Meldungen von Datenpannen – Ransomware Attacken
Das letzte Jahr war geprägt von zahlreichen Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Datenschutznbehörde, umgangssprachlich auch bekannt als Meldung einer Datenpanne. Im Falle einer Verletzung des Schutzes personenbezogener Daten haben die Verantwortlichen gem. Art. 33 DSGVO diese nach Kenntniserlangung unverzüglich und möglichst binnen 72 Stunden an die Datenschutzbehörde melden.
Hierbei trat insbesondere eine gestiegene Anzahl von kriminell durchgeführten Verschlüsselungen personenbezogener Daten mittels so genannter Ransomware hervor, und das sowohl im öffentlichen als auch im nicht-öffentlichem Bereich. Diese schon seit langer Zeit bekannte und gefürchtete Form der Cyberkriminalität mittels der Einschleusung und Ausführung von Schadcode unterbindet oder schränkt den Zugriff auf Daten oder ganze Systeme ein, indem diese vom Angreifer verschlüsselt werden. Der oder die Angreifer fordern für die Entschlüsselung, also die Freigabe der Daten oder IT-Systeme, ein nicht unerhebliches Lösegeld (englisch: Ransom), welches meist in einer virtuellen und schwer rückverfolgbaren Währung wie Bitcoin gezahlt werden soll. Dennoch gibt es auch bei einer Zahlung keine Garantie für eine Freigabe der verschlüsselten Daten oder der gesperrten Systeme.
Um dieser Bedrohung zu entgegnen sind wirksame und getestete Backup-Konzepte unerlässlich, die das Wiederherstellen des Datenbestandes für nicht nur derartige Fälle ermöglichen. Nicht zu vernachlässigen ist dabei jedoch auch der Aufwand, der entsteht, um die betroffenen Rechner und IT-Systeme zu identifizieren und von der Schadsoftware zu befreien sowie das vorhandene Einfallstor der Cyberkriminellen zu finden und zu schließen. Die Angreifer-Gruppierungen haben zudem in den letzten Jahren ihre Vorgehensweise angepasst und damit begonnen, das IT-System vor dem Verschlüsseln nach potentiell wichtigen und sensiblen Daten zu durchsuchen, um diese im Vorfeld auf die eigenen Systeme zu kopieren. Somit können diese zum einen gezielt für die Erpressung mitgenutzt werden, indem damit gedroht wird, die Daten bei einer Verweigerung der Lösegeldforderung zu veröffentlichen oder um zum anderen die erbeuteten Daten an andere Cyberkriminelle oder Konkurrenten des Verantwortlichen weiterzuverkaufen.
Schlussfolgernd bedeutet dies natürlich auch, dass das bisherige datenschutzrechtliche Risiko einer Nicht-Verfügbarkeit von personenbezogenen Daten, IT-Systemen oder Prozessen, nun auch mit einem Risiko hinsichtlich des Verlustes der Vertraulichkeit einhergehen kann und daher zwingend bei einem derartigen Szenario mitbetrachtet werden muss.
Es ist davon auszugehen, dass mit der zunehmenden Digitalisierung und der weltweit nach wie vor stark ansteigenden Cyberkriminalität die Anzahl der Angriffe noch weiter steigen wird. Konkrete Hilfen für die Prävention, inklusive einer kurzen Darstellung der Bedrohungslage und einer Reaktion im Schadensfall, hält das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit.
Quelle: LfDI M-V
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks