Ransomware-Trojaner stehlen zunehmend personenbezogene Daten
Eine Verschlüsselung von personenbezogenen Daten durch Schadcode ist für die betroffenen Bürgerinnen und Bürger und auch Unternehmen meist schon schlimm genug. Ein neuer Trend, zusätzlich personenbezogene Daten zu entwenden, gibt Anlass zu großer Sorge.
Die Verschlüsselung von personenbezogenen Daten mittels Schadcode ist ein seit langem anhaltender Trend. Durch die Möglichkeit der faktisch anonymen Bezahlung per Bitcoin können Erpressungen unmittelbar und meist ohne großes Risiko einer Entdeckung von Cyberkriminellen durchgeführt werden.
Viele Unternehmen begegnen dieser Art der Bedrohung mit zunehmend wirksamen BackupKonzepten, die einem Angriff mit dem Ziel einer nachhaltigen Datenverschlüsselung standhalten. Der größte Aufwand für die Unternehmen ist dann, das Backup wieder einzuspielen und Schadcodereste von den Rechnern zu entfernen.
Viele Angreifergruppierungen reagieren auf diese verringerte Wirksamkeit ihrer SchadcodeKampagnen, indem nach einem erfolgreichen Eindringen in das Netzwerk eines Unternehmens oder die Übernahme eines Rechners nach möglichst interessanten Daten wie Office-Dokumente oder Datenbankdateien gesucht wird. Diese werden vor einer Verschlüsselung der Dateien auf Server der Angreifer kopiert. Die Erpresser drohen im Falle, dass Lösegeldforderungen nicht beglichen werden, damit, dass die derart entwendeten Dateien dann entweder im Internet veröffentlicht oder im Darknet an andere Cyberkriminelle verkauft werden.
Anhand dieses Trends, der sich auch in den Meldungen zu Verletzungen der Sicherheit nach Art. 33 DSGVO wiederspiegelt, verändert sich auch die datenschutzrechtliche Einschätzung von Verschlüsselungstrojanern. Während bislang noch häufig von einer ausschließlichen Verschlüsselung ausgegangen wurde und sich das datenschutzrechtliche Risiko nach dem Schaden einer Nichtverfügbarkeit von personenbezogenen Daten, IT-Systemen oder Fachprozessen richtete, ist nun auch das Risiko des Verlusts der Vertraulichkeit mit einzubeziehen. Da angenommen werden muss, dass personenbezogene Daten, die von Angreifern im Kontext von Ransomware entwendet wurden, auch missbräuchlich verwendet werden, ist die Eintrittswahrscheinlichkeit des Risikos als hoch anzusehen. Dies bedeutet, dass in den Fällen, bei denen die Erpresser schon von sich aus über einen Datendiebstahl informieren oder bei denen anhand der Schadcode-Klasse davon ausgegangen werden muss, dass Daten üblicherweise auch entwendet werden, das Datenschutzrisiko direkt mit der Datensensitivität zusammenhängt und häufig das Eintreten eines Sachverhalts gemäß Art. 34 DSGVO angenommen werden muss. Dann sind auch die Betroffenen über den Vorfall zu informieren. Unternehmen, die nicht von einer Datenausleitung bei derlei Sicherheitsvorfällen ausgehen, haben deshalb erhöhte Nachweispflichten uns gegenüber, dass mit hinreichender Wahrscheinlichkeit keine Datenflüsse an die Angreifer stattgefunden haben (z. B. Webproxy blockt verdächtigen Serveraufruf, Datenvolumen im Auswertezeitraum ist nicht hoch genug,…). Diese Nachweise sind im Rahmen einer Meldung nach Art. 33 DSGVO beizulegen.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks