Ransomware – Auch ein Datenschutzthema

Ransomware oder Verschlüsselungssoftware in Verbindung mit Erpressung steht ganz oben auf der List der zahlreichen Bedrohungen für die Sicherheit in der Informationstechnologie. Die Verschlüsselung der Daten auf den Systemen des Besitzers, um selbigem den Zugriff zu verwehren, ist nur eine der Phasen eines derartigen Angriffs. Dem geht in der Regel, wenn das System bereits kompromittiert ist, eine intensive Phase der Ausspähung voraus. Wo befinden sich sensible Daten wie Entwürfe, Informationen zu Finanzen und Controlling oder auch Kundenverträge? Leider sind auch zunehmend personenbezogenen Daten eines Unternehmens im Fokus. So werden auch die HR-Systeme eines Unternehmens für die Erpresser interessant. Mit den erbeuteten Stammdaten wird durch Veröffentlichung auf Twitter oder im DarkWeb, der Druck auf das Unternehmen zur Zahlung des Lösegeldes erhöht. Das betroffene Unternehmen befindet sich ohnehin schon in einer bedrohlichen Situation, durch Ausfällen und Schäden im System: Stillstand in der Produktion und Verwaltung, Verlust von Vertrauen bei Kunden, Mitarbeitern sowie von Geschäftsgeheimnissen und Produktinformationen.

Waren vor Jahren ausschließlich Unternehmen im Fokus sind auch zunehmend Behörden und öffentliche Einrichtungen wie Krankenhäuser und Kommunalverwaltungen nicht mehr sicher. In der letzten Phase der Erpresser wird Lösegeld gefordert. In der Regel in Kryptowährungen, um die Nachverfolgung zu erschweren. Auch die Zahlung eines Lösegelds ist keine Garantie für die Wiederherstellung der Daten, wie publik gemachte Angriffe zeigen.

Wie anfangs erwähnt ist auch der Datenschutzbeauftragte bei Vorliegen eines Angriffs direkt einzubeziehen. Sind seine Mitwirkungsmöglichkeiten bei der Behebung der Schäden gering, so ist er aber für die Meldung und weitere Kommunikation mit Aufsichtsbehörden von Bedeutung. Denn mit Verschlüsselung und möglicher Offenlegung von Daten hat der Verantwortliche verschiedene Vorgaben der Datenschutzgrundverordnung verletzt. Zum einen die Pflicht des Verantwortlichen gem. Art. 32 DSGVO die Sicherheit der Verarbeitung sicherzustellen und zum anderen Art. 5 Abs. 1 lit. f) DSGVO, welcher den angemessenen Schutz der Daten vorschreibt. Mittlerweile haben die Aufsichtsbehörden die Cyberattacke als Vorfall fest in Ihren Meldeprozessen hinterlegt und auch auf die Meldefrist von 72 Stunden gem. Art. 33 DSGVO hingewiesen.

Vor Cyberattacken ist kein Unternehmen geschützt, aber technische Maßnahmen wie Emailfilter, Passwortrichtlinien, Abtrennung wichtiger Systeme nach extern sowie Backup und Notfallprozeduren können die Wirkung minimieren. Zur Sensibilisierung der Mitarbeiter sind Phishing-Simulationen ebenso ein wichtiges Mittel. Denn in der Masse der Fälle waren Einfallstore wie schädliche Emailanhänge und kompromittierte Anmeldedaten Gründe für den Angriff auf die Systeme. Bei der Durchführung solcher simulierten Angriffe ist der Effekt auf den Mitarbeiter besonders hoch, da er persönlich sensibilisiert wird. In der Regel landet der Mitarbeiter bei Klick auf solche simulierten Links auf eine Landingpage, welche sachlich über das Fehlverhalten informiert.

Dabei bietet es sich an, den Betriebsrat bei solchen geplanten Maßnahmen vorab transparent einzubinden, um Missverständnissen vorzubeugen und etwaige Verhaltens- und Leistungskontrollen auszuschließen. Denn solche Maßnahmen dienen nicht dazu einzelne Mitarbeiter vorzuführen, sondern geben in der folgenden statistischen Auswertung der Geschäftsführung ein exaktes Lagebild im Unternehmen, um abzuleiten ob Schulungen gegebenfalls erforderlich sind.

Cyberattacken gehören leider heutzutage zu den Standardbedrohungen jeder Unternehmens-IT. Den Benutzer hier zu sensibilisieren ist daher im Interesse der Informationssicherheit wie auch des Datenschutzes. Es bleibt spannend.