Was erwarten Datenschützer von einem Ransomware-Schutz?
Fehlt der Ransomware-Schutz, kann dies eine Verletzung des Datenschutzes nach DSGVO bedeuten, auch wenn keine Attacke erfolgt. Was die Datenschutz-Aufsichtsbehörden erwarten.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) sieht eine zunehmende Gefahr durch Ransomware, wie das aktuelle Lagebild Ransomware: Bedrohungslage 2022 (PDF) zeigt.
Auch Sicherheitsbehörden wie das BKA (Bundeskriminalamt) warnen schon seit längerem (PDF) vor möglichen digitalen Erpressungen mit Ransomware. Bekanntlich sind die kriminelle Verschlüsselung und die Forderung eines Lösegeldes für die (angebliche) Entschlüsselung nur ein Teil der Bedrohung.
Wie das BKA betont, beschränken sich Ransomware nutzende Straftäter nicht mehr nur darauf, die IT-Systeme ihrer Opfer zu verschlüsseln, sondern drohen ihnen zusätzlich mit der Veröffentlichung ausgespähter Daten (Double Extortion). Im Hinblick auf zum Beispiel sensible Patientendaten birgt dies weiteres erhebliches Schadenspotenzial, so das BKA.
Das BKA fordert: „Erstatten Sie bei Cyberangriffen jeder Art unverzüglich Strafanzeige bei Ihrer örtlich zuständigen Polizeidienststelle – erfolgreiche Cyberkriminelle werden Angriffe wiederholen, und die Polizei kann Kriminalität nur bekämpfen, wenn Sie sie über eine Straftat informieren!“
Die Meldung bei der Polizei reicht aber nicht, in aller Regel müssen auch die zuständigen Datenschutzaufsichtsbehörden informiert werden.
Ransomware ist auch ein Fall für den Datenschutz
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erklärte bereits im Dezember 2021: „Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen.“
BayLDA-Präsident Michael Will erläuterte, warum seine Aufsichtsbehörde den Ransomware-Schutz von Unternehmen überprüft: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann. Mit unserer Prüfaktion greifen wir Basisaufgaben auf, die in jedem Unternehmen gewährleistet werden können und sollten.“
Welcher Ransomware-Schutz erwartet wird
Auch wenn der Schutz vor Ransomware nicht nur aus Datenschutzgründen eine hohe Relevanz besitzt, ist es die Datenschutz-Grundverordnung (DSGVO), die dem Ransomware-Schutz besonderen Nachdruck verleihen kann.
Immerhin kann das Fehlen von Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten als Verletzung des Datenschutzes nach DSGVO gewertet werden und damit auch das Fehlen eines geeigneten und wirksamen Ransomware-Schutzes. Wer also keinen Ransomware-Schutz hat, riskiert neben der kriminellen Verschlüsselung der Daten und der Digitalen Erpressung auch Sanktionen durch die zuständige Datenschutzaufsichtsbehörde.
Aber es sollten nicht die Sorgen vor möglichen Sanktionen sein, die Unternehmen dazu führen, mehr gegen Ransomware zu unternehmen. Deshalb sollten Prüfungen des Ransomware-Schutzes durch die Datenschutzaufsicht auch als Hilfe und Unterstützung verstanden werden, auch wenn Sanktionen natürlich nicht ausgeschlossen sind, wenn der Ransomware-Schutz unzureichend ist.
Doch was genau erwarten die Datenschützer als Ransomware-Schutz? Letztlich nicht mehr, als auch das BSI oder das BKA empfehlen, wobei der Fokus auf die personenbezogenen Daten gelegt wird und auch Meldepflichten nach DSGVO (siehe auch Die Meldepflichten bei Datenpannen richtig einhalten) eintreten können
Beispielhaft seien die Maßnahmen gegen Ransomware genannt, die das BayLDA prüft. Dies sind insbesondere: ein vollständiger und aktueller Überblick über alle eingesetzten IT-Systeme und IT-Komponenten (wie Clients, Server, Firewall, Switches, VPN-Endpunkte) des eigenen Betriebs, ein ordnungsgemäßes Netz- und Systemmanagement, ein geregelter Update-Prozess für alle eingesetzten IT-Systeme und Anwendungen inklusive dazugehöriger Dokumentation zur Versionsübersicht beziehungsweise zu Updates, ein wirksames Backup-Konzept, Überprüfung des Datenverkehrs, Awareness-Maßnahmen für Nutzerinnen und Nutzer und ein Konzept zur Regelung der Berechtigungen.
Offensichtlich sind dies keine übertriebenen Forderungen des Datenschutzes, sondern ein Basisschutz in Zeiten um sich greifender Ransomware-Attacken. Wer sich also richtig gegen Ransomware schützt, tut auch etwas für den Datenschutz, aber nicht nur für den Datenschutz.