sich also die dringende Frage: Wie umgehen mit dieser steigenden Gefahr? Wie gehen Sie als Geschäftsführer, IT-Leiter oder IT-Beauftragter eines Autohauses mit diesem Risiko um? IT-Sicherheit zählt in vielen Unternehmen zur Daseinsvorsorge – aus gutem Grund! Nach deutschem Aktiengesetz sind Vorstände verpflichtet Maßnahmen zu ergreifen, die den Fortbestand des Unternehmens gewährleisten, Gefahren also abzuwehren. Und dazu zählen Cyberangriffe. Auch Geschäftsführer einer GmbH unterliegen diesen Sorgfaltspflichten.
Alles getan oder Wird schon gutgehen?
Deshalb lautet die Frage, die sich jede(r) in verantwortlicher Position stellen sollte: Wie risikofreudig bin ich? Kann ich sagen: „Wir haben alles mögliche zum Schutz vor Cyberangriffen getan“ oder lautet die Devise „Es wird schon gut gehen“?
Immerhin lässt sich feststellen, dass Unternehmen auf technischer Ebene schon einiges tun: Nach Studien verfügen 95 % aller Unternehmen über eine aktuelle Anti-Viren Software, sie haben Firewalls, führen regelmäßige Sicherheitsupdates und Patches durch, sorgen also dafür, dass Sicherheitslücken geschlossen werden. Außerdem werden regelmäßige Backups vorgenommen und physisch getrennt aufbewahrt.
Offen bleibt dabei aber, in welcher Qualität und mit welchem Reifegrad die technischen Maßnahmen implementiert wurden? Findet eine sachgemäße Konfiguration und Wartung statt? Halten die Endanwender:innen die damit verbundenen Verhaltensregeln ein? Damit sind wir beim Thema organisatorische IT-Sicherheitsmaßnahmen. Hier sind Unternehmen oft noch nicht so gut aufgestellt. Es gilt grundsätzlich: Lückenlose IT-Sicherheit erzielt man nicht mit einer bloßen Aneinanderreihung verschiedener Sicherheitsmaßnahmen. Dazwischen gibt es Lücken, die von Angreifern gefunden und ausgenutzt werden, was in unserem Auftrag arbeitende ethische Hacker immer wieder erfolgreich unter Beweis stellen.
IT-Sicherheit setzt sich aus mehreren Bausteinen zusammen!
Um IT-Sicherheit ganzheitlich zu managen, bedarf es einer grundlegenden Sicherheitsstrategie, die sich aus mehreren Bausteinen zusammensetzt und sich über technische und organisatorische Maßnahmen, Bedrohungsschutz, Defensive oder Prävention erstreckt. Es geht dabei um eine Stärkung der Widerstandsfähigkeit, auch Residenz genannt. Das umfasst ganz generell die Anpassungsfähigkeit der Organisation, den Stand der Technik immer wieder im Blick zu haben, die Mitarbeitenden im Hinblick auf neue Angriffsszenarien zu trainieren. Dazu kommt die Beständigkeit der Geschäftsprozesse, denn einhundertprozentigen Schutz gibt es trotz aller getroffenen Maßnahmen nie. Ist also ein Angriff erfolgreich, wie sieht es mit der Möglichkeit der Wiederherstellung von Daten und Systemen aus?
Ein langer, aber lohnenswerter Weg
Unternehmen robust zu machen, ist also eine vielschichtige Herausforderung. Dafür gibt es geeignete Best-Practice-Methoden: den Aufbau eines ISMS, eines Managementsystem für Informationssicherheit, und eines Business-Continuity-Management, BCM, das die Fähigkeit eines Unternehmens erhält, Dienstleistungen zu erbringen. Das erste System ist präventiv, das zweite reaktiv, wenn der Angriff erfolgreich war. Die beiden Systeme sind auf jeden Fall für Autohäuser mit mehreren Standorten und einer größeren Zahl von Mitarbeitenden zu empfehlen. Das zu tun bedeutet, einen längeren Weg zu gehen, denn das passende System muss erst entwickelt und dann auch implementiert werden. Es ist aber lohnenswert! Allein damit, dass so vorgegangen wird, wird  die Vertraulichkeit und Integrität der Daten, die auf allen Ebenen der Organisation entstehen. Ergänzend kann das Management-System nach dem 4-Augen-Prinzip geprüft und zertifiziert werden – ein klares Zeichen dafür, dass IT-Sicherheit ernst genommen und sich an internationalen Standards orientiert wird. Das sorgt bei Geschäftspartnern und den Beschäftigten des Unternehmens für das so kostbare Vertrauen. TÜV bietet allen interessierten Unternehmen auf diesem Sektor Unterstützung an.

Alexander Asmussen Firma Plenium, Interview Hans Mirwald
Wo lag der größte Schwachpunkt bei Lensch & Bleck, als Sie in der Krise hinzugezogen wurden?
Bei Lensch & Bleck gab es – was durchaus häufiger vorkommt – eine nicht ausreichend geschützte E-Mail-Server Kommunikations-Umgebung, bekannt unter dem Produktnamen Microsoft Exchange Server. Die Schutzmechanismen waren nicht mehr ganz aktuell, was dazu geführt hat, dass eine Email an einen Mitarbeitenden durchrutschte, von diesem dann auf einen Link geklickt wurde und dadurch die Ransomware aktiviert wurde; Ransomware oder umgangssprachlich Erpressungs-Trojaner, Erpressungs-Software, Krypto-Trojaner oder Verschlüsselungs-Trojaner. Diese Form des Cyber Angriffs setzt auf eine Interaktion des Angegriffenen, da die Schadsoftware ansonsten ihre Wirkung nicht entfalten kann. Was vielen nicht bekannt ist: Weit über 80 % der Angriffe auf Unternehmens-IT-Umgebungen finden über das Medium Email statt – ein großes Einfallstor für Cyber-Angriffe, wenn’s beim Angegriffenen keine stabile Sicherheitskonzeption gibt.

Was haben Sie noch beobachtet?
Die Datensicherungsstrategie war gut, aber noch ausbaufähig, z.B. ist jetzt ein automatisches tägliches Verbringen der Daten an unseren Firmenstandort eingerichtet, sodass auch im Falle eines mechanischen Problems an den Standorten von Lensch&Bleck, eines Feuers, eines Wasserschadens o.ä., schnell reagiert werden kann, um die Geschäftsprozesse lückenlos weiterlaufen zu lassen. Wichtig zu wissen: Schadsoftware konzentriert sich sehr häufig auf bereits bekannte Lücken in Betriebssystemen. Wenn die nicht auf dem neuesten Stand sind, dann haben die Angreifer leichtes Spiel. Je länger sie dort wirken können, desto größer ist der Schaden. Bei Lensch & Bleck haben wir die Firewall an die neuesten Anforderungen angepasst und uns um die Anti-Viren-Software gekümmert. Dazu muss man wissen, dass eine klassische Anti-Viren-Software nichts gegen die Ransom Ware ausrichten kann.

Wie konnten Sie das Unternehmen weiter begleiten?
Wir als mittelständisches IT-Systemhaus aus Hamburg mit einem Wirkungsradius von etwa 250 km haben unterschiedliche Spezialisten im Hause für die Bereiche Server, Netzwerke, Backup und Firewall. Zusammen mit Lensch & Bleck ging es darum, Strategien für einen besseren Schutz gegen Cyberangriffe zu entwickeln. Der erste Schritt bestand darin, herauszufinden, welche Systeme Priorität haben, um ein Wiederanlaufen der Geschäftsprozesse zu ermöglichen. Dann stand die Frage im Mittelpunkt: Wie kommen wir an die benötigten Daten wieder heran? Schließlich sind Daten in der digitalen Welt die Hauptwährung. Diese Prioritätenliste haben wir Schritt für Schritt abgearbeitet. Die von uns getroffenen Maßnahmen betrafen natürlich auch die Niederlassungen des Unternehmens.
Zur Wiederherstellung des ursprünglichen Zustands war also einiger Aufwand nötig, natürlich für das betroffene Unternehmen auch ein finanzieller.
Absolut. Und da nach der Wiederherstellung auch noch das Thema Schutz vor zukünftigen Angriffen angegangen werden, was wiederum Geld kostet, ist es aus unternehmerischer Sicht nur verständlich, sich zu fragen: Was brauche ich unbedingt? Worauf will ich verzichten? Da sind die Entscheidungen natürlich individuell verschieden. Während der eine sagt, ich will auf nichts verzichten, kommt der andere zum Schluss, dass es auch ein paar Dinge gibt, für die er sich nicht finanziell engagieren möchte.

Welchen Rat haben Sie ganz allgemein für die Unternehmen?
Ein paar Tipps gebe ich sehr gerne: Halten Sie ein Notfall- und ein Wiederanlauf-Handbuch bereit! Das wird übrigens auch von einigen Versicherern gefordert, damit man nicht kopflos handelt. Aktualisieren Sie regelmäßig die installierten Schutz-Systeme. Dazu braucht es interne oder externe IT-Experten. Und schließlich: Schulen Sie die Mitarbeitenden! Schaffen Sie auf diese Weise ein Bewusstsein dafür, was deren Handeln für einen Einfluss auf die Sicherheit der EDV des Unternehmens hat. Es geht dabei nicht um das Schüren von Angst, sondern um Aufklärung. Legen Sie z.B. fest, wie in einem Verdachtsfall mit Schadsoftware umgegangen werden soll. Das Erkennen von Gefahren ist der erste Schritt, der zweite besteht in dem sicheren Wissen, wie weiter zu verfahren ist, an wen sich die oder der Betroffene im Falle eines Falles wenden sollte.

Matthias Albrecht Signal Iduna, Interview Martin Seydell
Wie hoch sind die Schäden durch Cybercrime?
Nach einer Studie der Bitkom, dem Verband der deutschen Informations- und Telekommunikationsbranche, betrug der Schaden im Jahr 2020 in Deutschland 20 Milliarden Euro und das über alle Branchen und über alle Betriebsgrößen hinweg. Das betrifft also auch Mittelständler, wie wir ja das auf dieser Veranstaltung anhand von Erfahrungsberichten bereits gehört haben. Das Unternehmen, für das ich arbeite, Signal Iduna, ist beispielsweise täglich vieltausendfach Ziel von Angriffen. Allerdings ist offensichtlich, dass das Thema noch nicht wirklich bei allen Unternehmen angekommen ist, denn nicht einmal ein Prozent der Schäden ist durch Versicherungen abgedeckt.

Da sind wir beim Thema. Wie versichere ich meinen Betrieb denn gegen Cybercrime?
Es geht zuerst um die Frage, was die Versicherung abdecken soll. Nur den direkten materiellen Schaden? Die reinen Vermögensschäden, wenn bspw. die Konten abgeräumt wurden? Oder auch nachgelagerte Schäden, die sogenannten Drittschäden?

Was sind Drittschäden genau?
Das sind z.B. Schäden, die entstehen, wenn das Netzwerk des Unternehmens kompromittiert wurde, seine Kundendaten geklaut wurden. Damit werden Angriffe auf die Kunden gefahren, und das betreffende Unternehmen ist mittelbar die Plattform, von der aus das geschieht. Damit ist das angegriffene Unternehmen mitverantwortlich für Vermögensschäden bei den Kunden. Drittschäden entstehen auch dadurch, dass der Betrieb durch den Angriff nicht geschäftsfähig ist, Kosten, die erforderlich sind, um den Betrieb erneut ins Laufen zu bringen, was durch jemanden wie Herrn Asmussen ermöglich wird, indem eine Forensik vorgenommen wird, eine genaue Analyse, welche Teile des Netzwerks betroffen sind.

Es ist also doch sehr viel komplexer, als es zunächst klingt, sich gegen Cybercrime zu versichern.
Richtig! Um ein individuell passendes Angebot machen zu können, müssen verschiedene Bereiche unter die Lupe genommen werden.

Dann fangen Sie doch einfach mal an!
Eine entscheidende Frage ist, und die würde ich zuerst stellen: Wie viele Mitarbeiter:innen sind täglich von Berufs im Internet unterwegs? Wie das gestrige Beispiel von Herrn Joswig zeigt, sind Mitarbeiter:innen in den allermeisten Fällen das Einfallstor für Cyberangriffe. In der Fachsprache heißt das gezielte Manipulieren von Mitarbeiter:innen Social Engineering oder Human Hacking. Ein Beispiel dafür: Die Buchhaltung eines mittelständischen Unternehmens wurde mit Mails bombardiert, die vorgeblich vom Chef stammten und die Überweisung eines höheren fünfstelligen Betrags auf ein Auslandskonto verlangten. Unter dem gefühlten Druck, den die Mails aufbauten, wurden dann die eigentlich geltenden Sicherheitsmaßnahmen verdrängt, das Vier-Augen-Prinzip verlassen und das verlangte Geld überwiesen. Um so etwas für die Zukunft zu verhindern, ist der Faktor Schulung das entscheidende Kriterium. Es geht nicht um eine Lösung von der Stange à la „Im Falle eines Angriffs ist unser Unternehmen bis zu einer Schadenssumme von 1 Million Euro abgesichert“, sondern um ein den Gegebenheiten des einzelnen Betriebs angepasstes Versicherungspaket.

Was tut die Signal Iduna für ihre Kunden, wenn es trotz aller Vorsichtsmaßnahmen doch zu einem erfolgreichen Angriff gekommen ist?
Im Falle eines Angriffs arbeitet die Signal Iduna mit einem Dienstleister zusammen, der schnell dafür sorgt, dass der Betrieb sein Geschäft wieder anfahren kann. Das ist im ersten Augenblick noch wichtiger als der materielle Schaden, der möglicherweise schon entstanden ist. Zwar hat nahezu jedes Unternehmen einen Dienstleister, der sich um die Pflege des Netzwerks kümmert, aber ist das auch jemand, der im Falle eines erfolgten Cyberangriffs schnell die Geschäftsfähigkeit wiederherstellen kann? Diese Frage sollte sich jeder bereits im Vorwege beantworten, damit dann, wenn es passiert ist, nicht viel Zeit verloren geht, weil jemand an dem Problem herumstümpert, um es mal so zu formulieren, nur um dann festzustellen, dass er nicht über das Know-how verfügt, um das System wieder zum Laufen zu bringen.

Herr Wulf LKA, Interview Martin Seydell
Wenn es um Cybercrime geht, über welche Zahlen reden wir?
Reine Fälle in 2020, die im weitesten Sinne mit Cybercrime zu tun haben: 108.000. Da kommen enorme Schadenssummen zusammen. Wir haben in Schleswig-Holstein große Betriebe, bei denen es zu Tagesverlusten von 1 Mio. Euro und mehr gekommen ist. 50 % der befragten Unternehmen waren von einem Angriff betroffen. Allerdings wurden nur 20 % aller Fälle angezeigt, also existiert ein gewaltiges Dunkelfeld. Grundsätzlich ist also Cybercrime ein wirkliches Problem für die Unternehmen geworden.

Wie werden kleine und mittlere Unternehmen angegriffen? Werden die ausgespäht?
Es geht den Angreifern beispielsweise um Social Engineering, das Defacement von Webseiten, also einen Angriff auf eine Webseite, der das Erscheinungsbild der Webseite verändert. Gerade der Kfz-Bereich ist davon betroffen. Ransomware ist ebenfalls ein Problem. Die Frage ist aktuell nicht ob, sondern nur noch, wann ein Unternehmen angegriffen werden wird. Wir haben einige prominente Beispiele, eine Firma wie Solarwinds, bei der es den Cyber-Kriminellen gelungen ist, vor dem Einspielen neuer Software Zugriff auf Letztere zu bekommen und sie in ihrem Sinne zu manipulieren, so das beim sogenannten Rollout des neuen Betriebssystems die Schadsoftware auf alle Rechner geladen wurde. Da kann man als Betrieb tatsächlich nicht viel machen. Leistungsfähige IT ist in jedem Fall Chefsache.

Wie muss man sich das Profil von Kriminellen vorstellen?
Internationalisierung, Spezialisierung sind Schlagworte, die mir da einfallen. Es ist eine eigene Wirtschaft im Darknet entstanden, die sehr professionell agiert und, wie es im Englischen heißt, Crime as a service anbietet. Dienstleister in Sachen Kriminalität also. Es kommt bei vielen Angriffen zu einem Datenleak, d.h. es verschwinden Kundendaten, mit denen dann Druck ausgeübt wird. In einigen Fällen sind dafür zur Durchführung der Attacke Mitarbeiter:innen angeworben worden, die z.B. Ransomware einschleusen und hinterher einen Teil des kriminell erwirtschafteten Gewinns erhalten.

An wen wende ich mich bei der Polizei oder beim LKA, wenn es denn zu einem Schadensfall gekommen ist?
Wir haben ZAC eingerichtet, die Zentrale Ansprechstelle Cybercrime. Wir werden dann den Kontakt zu der entsprechenden Polizeidienststelle zu der oder dem dort für dieses Thema Verantwortlichen herstellen. Die Beamten werden sich dann mit der betroffenen Firma in Verbindung setzen. Wir sprechen von der Strategie des „Single Point of contact“, nur eine Person als Ansprechpartner, was Firmen also unendliches Hin- und Hertelefonieren erspart. Es wird dann eine Analyse des Schadens und der aktuellen Situation gemacht. Wichtig ist mir zu betonen, dass das LKA oder andere Polizei-Dienststellen nicht mit einem Rollkommando in der betroffenen Firma auftauchen, um Rechner aus dem Haus zu tragen. Natürlich haben wir als LKA ein Interesse daran, den Moment zu identifizieren, an dem die Cyber-Kriminellen ihren Angriff starteten, an dem die Infiltration begann. Als Polizeibehörde ist uns aber auch bewusst, dass für den betroffenen Betrieb vor allem zählt, möglichst zügig den Geschäftsbetrieb wieder aufzunehmen.

Andreas Ebbersmeyer – Datenschutzbeauftragter, Interview Hans Mirwald
Was genau haben Cyberangriffe mit Datenschutz zu tun?
In den meisten Fällen ist davon auszugehen, dass bei einem Cyberangriff in irgendeiner Weise personenbezogene Daten abgegriffen wurden. Deshalb müssen dann auch die Aufsichtsbehörden informiert werden.
In welchen Fällen muss denn das ULD, das Unabhängige Landeszentrum für Datenschutz, das in Schleswig-Holstein zuständig ist, informiert werden?
Nach der europäischen DSGVO, der Datenschutz-Grundverordnung, hat der Verantwortliche nach Bekanntwerden des Angriffs 72 Stunden Zeit die Aufsichtsbehörden zu informieren. Das klingt nach viel Zeit, immerhin drei Tage, aber das relativiert sich, wenn berücksichtigt wird, dass in der Meldung diverse Informationen gegeben werden müssen.

Welche Infos sind das?
Dazu gehören Antworten auf Fragen nach der Anzahl der Betroffenen, nach den Daten selbst oder nach den Datenkategorien sowie Angaben zu den Maßnahmen, die ergriffen wurden, um weiteren Schaden abzuwenden. Da es in Deutschland für alles ein Formular gibt, existiert auf der Website des ULD auch ein Button zum Thema Meldung von Cyberangriffen. Das hat den Vorteil, dass man nicht lange überlegen muss, was dokumentiert werden muss.

Was macht die Behörde nach Erhalt der Meldung?
Das ULD hat kein Interesse daran, Betriebe platt zu machen. Es geht darum festzustellen, ob das Unternehmen das Machbare getan hatte, um einen Angriff zu verhindern, um die Daten seiner Kunden bestmöglich zu sichern, oder ob es grobe Verstöße gegen die DSGVO gegeben hat. Je nach Resultat der Untersuchung gibt es Verbesserungsvorschläge oder auch eine Rüge.

Wenn Kundendaten betroffen sind – wann müssen die Autohäuser ihre Kundinnen und Kunden informieren?
Da sagt der Passus der Verordnung „unverzüglich“. Klar ist, dass erst einmal festgestellt werden muss, welche Daten genau betroffen sind oder sein könnten. Dennoch: Sollten Wochen verstreichen, ehe Meldung gemacht wird, dann ist das nicht mehr unverzüglich.
Wenn Betriebe in irgendeiner Weise nachlässig gewesen sind, wie sieht es mit Bußgeldern aus? Da werden ja manchmal abenteuerliche Summen genannt.
Bei der DSGVO sind tatsächlich sehr hohe Bußgelder genannt. Allerdings ist dann immer die kleine, aber feine Abschwächung „bis“ gemacht. Noch einmal sei darauf hingewiesen: Die Höhe richtet sich vor allem danach, ob das Unternehmen wirklich alles in seiner Macht stehende unternommen hat, um seine Daten zu schützen. Wenn dagegen eine Kooperation mit den Behörden verweigert wird, dann kann auch ein Bußgeld verhängt werden. Das ist – für Schleswig-Holstein  gesprochen – wirklich sehr zu betonen, dass kein Interesse besteht, Unternehmen in ihrem Bestand zu gefährden, weshalb in der ganz überwiegenden Mehrheit der Fälle nur niedrige Bußgelder verhängt werden. Allerdings gibt es ja gerade im Kfz-Bereich auch andere Akteure, die mit Abmahnungen und Bußgeldern um die Ecke kommen können, da nenne ich nur die Deutsche Umwelthilfe. Sollten also Verstöße gegen die DSGVO stattgefunden haben, dann ist das abmahnfähig, und dann können eben Wirtschaftsverbände diese Abmahnungen veranlassen.