Der Begriff fällt meist dann, wenn es bereits zu spät ist: Kundendaten stehen zum Verkauf, ein Erpresserschreiben liegt im Postfach, oder eine Aufsichtsbehörde fragt nach. Eine Sicherheitsverletzung, im Englischen Security Breach, ist der Moment, in dem aus einem abstrakten Risiko ein konkreter Schaden wird. Für IT-Entscheider lohnt sich ein präzises Verständnis des Begriffs, denn an ihm hängen Meldepflichten und Haftungsfragen. Wer erst im Ernstfall klärt, was als Verletzung gilt und wer dann was zu tun hat, verliert genau die Stunden, die das Gesetz knapp bemisst.
Was ist eine Sicherheitsverletzung?
Eine Sicherheitsverletzung ist der nachweisliche Bruch von Schutzmaßnahmen mit Folgen für die Schutzziele der Informationssicherheit: Unbefugte erlangen Zugriff auf Systeme oder Daten (Vertraulichkeit), verändern diese (Integrität) oder legen sie lahm (Verfügbarkeit). Entscheidend ist der eingetretene Effekt. Ein abgewehrter Angriffsversuch ist keine Verletzung, ein erfolgreicher Zugriff auf ein einzelnes Postfach dagegen schon.
Die DSGVO verwendet dafür den Begriff der Verletzung des Schutzes personenbezogener Daten. Er umfasst mehr als den klassischen Hack: Auch der verlorene Laptop ohne Verschlüsselung, der falsch adressierte Serienbrief oder versehentlich gelöschte Kundendaten fallen darunter. Ob ein Ereignis meldepflichtig ist, hängt vom Risiko für die betroffenen Personen ab. Die Pflicht zur Dokumentation und Begründung dieser Einschätzung liegt beim Unternehmen.
So läuft es ab
Hinter den meisten gravierenden Verletzungen steht ein mehrstufiger Ablauf:
- Zugang verschaffen: Am Anfang stehen gestohlene Zugangsdaten, Phishing oder eine ausgenutzte Schwachstelle in einem von außen erreichbaren System. Auch kompromittierte Dienstleister sind ein häufiger Einstieg.
- Festsetzen: Der Angreifer richtet sich dauerhaft ein, etwa über zusätzlich angelegte Konten oder installierte Fernzugriffswerkzeuge. So übersteht er Passwortwechsel und Systemneustarts.
- Ausbreiten: Vom Einstiegspunkt aus bewegt er sich lateral durch das Netzwerk und sammelt unterwegs höhere Berechtigungen ein. In flachen Netzen verläuft dieser Schritt weitgehend ungebremst.
- Sammeln und ausleiten: Interessante Daten werden zusammengetragen und unauffällig nach außen kopiert, häufig verteilt über längere Zeiträume und getarnt als normaler Datenverkehr.
- Monetarisieren: Am Ende stehen Verschlüsselung mit Lösegeldforderung, der Verkauf der Daten oder Betrug mit den erbeuteten Informationen. Oft wird die Verletzung erst in dieser Phase überhaupt entdeckt.
Warum der Umgang mit Sicherheitsverletzungen wichtig ist
- Die Meldefrist beträgt 72 Stunden: Besteht ein Risiko für personenbezogene Daten, muss die Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden erfolgen. Ohne vorbereitete Bewertungs- und Meldeprozesse ist das kaum leistbar.
- Betroffene müssen informiert werden: Bei hohem Risiko sind zusätzlich die betroffenen Personen zu benachrichtigen. Damit wird die Verletzung öffentlich, und die Qualität der Kommunikation entscheidet über den Vertrauensschaden.
- Kosten entstehen lange nach dem Vorfall: Forensik, Wiederaufbau, Rechtsberatung und Kundenabwanderung summieren sich über Monate. Der Folgeschaden übersteigt den unmittelbaren Schaden regelmäßig.
- Bußgelder und Haftung drohen: Verstöße gegen Melde- und Sorgfaltspflichten können empfindliche Sanktionen auslösen. Für die Geschäftsleitung stellt sich zudem die Frage der persönlichen Verantwortung.
- Unentdeckte Verletzungen schaden doppelt: Wer Kompromittierungen mangels Sichtbarkeit gar nicht bemerkt, kann weder melden noch reagieren. Das verschärft später den Schaden ebenso wie die rechtliche Bewertung.
Typische Szenarien
Ransomware mit Datenabfluss ist heute der Regelfall. Angreifer kopieren Daten vor der Verschlüsselung und drohen mit deren Veröffentlichung. Aus dem Verfügbarkeitsproblem wird damit zugleich eine meldepflichtige Verletzung der Vertraulichkeit, mit allen daran hängenden Pflichten.
Ein zweites Szenario ist das kompromittierte Cloud-Konto. Mit gestohlenen Zugangsdaten meldet sich der Angreifer regulär bei E-Mail- oder Kollaborationsdiensten an, liest über Wochen mit und nutzt das Wissen für Zahlungsbetrug oder weitere Angriffe auf Geschäftspartner.
Der dritte Klassiker ist der Fehler ohne Angreifer: die falsch konfigurierte Cloud-Freigabe, der offen erreichbare Datenbankserver, der Versand an den falschen Verteiler. Rechtlich zählt auch das als Verletzung, obwohl niemand angegriffen hat.
Sicherheitsvorfall und Sicherheitsverletzung: der Unterschied
Im Alltag werden beide Begriffe synonym verwendet, organisatorisch trennt sie eine klare Linie. Ein Sicherheitsvorfall (Security Incident) ist jedes Ereignis, das die Informationssicherheit bedroht, etwa der erkannte Angriffsversuch oder das verdächtige Login. Eine Sicherheitsverletzung (Security Breach) liegt erst vor, wenn der Schutz tatsächlich durchbrochen wurde und Unbefugte Zugriff erlangt oder Daten kompromittiert haben. Jede Verletzung ist damit ein Vorfall, aber längst nicht jeder Vorfall wird zur Verletzung. Die Unterscheidung hat praktische Folgen: Vorfälle werden intern behandelt und dokumentiert, Verletzungen können Meldepflichten auslösen. Die Bewertung, wann aus dem einen das andere wird, gehört deshalb fest in den Incident-Response-Prozess und in die Hände klar benannter Verantwortlicher.
Schutz vor Sicherheitsverletzungen bei KAEMI
Jeden einzelnen Fehler zu verhindern ist unrealistisch. Verhindern lässt sich aber, dass daraus eine großflächige Verletzung wird. KAEMI begrenzt mit Mikrosegmentierung die Ausbreitung eines Angreifers im Netzwerk: Ein kompromittiertes System bleibt auf sein Segment beschränkt, und die Sichtbarkeit über alle Verbindungen erleichtert im Ernstfall die Bewertung, welche Daten tatsächlich betroffen waren. Application Security schützt von außen erreichbare Anwendungen, einen der häufigsten Einstiegspunkte, unter anderem mit Web Application Firewall und Schutz vor automatisierten Angriffen. Wenn Sie Ihre Exposition realistisch einschätzen möchten, sprechen Sie mit uns über unser Kontaktformular .