Behörde · personenbezogene Daten
Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33), Benachrichtigung der betroffenen Personen bei hohem Risiko (Art. 34), Verzeichnis der Verletzungen. Pflicht des Verantwortlichen.
Eine Verletzung personenbezogener Daten muss der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden (DSGVO Art. 33). Anwaltskanzleien decken die Pflicht ab; fast niemand deckt den technischen Teil ab: zu verstehen, was wirklich exfiltriert wurde, und die Beweise zu sammeln. Diesen Teil deckt Fortgale ab.
Dieselbe Verletzung kann zwei verschiedene Meldungen auslösen, an verschiedene Behörden, mit verschiedenen Fristen. Sie zu verwechseln ist ein Risiko.
Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33), Benachrichtigung der betroffenen Personen bei hohem Risiko (Art. 34), Verzeichnis der Verletzungen. Pflicht des Verantwortlichen.
Für wesentliche und wichtige Einrichtungen: Frühwarnung 24 Stunden an das nationale CSIRT. Siehe NIS2 erklärt.
Ein Ransomware-Angriff mit Exfiltration personenbezogener Daten löst typischerweise sowohl das CSIRT als auch die Aufsichtsbehörde aus. Sie müssen parallel behandelt werden.
Die Behörde fragt nach der Art der Verletzung, den betroffenen Daten und Personen, den Folgen und den getroffenen Maßnahmen. All das stammt aus technisch-forensischer Arbeit, nicht aus rechtlicher Arbeit.
Forensische Analyse von Logs, Verkehr und Artefakten, um das, was herauskopiert wurde, von dem zu unterscheiden, was nur verschlüsselt oder aufgerufen wurde. Die faktische Grundlage der Meldung.
Sammlung und Sicherung von Beweisen, Angriffs-Timeline, IOCs, betroffener Perimeter: das Material, das die Meldung präzise und belastbar macht.
Eradikation der Angreifer, Eindämmung, sicherer Restore. Die forensische Arbeit in der Incident Response speist die Meldung und stoppt den Schaden.
In Operation Storming Tide rekonstruierte das Fortgale-Team die mehrstufige Kette und blockierte die RClone-Exfiltration: festzustellen, was tatsächlich herausgeholt wurde, ist genau das, was eine präzise Meldung braucht.
Zur Analyse →Zwei getrennte Pflichten: Aufsichtsbehörde (DSGVO Art. 33, personenbezogene Daten, 72h) und nationales CSIRT (NIS2, Cyber-Vorfall, Frühwarnung 24h). Ein Ransomware-Fall mit Exfiltration personenbezogener Daten kann beide auslösen. Siehe NIS2 erklärt.
Innerhalb von 72 Stunden nach Bekanntwerden (Art. 33). Ist das Risiko für die betroffenen Personen hoch, müssen auch sie informiert werden (Art. 34). Jede Verletzung muss im Verzeichnis der Verletzungen erfasst werden.
Fortgale deckt den technisch-forensischen Teil ab: was geschah, welche Daten exfiltriert, Beweise, Eindämmung. Die rechtliche Bewertung und der Akt der Meldung verbleiben beim Verantwortlichen und beim DSB oder Rechtsbeistand.
Mit forensischer Analyse von Logs, Netzwerkverkehr und Artefakten: Man rekonstruiert, was der Angreifer tatsächlich herauskopiert hat, und unterscheidet es von dem, was nur verschlüsselt wurde. Es ist die Grundlage einer belastbaren Meldung.
Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Eine rechtzeitige Meldung, gestützt auf solide technische Beweise, ist auch eine Form des Schutzes bei der Bewertung durch die Behörde.
Sprechen Sie mit unseren Analysten: Wir stellen fest, was exfiltriert wurde, sammeln die Beweise für die Meldung an die Aufsichtsbehörde und dämmen den Vorfall ein. Die rechtliche Bewertung verbleibt bei Ihrem DSB oder Rechtsbeistand, wir liefern die technische Grundlage.
Keine Nurturing-Sequenzen, keine Auto-Replies. Einer unserer Analysten ruft Sie innerhalb eines Werktags zurück.
Der vollständige Report (Executive Summary · operative IoCs · technisches Runbook) ist vertraulich. Senden Sie uns zwei Angaben und einer unserer Analysten kontaktiert Sie mit Zugang und einem kurzen technischen Briefing.
Reaktion in 30 Minuten, Eindämmung in 1–4 Stunden. Auch wenn Sie kein Fortgale-Kunde sind.